Adición del grupo de reglas administradas por ATP a la nueva ACL web - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Adición del grupo de reglas administradas por ATP a la nueva ACL web

En esta sección, se explica cómo se agrega y configura el grupo de reglas AWSManagedRulesATPRuleSet.

Para configurar el grupo de reglas administradas de ATP y que reconozca las actividades de apropiación de cuentas en su tráfico web, debe proporcionar información sobre cómo los clientes envían las solicitudes de inicio de sesión a su aplicación. En el caso de las distribuciones protegidas de Amazon CloudFront, también debe proporcionar información sobre cómo responde su aplicación a las solicitudes de inicio de sesión. Esta configuración se suma a la configuración normal de un grupo de reglas administrado.

Para ver la descripción del grupo de reglas y la lista de reglas, consulte Grupo de reglas de Prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF.

nota

La base de datos de credenciales robadas de ATP solo contiene nombres de usuario en formato de correo electrónico.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar las ACL web, las reglas y los grupos de reglas de AWS WAF. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administrado a su ACL web, consulte Adición de un grupo de reglas administrado a una ACL web a través de la consola.

Seguir las prácticas recomendadas

Utilice el grupo de reglas de ATP de acuerdo con las prácticas recomendadas de Prácticas recomendadas para la mitigación inteligente de amenazas en AWS WAF.

Uso del grupo de reglas de AWSManagedRulesATPRuleSet en su ACL web
  1. Agregue el grupo de reglas administrado de AWS AWSManagedRulesATPRuleSet a su ACL web y edite la configuración del grupo de reglas antes de guardarlo.

    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para más información, consulte Precios de AWS WAF.

  2. En el panel Configuración del grupo de reglas, proporcione la información que el grupo de reglas de ATP utiliza para inspeccionar las solicitudes de creación de cuentas.

    1. En cuanto a Usar expresiones regulares en las rutas, active esta opción si desea que AWS WAF haga coincidir las expresiones regulares con las especificaciones de las rutas de las páginas de registro.

      AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE libpcre, con algunas excepciones. La biblioteca está documentada en PCRE, expresiones regulares compatibles con Perl. Para obtener más información sobre la compatibilidad en AWS WAF, consulte Sintaxis de expresiones regulares compatibles en AWS WAF.

    2. En el caso de la ruta de inicio de sesión, proporcione la ruta del punto de conexión de inicio de sesión de su aplicación. El grupo de reglas inspecciona solo las solicitudes HTTP de POST enviadas al punto de conexión que ha especificado.

      nota

      La coincidencia de puntos de conexión no distingue entre mayúsculas y minúsculas. Las especificaciones de expresiones regulares no deben incluir la marca (?-i), ya que desactiva la coincidencia sin distinción entre mayúsculas y minúsculas. Las especificaciones de las cadenas deben empezar con una barra diagonal /.

      Por ejemplo, para la URL https://example.com/web/login, puede proporcionar la especificación de la ruta de la cadena /web/login. Las rutas de las páginas de registro que comienzan con la ruta que proporcione se consideran coincidentes. Por ejemplo, /web/login coincide con las rutas de registro /web/login, /web/login/, /web/loginPage y /web/login/thisPage, pero no coincide con la ruta de registro /home/web/login o /website/login.

    3. Para Inspeccionar solicitudes, especifique cómo acepta su aplicación los intentos de inicio de sesión. Para ello, proporcione el tipo de carga útil de la solicitud y los nombres de los campos del cuerpo de la solicitud en los que se incluyen el nombre de usuario y la contraseña. La especificación de los nombres de los campos depende del tipo de carga útil.

      • Tipo de carga útil JSON: especifique los nombres de los campos en la sintaxis del puntero JSON. Para obtener información acerca de la sintaxis del puntero JSON, consulte la documentación del grupo de trabajo de ingeniería de Internet (IETF) sobre el Puntero JavaScript Object Notation (JSON).

        Por ejemplo, para el siguiente ejemplo de carga útil JSON, la especificación del campo de nombre de usuario es /login/username y la especificación del campo de contraseña es /login/password.

        { "login": { "username": "THE_USERNAME", "password": "THE_PASSWORD" } }
      • Tipo de carga útil FORM_ENCODED: use los nombres de los formularios HTML.

        Por ejemplo, para un formulario HTML con elementos de entrada de usuario denominados username1 y password1, la especificación del campo de nombre de usuario es username1 y la especificación del campo de contraseña es password1.

    4. Si está protegiendo las distribuciones de Amazon CloudFront, en la Inspección de respuestas, especifique cómo indica la aplicación el éxito o el fracaso en sus respuestas a los intentos de inicio de sesión.

      nota

      La inspección de respuestas de ATP solo está disponible en las ACL web que protegen las distribuciones de CloudFront.

      Especifique un único componente en la respuesta de inicio de sesión que desee que inspeccione la ATP. Para los tipos de componentes Cuerpo y JSON, AWS WAF puede inspeccionar los primeros 65 536 bytes (64 KB) del componente.

      Indique sus criterios de inspección para el tipo de componente, tal y como se indica en la interfaz. Debe proporcionar los criterios de éxito y fracaso para inspeccionar el componente.

      Por ejemplo, supongamos que su solicitud indica el estado de un intento de inicio de sesión en el código de estado de la respuesta y utiliza 200 OK para indicar si se ha realizado correctamente, y 401 Unauthorized o 403 Forbidden si ha fallado. Debe establecer el Tipo de componente de inspección de respuesta en el Código de estado y, a continuación, en el cuadro de texto Éxito, introducir 200, y, en el cuadro de texto Error, introducir 401 en la primera línea y 403 en la segunda.

      El grupo de reglas de la ATP solo cuenta las respuestas que coinciden con sus criterios de inspección de éxito o fracaso. Las reglas del grupo de reglas actúan sobre los clientes cuando tienen una tasa de error demasiado alta entre las respuestas del recuento. Para cumplir con precisión las reglas del grupo de reglas, asegúrese de proporcionar información completa tanto para los intentos de inicio de sesión como para los fallidos.

      Para ver las reglas que inspeccionan las respuestas de inicio de sesión, busque VolumetricIpFailedLoginResponseHigh y VolumetricSessionFailedLoginResponseHigh en la lista de reglas que aparece en Grupo de reglas de Prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF.

  3. Proporcione cualquier configuración adicional que desee para el grupo de reglas.

    Puede limitar aún más el alcance de las solicitudes que el grupo de reglas inspecciona agregando una instrucción de restricción de acceso a la instrucción del grupo de reglas administrado. Por ejemplo, solamente puede inspeccionar las solicitudes con un argumento de consulta o una cookie específicos. El grupo de reglas inspeccionará únicamente las solicitudes POST HTTP enviadas al punto de conexión de inicio de sesión especificado que coincidan con los criterios de la instrucción de restricción de acceso. Para obtener información sobre las instrucciones de restricción de acceso, consulte Uso de instrucciones de restricción de acceso en AWS WAF.

  4. Guarde los cambios en la ACL web.

Antes de implementar cambios en su ATP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación.