Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.
Grupo de reglas de Prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF
En esta sección, se explica qué hace el grupo de reglas administradas de prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF.
Nombre del proveedor: AWS, Nombre: AWSManagedRulesATPRuleSet
nota
Esta documentación cubre la versión estática más reciente de este grupo de reglas administrado. Reportamos los cambios de versión en el registro de cambios en Registro de cambios de las reglas administradas de AWS. Para obtener información acerca de otras versiones, use el comando de API DescribeManagedRuleGroup.
La información que publicamos sobre las reglas en los grupos de reglas administradas de AWS tiene por objeto proporcionarle información suficiente para usarlas, pero no proporciona información que los actores malintencionados puedan usar para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el Centro de AWS Support
La prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF gestionó las etiquetas de los grupos de reglas administradas y también las solicitudes que pudieran formar parte de intentos fraudulentos de apropiarse de cuentas. Para ello, el grupo de reglas inspecciona los intentos de inicio de sesión que los clientes envían al punto de conexión de inicio de sesión de la aplicación.
Inspección de solicitudes: la ATP le permite ver y controlar los intentos de inicio de sesión anómalos y los intentos de inicio de sesión que utilizan credenciales robadas con el fin de evitar la apropiación de cuentas que pueda dar lugar a actividades fraudulentas. La ATP comprueba las combinaciones de correo electrónico y contraseña con su base de datos de credenciales robadas, que se actualiza periódicamente a medida que se descubren nuevas credenciales filtradas en la web oscura. La ATP agrega los datos por dirección IP y sesión de cliente para detectar y bloquear a los clientes que envían demasiadas solicitudes de naturaleza sospechosa.
Inspección de respuestas: en el caso de las distribuciones de CloudFront, además de inspeccionar las solicitudes de inicio de sesión entrantes, el grupo de reglas de la ATP inspecciona las respuestas de la aplicación a los intentos de inicio de sesión para hacer un seguimiento de las tasas de éxito y fracaso. Con esta información, la ATP puede bloquear temporalmente las sesiones de los clientes o las direcciones IP que tengan demasiados errores de inicio de sesión. AWS WAF realiza una inspección de las respuestas de forma asíncrona, por lo que no aumenta la latencia del tráfico web.
Consideraciones para usar este grupo de reglas
Este grupo de reglas requiere una configuración específica. Para configurar e implementar este grupo de reglas, consulte las instrucciones en Prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF.
Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener más información, consulte Mitigación de amenazas inteligentes en AWS WAF.
nota
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para más información, consulte Precios de AWS WAF
Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en Prácticas recomendadas para la mitigación inteligente de amenazas en AWS WAF.
Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar un paquete de protección (ACL web) que use este grupo de reglas a un grupo de usuarios ni puede agregar este grupo de reglas a un paquete de protección (ACL web) que ya esté asociado a un grupo de usuarios.
Etiquetas agregadas por este grupo de reglas
Este grupo de reglas administradas agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas de las métricas de Amazon CloudWatch. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetado de solicitudes web y Etiquetar métricas y dimensiones.
Etiquetas de token
Este grupo de reglas usa la administración de tokens de AWS WAF para inspeccionar y etiquetar las solicitudes web según el estado de sus tokens de AWS WAF. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.
Para obtener información sobre los tókenes y su administración, consulte Uso de tokens en la mitigación inteligente de amenazas de AWS WAF.
Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte Requisitos de sintaxis de etiquetas y nomenclatura en AWS WAF.
Etiqueta de sesión de cliente
La etiqueta awswaf:managed:token:id: contiene un identificador único que la administración de token de AWS WAF utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. identifier
nota
AWS WAF no informa las métricas de Amazon CloudWatch para esta etiqueta.
Etiqueta de la huella digital del navegador
La etiqueta awswaf:managed:token:fingerprint: contiene un robusto identificador de huellas digitales del navegador que la administración de tokens de AWS WAF calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.fingerprint-identifier
nota
AWS WAF no informa las métricas de Amazon CloudWatch para esta etiqueta.
Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.
Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:
awswaf:managed:token:: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.awswaf:managed:captcha:: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.
Etiquetas de estado del token: nombres de etiquetas
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:
accepted: El token de solicitud está presente y contiene lo siguiente:Una solución válida del desafío o del CAPTCHA.
Una marca de tiempo vigente del desafío o del CAPTCHA.
Una especificación de dominio válida para el paquete de protección (ACL web).
Ejemplo: la etiqueta
awswaf:managed:token:acceptedindica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.-
rejected: El token de solicitud está presente, pero no cumple con los criterios de aceptación.Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.
rejected:not_solved: Al token le falta la solución del desafío o del CAPTCHA.rejected:expired: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web).rejected:domain_mismatch: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web).rejected:invalid: AWS WAF no pudo leer el token indicado.
Ejemplo: las etiquetas
awswaf:managed:captcha:rejectedyawswaf:managed:captcha:rejected:expiredindican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web). -
absent: La solicitud no contiene el token o el administrador del token no ha podido leerlo.Ejemplo: la etiqueta
awswaf:managed:captcha:absentindica que la solicitud no tiene el token.
Etiquetas de ATP
Este grupo de reglas administradas por ATP genera etiquetas con el prefijo del espacio de nombres awswaf:managed:aws:atp: seguido del espacio de nombres y el nombre de la etiqueta personalizados.
El grupo de reglas puede agregar cualquiera de las siguientes etiquetas además de las que aparecen en la lista de reglas:
-
awswaf:managed:aws:atp:signal:credential_compromised: indica que las credenciales que se enviaron en la solicitud se encuentran en la base de datos de credenciales robadas. -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint.: disponible solo para distribuciones protegidas de Amazon CloudFront. Indica que la sesión de un cliente ha enviado varias solicitudes que utilizaban una huella digital de TLS sospechosa. -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip: indica el uso de un único token entre más de 5 direcciones IP distintas. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la etiqueta.
Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al DescribeManagedRuleGroup. Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta.
Lista de reglas de prevención de apropiación de cuentas
En esta sección se enumeran las reglas de la ATP en AWSManagedRulesATPRuleSet y las etiquetas que las reglas del grupo de reglas agrega a las solicitudes web.
nota
Esta documentación cubre la versión estática más reciente de este grupo de reglas administrado. Reportamos los cambios de versión en el registro de cambios en Registro de cambios de las reglas administradas de AWS. Para obtener información acerca de otras versiones, use el comando de API DescribeManagedRuleGroup.
La información que publicamos sobre las reglas en los grupos de reglas administradas de AWS tiene por objeto proporcionarle información suficiente para usarlas, pero no proporciona información que los actores malintencionados puedan usar para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el Centro de AWS Support
| Nombre de la regla | Descripción y etiqueta |
|---|---|
UnsupportedCognitoIDP |
Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. La ACFP no está disponible para su uso con los grupos de usuarios de Amazon Cognito y esta regla ayuda a garantizar que las demás reglas del grupo de reglas de la ATP no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de la regla: Block Etiquetas: |
VolumetricIpHigh |
Inspecciona en busca de altos volúmenes de solicitudes enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos. notaLos umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla. Acción de la regla: Block Etiquetas: El grupo de reglas aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y de volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: |
VolumetricSession |
Inspecciona los grandes volúmenes de solicitudes enviadas desde las sesiones individuales de los clientes. El umbral es de más de 20 solicitudes por período de 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes por los SDK de integración de y por las acciones de regla CAPTCHA y Challenge. Para obtener más información, consulte Uso de tokens en la mitigación inteligente de amenazas de AWS WAF. notaLos umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiquetas: |
AttributeCompromisedCredentials |
Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan credenciales robadas. Acción de la regla: Block Etiquetas: |
AttributeUsernameTraversal |
Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan el nombre de usuario transversal. Acción de la regla: Block Etiquetas: |
AttributePasswordTraversal |
Comprueba si hay varias solicitudes con el mismo nombre de usuario que utilizan la contraseña transversal. Acción de la regla: Block Etiquetas: |
AttributeLongSession |
Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan sesiones largas. El umbral es de más de 6 horas de tráfico con al menos una solicitud de inicio de sesión cada 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes por los SDK de integración de y por las acciones de regla CAPTCHA y Challenge. Para obtener más información, consulte Uso de tokens en la mitigación inteligente de amenazas de AWS WAF. Acción de la regla: Block Etiquetas: |
TokenRejected |
Inspecciona las solicitudes con tokens que son rechazadas por la administración de tokens de AWS WAF. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes por los SDK de integración de y por las acciones de regla CAPTCHA y Challenge. Para obtener más información, consulte Uso de tokens en la mitigación inteligente de amenazas de AWS WAF. Acción de la regla: Block Etiquetas: ninguna. Para comprobar si se ha rechazado el token, utilice una regla de coincidencia de etiquetas para que coincida con la etiqueta: |
SignalMissingCredential |
Inspecciona las solicitudes con credenciales a las que les falte el nombre de usuario o la contraseña. Acción de la regla: Block Etiquetas: |
VolumetricIpFailedLoginResponseHigh |
Comprueba si hay direcciones IP que hayan originado recientemente una tasa demasiado alta de intentos fallidos de inicio de sesión. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una dirección IP en un período de 10 minutos. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65 536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. notaAWS WAF solo evalúa esta regla en los paquetes de protección (ACL web) que protegen las distribuciones de Amazon CloudFront. notaLos umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Acción de la regla: Block Etiquetas: El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. |
VolumetricSessionFailedLoginResponseHigh |
Comprueba si hay sesiones de cliente que hayan originado recientemente una tasa demasiado alta de intentos de inicio de sesión fallidos. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una sesión de cliente en un período de 30 minutos. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65 536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. notaAWS WAF solo evalúa esta regla en los paquetes de protección (ACL web) que protegen las distribuciones de Amazon CloudFront. notaLos umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes por los SDK de integración de y por las acciones de regla CAPTCHA y Challenge. Para obtener más información, consulte Uso de tokens en la mitigación inteligente de amenazas de AWS WAF. Acción de la regla: Block Etiquetas: El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 30 minutos. |
