Cómo AWS WAF usa los tókenes - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Cómo AWS WAF usa los tókenes

En esta sección, se explica cómo AWS WAF utiliza los tókenes.

AWS WAF usa tokens para registrar y verificar los siguientes tipos de validación de la sesión del cliente:

  • CAPTCHA: los rompecabezas de CAPTCHA ayudan a distinguir a los bots de los usuarios humanos. Un CAPTCHA solo se ejecuta mediante la acción de regla CAPTCHA. Al completar con éxito el rompecabezas, el script CAPTCHA actualiza la marca de tiempo del CAPTCHA del token. Para obtener más información, consulte CAPTCHA y Challenge en AWS WAF.

  • Desafío: los desafíos se ejecutan de forma silenciosa para ayudar a distinguir las sesiones normales de los clientes de las sesiones de bots y hacer que su funcionamiento sea más costoso para los bots. Cuando el desafío se completa correctamente, el script del desafío obtiene automáticamente un nuevo token de AWS WAF si es necesario y, a continuación, actualiza la marca de tiempo del desafío del token.

    AWS WAF presenta desafíos en las siguientes situaciones:

    • SDK de integración de aplicaciones: los SDK de integración de aplicaciones se ejecutan dentro de las sesiones de la aplicación cliente y ayudan a garantizar que los intentos de inicio de sesión solo se permitan después de que el cliente haya respondido correctamente a un desafío. Para obtener más información, consulte Integración de aplicaciones cliente en AWS WAF.

    • regla de acción de Challenge: para obtener más información sobre las acciones de las reglas, consulte CAPTCHA y Challenge en AWS WAF.

    • CAPTCHA – cuando se ejecuta un intersticial CAPTCHA, si el cliente aún no tiene un token, el script ejecuta primero automáticamente un desafío para verificar la sesión del cliente e inicializar el token.

Muchas de las reglas de los grupos de reglas administradas de AWS de amenazas inteligentes requieren los tokens. Las reglas utilizan tokens para hacer cosas como distinguir entre los clientes a nivel de sesión, determinar las características del navegador y comprender el nivel de interactividad humana en la página web de la aplicación. Estos grupos de reglas invocan la administración de tokens de AWS WAF, que aplica un etiquetado de token que luego inspeccionan los grupos de reglas.

  • Prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF: las normas de la ACFP exigen que las solicitudes web se realicen con tokens válidos. Para obtener más información acerca de las reglas, consulte Grupo de reglas de prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF.

  • Prevención contra apropiación de cuentas (ATP) de control de fraudes de AWS WAF: las normas de la ATP que impiden que las sesiones de clientes sean muy voluminosas y duren mucho tiempo, exigen que las solicitudes web estén acompañadas de un token válido y una marca de tiempo de desafío vigente. Para obtener más información, consulte Grupo de reglas de Prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF.

  • Control de bots de AWS WAF: las reglas específicas de este grupo de reglas limitan la cantidad de solicitudes web que un cliente puede enviar sin un token válido y utilizan el seguimiento de las sesiones mediante un token para la monitorización y la administración de las sesiones. Según sea necesario, las reglas aplican las acciones de regla Challenge y CAPTCHA para aplicar la adquisición de los tokens y un comportamiento válido del cliente. Para obtener más información, consulte Grupo de reglas de control de bots de AWS WAF.