Wie erlaube ich eine legitime IP-Adresse, wenn ich die IP-Reputationsliste oder anonyme IP-Liste in AWS WAF verwende?

Kurzbeschreibung

Legitime Anfragen können von einer der folgenden von AWS verwalteten Regelgruppen blockiert werden:

• Mit von Amazon-IP-Reputationslisten verwalteten Regelgruppen können Sie Anfragen basierend auf ihrer Quell-IP-Adresse blockieren, die normalerweise mit Bots oder anderen Bedrohungen in Verbindung gebracht werden.
• Verwaltete Regelgruppen für anonyme IP-Listen enthalten Regeln zum Blockieren von Anfragen von Services, die die Verschleierung der Vieweridentität wie VPNs oder Proxys ermöglichen.

Um eine oder mehrere bestimmte IP-Adressen zuzulassen, verwenden Sie eine der folgenden Methoden, um dieses Problem zu lösen:

• Scope-Down-Anweisungen zur Eingrenzung des Umfangs der Anforderungen, die die Regel auswertet. Wählen Sie diese Option für Adressierungslogik in einer einzelnen Regelgruppe.
• Beschriftungen in Webanforderungen, damit eine Regel, die mit der Anforderung übereinstimmt, die Übereinstimmungsergebnisse an Regeln weitergeben kann, die später im gleichen Web-ACL ausgewertet werden. Wählen Sie diese Option, um dieselbe Logik über mehrere Regeln hinweg wiederzuverwenden.

Lösung

Option 1: Verwendung von Scope-Down-Anweisungen

Erstellen Sie zunächst ein IP-Set.

1. Öffnen Sie die AWS WAF-Konsole.
2. Wählen Sie im Navigationsbereich IP-Sets und dann IP-Set erstellen aus.
3. Geben Sie einen Namen des IP-Sets und eine Beschreibung ein – optional für das IP-Set. Zum Beispiel: MyTrustedIPs.
   Hinweis: Sie können den Namen des IP-Sets nicht ändern, nachdem Sie das IP-Set erstellt haben.
4. Wählen Sie für Region die AWS-Region aus, in der Sie das IP-Set speichern möchten. Um ein IP-Set in Web-ACLs zu verwenden, die Amazon CloudFront-Verteilungen schützen, müssen Sie Global (CloudFront) verwenden.
5. Wählen Sie für die IP-Version die Version aus, die Sie verwenden möchten.
6. Geben Sie für IP-Adressen eine IP-Adresse oder einen IP-Adressbereich pro Zeile ein, die Sie in CIDR-Notation zulassen möchten.
   Hinweis: AWS WAF unterstützt alle IPv4- und IPv6-CIDR-Bereiche mit Ausnahme von /0.
   Beispiele:
   Geben Sie 192.168.0.26 ein, um die IPv4-Adresse 192.168.0.26/32 anzugeben.
   Um die IPv6-Adresse 0:0:0:0:0:ffff:c000:22c anzugeben, geben Sie 0:0:0:0:0:ffff:c000:22c/128 ein.
   Um den Bereich der IPv6-Adressen von 2620:0:2d0:200:0:0:0:0 bis 2620:0:2d0:200:ffff:ffff:ffff:ffff anzugeben, geben Sie 2620:0:2d0:200::/64 ein.
   Um den Bereich der IPv6-Adressen von 2620:0:2d0:200:0:0:0:0 bis 2620:0:2d0:200:ffff:ffff:ffff:ffff anzugeben, geben Sie 2620:0:2d0:200::/64 ein.
7. Überprüfen Sie die Einstellungen für das IP-Set. Wenn es Ihren Spezifikationen entspricht, wählen Sie IP-Set erstellen.

Fügen Sie dann der spezifischen verwalteten AWS-Regel eine Scope-Down-Anweisung hinzu, die Ihre Anfragen blockiert.

1. Wählen Sie im Navigationsbereich unter AWS WAF Web ACLs aus.
2. Wählen Sie für Region die AWS-Region aus, in der Sie Ihre Web-ACL erstellt haben.
   Hinweis: Wählen Sie Global aus, wenn Ihre Web-ACL für Amazon CloudFront eingerichtet ist.
3. Wählen Sie Ihre Web-ACL.
4. Wählen Sie auf der Registerkarte Web-ACL-Regeln die spezifische AWS-verwaltete Regelgruppe aus, die Ihre Anfrage blockiert, und klicken Sie dann auf Bearbeiten.
5. Wählen Sie für Scope-down-Anweisung - optional die Option Scope-down-Anweisung aktivieren aus.
6. Wählen Sie für Wenn eine Anfrage nicht mit der Anweisung übereinstimmt (NICHT).
7. Wählen Sie unter Anweisung für Untersuchen die Option Stammt von IP-Adresse in aus.
8. Wählen Sie für IP-Set das IP-Set aus, das Sie zuvor erstellt haben. Zum Beispiel: MyTrustedIPs.
9. Wählen Sie Quell-IP-Adresse aus, damit die IP-Adresse als Ursprungsadresse verwendet werden soll.
10. Wählen Sie Regel speichern.

Option 2: Verwenden von Labels bei Webanfragen

Erstellen Sie zunächst ein IP-Set.

1. Öffnen Sie die AWS WAF-Konsole.
2. Wählen Sie im Navigationsbereich IP-Sets und dann IP-Set erstellen aus.
3. Geben Sie einen Namen des IP-Sets und eine Beschreibung ein – optional für das IP-Set. Zum Beispiel: MyTrustedIPs.
   Hinweis: Sie können den Namen des IP-Sets nicht ändern, nachdem Sie das IP-Set erstellt haben.
4. Wählen Sie für Region die AWS-Region aus, in der Sie das IP-Set speichern möchten. Um ein IP-Set in Web-ACLs zu verwenden, die Amazon CloudFront-Verteilungen schützen, müssen Sie Global (CloudFront) verwenden.
5. Wählen Sie für die IP-Version die Version aus, die Sie verwenden möchten.
6. Geben Sie für IP-Adressen eine IP-Adresse oder einen IP-Adressbereich pro Zeile ein, die Sie in CIDR-Notation zulassen möchten.
   Hinweis: AWS WAF unterstützt alle IPv4- und IPv6-CIDR-Bereiche mit Ausnahme von /0.
   Beispiele:
   Geben Sie 192.168.0.26 ein, um die IPv4-Adresse 192.168.0.26/32 anzugeben.
   Um die IPv6-Adresse 0:0:0:0:0:ffff:c000:22c anzugeben, geben Sie 0:0:0:0:0:ffff:c000:22c/128 ein.
   Um den Bereich der IPv4-Adressen von 192.168.20.0 bis 192.168.20.255 anzugeben, geben Sie 192.168.20.0/24 ein.
   Um den Bereich der IPv6-Adressen von 2620:0:2d0:200:0:0:0:0 bis 2620:0:2d0:200:ffff:ffff:ffff:ffff anzugeben, geben Sie 22620:0:2d0:200::/64 ein.
7. Überprüfen Sie die Einstellungen für das IP-Set. Wenn es Ihren Spezifikationen entspricht, wählen Sie IP-Set erstellen.

Ändern Sie dann die Regelaktionen so, dass sie in einer Regelgruppe zählen.

1. Wählen Sie auf der Registerkarte Regeln auf der Web-ACL-Seite die AWS-verwaltete Regelgruppe aus, die Ihre Anfrage blockiert, und wählen Sie dann Bearbeiten.
2. Führen Sie im Abschnitt Regeln für die Regelgruppe einen der folgenden Schritte aus:
   Aktivieren Sie für AWSManagedIPReputationList die Option Anzahl.
   Aktivieren Sie für Regel für AnonymousIPList die Option Anzahl.
3. Wählen Sie Regel speichern.

Erstellen Sie abschließend eine Regel mit höherer numerischer Priorität als die spezifische verwaltete AWS-Regel, die die Anforderung blockiert.

1. Wählen Sie im Navigationsbereich unter AWS WAF Web ACLs aus.
2. Wählen Sie für Region die AWS-Region, in der Sie Ihre Web-ACL erstellt haben. Hinweis: Wählen Sie Global aus, wenn Ihre Web-ACL für Amazon CloudFront eingerichtet ist.
3. Wählen Sie Ihre Web-ACL.
4. Wählen Sie Regeln.
5. Wählen Sie Regeln hinzufügen und dann Eigene Regeln und Regelgruppen hinzufügen aus.
6. Geben Sie für Name einen Regelnamen ein, und wählen Sie dann Reguläre Regel aus.
7. Wählen Sie für Wenn eine Anfrage mit allen Anweisungen übereinstimmt (UND).
8. Bei Anweisung 1:
   Wählen Sie für Untersuchen die Option Hat eine Bezeichnung aus.
   Wählen Sie für Übereinstimmungsbereich die Option Bezeichnung aus.
   Wählen Sie für Vergleichsschlüssel entweder awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList oder awswaf:managed:aws:anonymous-ip-list:AnonymousIPList, basierend darauf aus, auf welcher Managed Rule Ihre Anfrage blockiert hat
9. Bei Anweisung 2:
   Wählen Sie für Anweisung negieren (NICHT) die Option Ausstellungsergebnisse negieren aus.
   Wählen Sie für Untersuchen die Option Stammt von IP-Adresse in aus.
   Wählen Sie für IP-Set das IP-Set aus, den Sie zuvor erstellt haben.
   Wählen Sie Quell-IP-Adresse aus, damit die IP-Adresse als Ursprungsadresse verwendet werden soll.
10. Wählen Sie für Aktion Blockieren aus.
11. Wählen Sie Regel hinzufügen.
12. Verschieben Sie für Regelpriorität festlegen die Regel unter die von AWS verwaltete Regel, die die Anforderung blockiert hat.
13. Wählen Sie Speichern aus.

Wichtig: Es ist eine bewährte Methode, Regeln in einer Nicht-Produktionsumgebung zu testen, in der Aktion auf Zählen gesetzt ist. Bewerten Sie die Regel mithilfe von Amazon CloudWatch-Metriken in Kombination mit AWS WAF-Beispielanforderungen oder AWS WAF-Protokollen. Wenn Sie überzeugt sind, dass die Regel das tut, was Sie wollen, ändern Sie die Aktion in Blockieren.

---

Relevante Informationen

Wie kann ich falsch-positive Ergebnisse erkennen, die durch AWS Managed Rules verursacht werden, und sie einer Sicherheitsliste hinzufügen?