¿Cómo utilizo AWS WAF para mitigar los ataques DDoS?

Descripción corta

Para usar AWS WAF como principal medida de mitigación contra los ataques DDoS a nivel de aplicación, toma las siguientes medidas:

• Usa reglas basadas en tasas.
• Consulta los registros de AWS WAF para recopilar información específica sobre actividades no autorizadas.
• Crea una regla de coincidencia geográfica para bloquear las solicitudes incorrectas de un país que no se espera para tu empresa.
• Crea una regla de coincidencia de conjuntos de direcciones IP para bloquear las solicitudes incorrectas.
• Crea una regla de coincidencia de cadenas para bloquear las solicitudes incorrectas.
• Crea una regla de coincidencia de expresiones regulares para bloquear las solicitudes incorrectas.
• Activa Bot Control y usa el nivel de protección dirigido.
• Utiliza el grupo de reglas administrado de la lista de reputación de direcciones IP de Amazon.

Para los ataques a la capa de infraestructura, utiliza los servicios de AWS, como Amazon CloudFront y Elastic Load Balancing (ELB), para ofrecer protección automática contra DDoS. Para obtener más información, consulta Prácticas recomendadas de AWS para la resiliencia de DDoS. También puedes usar la capa de aplicación automática de AWS Shield Avanzado para mitigar los ataques sofisticados, como los de las capas 3 a 7. Para obtener más información, consulta Automatización de la mitigación de DDoS en la capa de aplicación con Shield Avanzado.

Resolución

Uso de reglas basadas en tasas

Creación de una regla general basada en tasas

Utiliza una regla general basada en tasas para establecer un umbral para la cantidad de solicitudes que las direcciones IP pueden realizar a tu aplicación web.

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En Región, selecciona la región de AWS en la que hayas creado el paquete de protección.
3. En el panel de navegación, elige Paquetes de protección y recursos.
4. En el lado derecho del paquete de protección, selecciona el icono situado junto al nombre de la región para elegir el paquete de protección.
5. En el paquete de protección seleccionado, selecciona Reglas.
6. Selecciona Ver y editar junto a Reglas para ver o modificar las reglas asociadas a tu paquete de protección.
7. En el panel derecho de Administrar reglas, selecciona Agregar reglas.
8. Elige Regla personalizada y selecciona Siguiente.
9. Selecciona Regla basada en tasas y selecciona Siguiente.
10. Para configurar la regla, configura los siguientes valores:
    En Acción, selecciona Bloquear.
    En Nombre, introduce un nombre de regla.
    En Límite de tasas, introduce un número entre 10 y 2 000 000 000.
    Nota: Si no sabes con seguridad qué límite de frecuencia establecer, usa la acción de regla para contar y supervisar tus patrones de solicitudes. Luego, establece un límite de tasa en función de tu valor de referencia.
    En la ventana Evaluación, introduce 1, 2, 5 o 10 minutos.
    En el menú desplegable del bloque de configuración de reglas:
    En Dirección IP que se va a usar para la limitación de tasas, selecciona Dirección IP de origen o Dirección IP en el encabezado.
    Nota: Después de enviar un cambio en la tasa de solicitud, es posible que AWS WAF tarde en aplicar o eliminar la acción de la regla.
    En Alcance de la inspección, selecciona Considerar todas las solicitudes.
11. Selecciona Crear regla.

Creación de una regla basada en tasas de clave (ruta URI) personalizada

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En Región, selecciona la región de AWS en la que hayas creado el paquete de protección.
3. En el panel de navegación, elige Paquetes de protección y recursos.
4. En el lado derecho del paquete de protección, selecciona el icono situado junto al nombre de la región para elegir el paquete de protección.
5. En el paquete de protección seleccionado, selecciona Reglas.
6. Selecciona Ver y editar junto a Reglas para ver o modificar las reglas asociadas a tu paquete de protección.
7. En el panel derecho de Administrar reglas, selecciona Agregar reglas.
8. Elige Regla personalizada y selecciona Siguiente.
9. Selecciona Regla basada en tasas y selecciona Siguiente.
10. Para configurar la regla, configura los siguientes valores:
    En Acción, selecciona Bloquear.
    En Nombre, introduce un nombre de regla.
    En Límite de tasas, introduce un número entre 10 y 2 000 000 000.
    Nota: Si no sabes con seguridad qué límite de frecuencia establecer, usa la acción de regla para contar y supervisar tus patrones de solicitudes. Luego, establece un límite de tasa en función de tu valor de referencia.
    En la ventana Evaluación, introduce 1, 2, 5 o 10 minutos.
    En el menú desplegable del bloque de configuración de reglas:
    En Configuración de reglas, seleccione Claves personalizadas.
11. EN Solicitar claves de agregación, selecciona Ruta de URI.
12. EnTransformación de texto, elige Ninguna.
    Nota: Después de enviar un cambio en la tasa de solicitud, es posible que AWS WAF tarde en aplicar o eliminar la acción de la regla.
    En Alcance de la inspección, selecciona Considerar todas las solicitudes.
13. Selecciona Crear regla.

Para obtener más información, consulta Las tres reglas basadas en tasas más importantes de AWS WAF.

Consulta de los registros de AWS WAF para recopilar información específica sobre actividades no autorizadas

Activa los registros de AWS WAF. A continuación, consulta los registros de AWS WAF para investigar los escenarios de DDoS.

Puedes usar los siguientes servicios de AWS para consultar los registros de AWS WAF:

• Registros de Amazon CloudWatch
• Amazon Athena
• Amazon OpenSearch Service y Amazon QuickSight

Uso del analizador de registros de Amazon Athena o el analizador de registros de AWS Lambda

AWS WAF tiene un límite de tasas mínimo aceptable para las reglas basadas en tasas. Si no puedes usar reglas basadas en tasas porque el volumen es bajo o necesitas un periodo de bloqueo personalizable, usa un analizador de registros en Athena o Lambda. Ambos servicios están disponibles en Automatizaciones de seguridad para AWS WAF.

Creación de una instrucción de reglas de coincidencia geográfica para bloquear las solicitudes incorrectas de un país que no se espera para tu empresa

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En Región, selecciona la región de AWS en la que hayas creado el paquete de protección.
3. En el panel de navegación, elige Paquetes de protección y recursos.
4. En el lado derecho del paquete de protección, selecciona el icono situado junto al nombre de la región para elegir el paquete de protección.
5. En el paquete de protección seleccionado, selecciona Reglas.
6. Selecciona Ver y editar junto a Reglas para ver o modificar las reglas asociadas a tu paquete de protección.
7. En el panel derecho de Administrar reglas, selecciona Agregar reglas.
8. Selecciona Regla basada en la ubicación geográfica.
9. Para configurar la regla, configura los siguientes valores:
   En Acción de regla, elige Bloquear.
   En Nombre, introduce un nombre de regla.
   En la instrucción, selecciona los códigos de país que deseas bloquear.
10. Selecciona Crear regla.

Para obtener más información, consulta Instrucción de reglas de coincidencia geográfica.

Creación de una regla de coincidencia de conjuntos de direcciones IP para bloquear las solicitudes incorrectas de direcciones IP específicas

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En Región, selecciona la región de AWS en la que hayas creado el paquete de protección.
3. En el panel de navegación, elige Paquetes de protección y recursos.
4. En el lado derecho del paquete de protección, selecciona el icono situado junto al nombre de la región para elegir el paquete de protección.
5. En el paquete de protección seleccionado, selecciona Reglas.
6. Selecciona Ver y editar junto a Reglas para ver o modificar las reglas asociadas a tu paquete de protección.
7. En el panel derecho de Administrar reglas, selecciona Agregar reglas.
8. Elige Regla basada en IP y selecciona Siguiente.
9. Para configurar la regla, configura los siguientes valores:
   En Acción de regla, elige Bloquear.
   En Nombre, introduce un nombre de regla.
   En la instrucción, activa Usar conjunto de IP existente y elige el conjunto de IP.
10. Selecciona Crear regla.

Para obtener más información, consulta Instrucción de regla de coincidencia de conjuntos de IP.

Creación de una instrucción de reglas de coincidencia de cadenas para bloquear las solicitudes incorrectas

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En Región, selecciona la región de AWS en la que hayas creado el paquete de protección.
3. En el panel de navegación, elige Paquetes de protección y recursos.
4. En el lado derecho del paquete de protección, selecciona el icono situado junto al nombre de la región para elegir el paquete de protección.
5. En el paquete de protección seleccionado, selecciona Reglas.
6. Selecciona Ver y editar junto a Reglas para ver o modificar las reglas asociadas a tu paquete de protección.
7. En el panel derecho de Administrar reglas, selecciona Agregar reglas.
8. Elige Regla personalizada y selecciona Siguiente.
9. Vuelve a elegir Regla personalizada y selecciona Siguiente.
10. En Acción de regla, elige Bloquear.
11. Para configurar la regla, configura los siguientes valores:
    En Nombre, introduce un nombre de regla.
    En Si la solicitud, selecciona coincide con la instrucción.
    En Inspeccionar, selecciona Encabezado.
    En Nombre del campo de encabezado, introduce el nombre del bot que deseas bloquear tal y como aparece en los registros de AWS WAF.
    En Tipo de coincidencia, selecciona Coincide exactamente con la cadena.
    En Cadena que debe coincidir, introduce el valor del bot que deseas bloquear tal y como aparece en los registros de AWS WAF.
12. Selecciona Crear regla.

Para obtener más información, consulta Instrucción de reglas de coincidencia de cadenas.

Creación de una instrucción de reglas de coincidencia de expresiones regulares para bloquear las solicitudes incorrectas

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En Región, selecciona la región de AWS en la que hayas creado el paquete de protección.
3. En el panel de navegación, elige Paquetes de protección y recursos.
4. En el lado derecho del paquete de protección, selecciona el icono situado junto al nombre de la región para elegir el paquete de protección.
5. En el paquete de protección seleccionado, selecciona Reglas.
6. Selecciona Ver y editar junto a Reglas para ver o modificar las reglas asociadas a tu paquete de protección.
7. En el panel derecho de Administrar reglas, selecciona Agregar reglas.
8. Elige Regla personalizada y selecciona Siguiente.
9. Vuelve a elegir Regla personalizada y selecciona Siguiente.
10. Para configurar la regla, configura los siguientes valores:
    En Acción de regla, elige Bloquear.
    En Nombre, introduce un nombre de regla.
    Selecciona coincide con la instrucción en Si la solicitud . En Inspeccionar, elige Ruta de URI.
    En Tipo de coincidencia, selecciona Coincide con la expresión regular.
    En Cadena que debe coincidir, introduce la expresión regular que quieres bloquear.
    En Acción de regla, elige Bloquear.
11. Selecciona Crear regla.

Para obtener más información, consulta Instrucción de reglas de coincidencia de expresiones regulares.

Activación de Bot Control y uso del nivel de protección dirigido

El nivel de protección dirigido para Bot Control de AWS WAF utiliza una combinación de limitación de tasas y acciones de desafío y CAPTCHA para reducir la actividad de los bots. Para obtener información sobre los precios específicos de Bot Control dirigido, consulta el caso F en la página de precios de AWS WAF.

Para activar Bot Control y el nivel de protección dirigido, sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En Región, selecciona la región de AWS en la que hayas creado el paquete de protección.
3. En el panel de navegación, elige Paquetes de protección y recursos.
4. En el lado derecho del paquete de protección, selecciona el icono situado junto al nombre de la región para elegir el paquete de protección.
5. En el paquete de protección seleccionado, selecciona Reglas.
6. Selecciona Ver y editar junto a Reglas para ver o modificar las reglas asociadas a tu paquete de protección.
7. En el panel derecho de Administrar reglas, selecciona Agregar reglas.
8. Elige el grupo de reglas administradas de AWS y selecciona Siguiente.
9. En Pagado, selecciona el grupo de reglas de control de bots.
10. En Nivel de inspección, selecciona Objetivo.
11. Selecciona Crear regla.

Uso del grupo de reglas administrado de la lista de reputación de direcciones IP de Amazon

El grupo de reglas administradas AWSManagedIPReputationList utiliza la inteligencia sobre amenazas interna de Amazon para identificar las direcciones IP que han participado activamente en actividades de DDoS.

Para activar el grupo de reglas administradas por la lista de reputación de direcciones IP de Amazon, sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En Región, selecciona la región de AWS en la que hayas creado el paquete de protección.
3. En el panel de navegación, elige Paquetes de protección y recursos.
4. En el lado derecho del paquete de protección, selecciona el icono situado junto al nombre de la región para elegir el paquete de protección.
5. En el paquete de protección seleccionado, selecciona Reglas.
6. Selecciona Ver y editar junto a Reglas para ver o modificar las reglas asociadas a tu paquete de protección.
7. En el panel derecho de Administrar reglas, selecciona Agregar reglas.
8. Elige el grupo de reglas administradas de AWS y selecciona Siguiente.
9. En Reglas gratuitas, selecciona AmazonIpReputationList.
10. Selecciona Crear regla.