Comment puis-je autoriser une adresse IP légitime lors de l'utilisation de la liste d'adresses IP par réputation ou de la liste d'adresses IP anonymes dans AWS WAF ?

Brève description

Les demandes légitimes peuvent être bloquées par l'un des groupes de règles gérées par AWS suivants :

• Les groupes de règles gérées par la liste Amazon de réputation IP vous permettent de bloquer les demandes en fonction de leur adresse IP source qui sont généralement associées à des bots ou à d'autres menaces.
• Les groupes de règles gérées par la liste d'adresses IP anonymes contiennent des règles pour bloquer les demandes provenant de services qui permettent de masquer l'identité de l'utilisateur, comme les VPN ou les proxies.

Pour autoriser une ou plusieurs adresses IP spécifiques, utilisez l'une des méthodes suivantes pour résoudre ce problème :

• Instructions de réduction pour restreindre la portée des demandes évaluées par la règle. Choisissez cette option pour traiter la logique dans un seul groupe de règles.
• Étiquettes sur les demandes web pour permettre à une règle qui correspond à la demande de communiquer les résultats de correspondance aux règles qui seront évaluées ultérieurement dans la même liste de contrôle d'accès web. Choisissez cette option pour réutiliser la même logique dans plusieurs règles.

Solution

Option 1 : utilisation d'instructions de réduction de la portée

Commencez par créer un ensemble d'adresses IP.

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, choisissez IP Sets (Ensembles d'adresses IP), puis Create Rule (Créer une règle).
3. Saisissez un nom pour l'ensemble d'adresses IP et une description (facultatif) pour l'ensemble d'adresses IP. Par exemple : MyTrustedIPs.
   Remarque : vous ne pouvez pas modifier le nom de l'ensemble d'adresses IP après avoir créé l'ensemble d'adresses IP.
4. Pour Region (Région), choisissez la région AWS dans laquelle vous souhaitez stocker l'ensemble d'adresses IP. Pour utiliser un ensemble d'adresses IP dans les listes de contrôle d'accès web qui protègent les distributions Amazon CloudFront, vous devez utiliser Global (CloudFront).
5. Pour IP version (Version IP), choisissez la version que vous souhaitez utiliser.
6. Pour IP addresses (Adresses IP), saisissez une adresse IP ou une plage d'adresses IP par ligne que vous souhaitez autoriser en notation CIDR.
   Remarque : AWS WAF prend en charge toutes les plages d'adresses CIDR IPv4 et IPv6, à l'exception de /0.
   Exemples :
   Pour spécifier l'adresse IPv4 192.168.0.26, saisissez 192.168.0.26/32.
   Pour spécifier l'adresse IPv6 0:0:0:0:0:ffff:c000:22c, saisissez 0:0:0:0:0:ffff:c000:22c/128.
   Pour spécifier la plage d'adresses IPv4 comprise entre 192.168.20.0 et 192.168.20.255, saisissez 192.168.20.0/24.
   Pour spécifier la plage d'adresses IPv6 comprise entre 2620:0:2d0:200:0:0:0:0 et 2620:0:2d0:200:ffff:ffff:ffff:ffff, saisissez 2620:0:2d0:200::/64.
7. Vérifiez les paramètres de l'ensemble d'adresses IP. Si ils correspondent à vos spécifications, sélectionnez Create IP set (Créer un ensemble d'adresses IP).

Ensuite, ajoutez une instruction de réduction de la portée à la règle gérée AWS spécifique bloquant vos demandes.

1. Dans le volet de navigation, sous AWS WAF, choisissez Web ACLs (ACL web).
2. Pour Region (Région), sélectionnez la région AWS dans laquelle vous avez créé votre liste ACL web.
   **Remarque :**sélectionnez Global si votre liste ACL web est configurée pour Amazon CloudFront.
3. Sélectionnez votre liste ACL web.
4. Dans l'onglet Rules (Règles) de la l'ACL web, choisissez le groupe de règles gérées par AWS spécifique qui bloque votre demande, puis choisissez Edit (Modifier).
5. Pour l'instruction de réduction de la portée (facultatif), choisissez Enable scope-down statement (Autoriser l'instruction de réduction de la portée).
6. Pour If a request (Si une requête), choisissez doesn’t match the statement (NOT) [ne correspond pas à l'instruction (NOT)].
7. Dans Statement (Instruction), pour Inspect (Inspecter) choisissez Originates from IP address in (Provient de l'adresse IP dans).
8. Pour IP Set (Ensemble d'adresses IP), choisissez le jeu d'adresses IP que vous avez créé précédemment. Par exemple : MyTrustedIPs.
9. Pour IP address to use as the originating address (Adresse IP à utiliser comme adresse d'origine), choisissez Source IP address (Adresse IP source).
10. Cliquez sur Save rule (Enregistrer la règle).

Option 2 : utilisation d'étiquettes sur les demandes web

Commencez par créer un ensemble d'adresses IP.

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, choisissez IP Sets (Ensembles d'adresses IP), puis Create Rule (Créer une règle).
3. Saisissez un nom pour l'ensemble d'adresses IP et une description (facultatif) pour l'ensemble d'adresses IP. Par exemple : MyTrustedIPs.
   Remarque : vous ne pouvez pas modifier le nom de l'ensemble d'adresses IP après avoir créé l'ensemble d'adresses IP.
4. Pour Region (Région), choisissez la région AWS dans laquelle vous souhaitez stocker l'ensemble d'adresses IP. Pour utiliser un ensemble d'adresses IP dans les listes de contrôle d'accès web qui protègent les distributions Amazon CloudFront, vous devez utiliser Global (CloudFront).
5. Pour IP version (Version IP), choisissez la version que vous souhaitez utiliser.
6. Pour IP addresses (Adresses IP), saisissez une adresse IP ou une plage d'adresses IP par ligne que vous souhaitez autoriser en notation CIDR.
   Remarque : AWS WAF prend en charge toutes les plages d'adresses CIDR IPv4 et IPv6, à l'exception de /0.
   Exemples :
   Pour spécifier l'adresse IPv4 192.168.0.26, saisissez 192.168.0.26/32.
   Pour spécifier l'adresse IPv6 0:0:0:0:0:ffff:c000:22c, saisissez 0:0:0:0:0:ffff:c000:22c/128.
   Pour spécifier la plage d'adresses IPv4 comprise entre 192.168.20.0 et 192.168.20.255, saisissez 192.168.20.0/24.
   Pour spécifier la plage d'adresses IPv6 comprise entre 2620:0:2d0:200:0:0:0:0 et 2620:0:2d0:200:ffff:ffff:ffff:ffff, saisissez 2620:0:2d0:200::/64.
7. Vérifiez les paramètres de l'ensemble d'adresses IP. Si ils correspondent à vos spécifications, sélectionnez Create IP set (Créer un ensemble d'adresses IP).

Ensuite, modifiez les actions de règle pour les prendre en compte dans un groupe de règles.

1. Dans l'onglet Rules (Règles) de la page ACL web, sélectionnez le groupe de règles gérées par AWS qui bloque votre demande, puis choisissez Edit (Modifier).
2. Dans la section Rules (Règles) du groupe de règles, effectuez l'une des actions suivantes :
   Pour AWSManagedIPReputationList, activez Count (Compter).
   Pour AnonymousIPList Rule, activez Count (Compter).
3. Cliquez sur Save rule (Enregistrer la règle).

Enfin, créez une règle avec une priorité numérique plus élevée que la règle gérée AWS spécifique bloquant la demande.

1. Dans le volet de navigation, sous AWS WAF, choisissez Web ACLs (ACL web).
2. Pour Region (Région), choisissez la région AWS dans laquelle vous avez créé votre liste ACL web. Remarque : sélectionnez Global si votre liste ACL web est configurée pour Amazon CloudFront.
3. Sélectionnez votre liste ACL web.
4. Choisissez Rules (Règles).
5. Sélectionnez Add rules (Ajouter des règles), puisAdd my own rules and rule groups (Ajouter mes propres règles et groupes de règles).
6. Pour Name (Nom), saisissez un nom de règle, puis choisissez Regular Rule (Règle régulière).
7. Pour If a request (Si une demande), choisissez matches all the statements (AND) [correspond à toutes les instructions (AND)].
8. Dans Statement 1 (Instruction 1) :
   Pour Inspect (Inspecter), choisissez Has a label (Possède une étiquette).
   Pour Match scope (Portée de la correspondance), choisissez Label (Étiquette).
   Pour Match key (Clé de correspondance), sélectionnez awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList ou awswaf:managed:aws:anonymous-ip-list:AnonymousIPList en fonction de la règle gérée qui bloquait votre demande
9. Dans Statement 2 (Instruction 2) :
   Pour Negate statement (NOT) [Annuler l'instruction (NOT)], choisissez Negate statement results (Annuler les résultats de l'instruction).
   Pour Inspect (Inspecter), choisissez Originates from IP address in (Provient de l'adresse IP dans).
   Pour IP Set (Ensemble d'adresses IP), choisissez le jeu d'adresses IP que vous avez créé précédemment.
   Pour IP address to use as the originating address (Adresse IP à utiliser comme adresse d'origine), choisissez Source IP address (Adresse IP source).
10. Pour Action, choisissez Block (Bloquer).
11. Choisissez Add rule (Ajouter une règle).
12. Pour Set rule priority (Définir la priorité des règles), déplacez la règle en dessous de la règle gérée par AWS qui bloquait la demande.
13. Choisissez Save (Enregistrer).

Important : il est recommandé de tester les règles dans un environnement hors production avec Action définie sur Count (Compter). Évaluez la règle à l'aide des métriques Amazon CloudWatch combinées aux demandes échantillonnées AWS WAF ou aux journaux AWS WAF. Lorsque vous êtes convaincu que la règle fait ce que vous voulez, définissez Action sur Block (Bloquer).

Informations connexes

Comment détecter les faux positifs causés par les règles gérées par AWS et les ajouter à une liste blanche ?