Como o AWS WAF pode ajudar a evitar ataques de login por força bruta?

6 minuto de leitura
0

Como posso usar o AWS WAF para ajudar a evitar ataques de força bruta?

Breve descrição

Um ataque de força bruta é uma tática para obter acesso não autorizado a contas, sistemas e redes usando métodos de tentativa e erro para adivinhar credenciais de login e chaves de criptografia. Esse ataque é chamado de força bruta porque um hacker usa um excesso de tentativas forçadas para obter acesso às suas contas.

Os seguintes recursos do AWS WAF ajudam a evitar ataques de login por força bruta:

Resolução

Regras baseadas em taxas

Uma regra baseada em taxas rastreia solicitações com base nos endereços IP de origem. A regra será chamada se a taxa de solicitações exceder o limite definido por intervalo de cinco minutos.

Crie uma regra baseada em taxas para bloquear solicitações se a taxa de solicitações for maior que a esperada. Para encontrar o limite de uma regra baseada em taxas, você deve ativar o registro em log do AWS WAF e analisar os logs para obter a taxa de solicitações. Para obter informações sobre como criar uma regra baseada em taxas, consulte Criar uma regra e adicionar condições.

Você também pode criar uma regra baseada em taxas específica para um caminho de URI. Ataques de força bruta geralmente visam as páginas de login para obter acesso às credenciais da conta. Páginas diferentes em um site podem receber taxas diferentes de solicitações. Por exemplo, uma página inicial pode receber uma taxa de tráfego mais alta em comparação com páginas de login.

Para criar uma regra baseada em taxas específica para uma página de login, use a seguinte configuração de regra:

  • Para Inspect Request (Inspecionar solicitação), escolha URI path (Caminho do URI).
  • Para Match type (Tipo de correspondência), escolha Starts with string (Começa com string).
  • Para String to match (String de correspondência), escolha /login.

CAPTCHA DO AWS WAF

Os desafios de CAPTCHA DO AWS WAF verificam se as solicitações que chegam ao seu site são de um ser humano ou de um bot. O uso do CAPTCHA ajuda a evitar ataques de força bruta, preenchimento de credenciais, exploração da Web e solicitações de spam para servidores.

Se as páginas da Web forem projetadas para receber solicitações de humanos, mas forem suscetíveis a ataques de força bruta, crie uma regra com uma ação CAPTCHA. Solicitações de ação CAPTCHA permitem o acesso a um servidor quando o desafio CAPTCHA é concluído com êxito.

Para configurar uma ação CAPTCHA na sua página de login, use a seguinte configuração de regra:

  • Para Inspect (Inspecionar), escolha URI path (Caminho do URI).
  • Para Match type (Tipo de correspondência), escolha Starts with string (Começa com string).
  • Para String to match (String de correspondência), escolha /login.
  • Para Action (Ação), escolha CAPTCHA.
  • Para Immunity time (Tempo de imunidade), escolha Time in seconds (Tempo em segundos).

Se uma ação CAPTCHA estiver configurada, os usuários que acessarem sua página de login deverão concluir o CAPTCHA antes de poderem inserir suas informações de login. Essa proteção ajuda a evitar ataques de força bruta de bots.

Observação: para ajudar a evitar ataques de força bruta de um ser humano, defina um tempo de imunidade baixo. Um tempo de imunidade baixo retarda o ataque, pois o atacante deve completar o CAPTCHA para cada solicitação. Para obter mais informações, consulte Configurar o tempo de imunidade do CAPTCHA.

Para obter mais informações sobre o CAPTCHA DO AWS WAF, consulte CAPTCHA DO AWS WAF.

Grupo de regras gerenciadas de ATP

O grupo de regras gerenciadas de Prevenção controla controle de conta (ATP) do AWS WAF inspeciona solicitações mal-intencionadas que tentam assumir o controle da sua conta. Por exemplo, ataques de login de força bruta que usam tentativa e erro para adivinhar credenciais e obter acesso não autorizado à sua conta.

O grupo de regras de ATP é um grupo de regras gerenciadas pela AWS contendo regras predefinidas que fornecem visibilidade e controle sobre solicitações que executam tentativas de login anômalas.

Use o seguinte subconjunto de regras no grupo de regras de ATP para ajudar a bloquear ataques de força bruta:

VolumetricIpHigh
Inspeciona grandes volumes de solicitações enviadas de endereços IP individuais.

AttributePasswordTraversal
Inspeciona se há tentativas que usam passagem de senha.

AttributeLongSessionInspeciona se há tentativas que usam sessões de longa duração.

AttributeUsernameTraversalInspeciona tentativas que usam passagem de nome de usuário.

VolumetricSession
Inspeciona grandes volumes de solicitações enviadas de sessões individuais.

MissingCredential
Inspeciona se há credenciais ausentes.

Para obter mais informações sobre como configurar um grupo de regras de ATP, consulte Prevenção controla controle de conta (ATP) do AWS WAF Fraud Control.

AWS WAF Automation on AWS

O AWS WAF Security Automation é um modelo do AWS CloudFormation usado para implantar uma ACL da Web com um conjunto de regras. Você pode ativar essas regras com base no seu caso de uso. Quando um hacker tenta adivinhar as credenciais corretas como parte de um ataque de força bruta, ele recebe um código de erro para cada tentativa de login incorreta. Por exemplo, um código de erro pode ser uma resposta 401 Unauthorized (401 sem autorização).

A regra Scanners and probes (Verificadores e sondas) pode bloquear solicitações provenientes de um IP que recebe continuamente um código de resposta específico. A ativação dessa regra implanta uma função do AWS Lambda ou uma consulta do Amazon Athena que analisa automaticamente os logs de acesso do Amazon CloudFront ou do Application Load Balancer (ALB) para verificar o código de resposta HTTP do servidor de backend. Se o número de solicitações que recebem o código de erro atingir um limite definido, a regra bloqueará essas solicitações por um período de tempo personalizado que você pode configurar.

Para obter mais informações sobre esse modelo e como implantá-lo, consulte Implementar automaticamente uma única lista de controle de acesso à Web que filtra ataques baseados na Web com o AWS WAF Automation on AWS.


AWS OFICIAL
AWS OFICIALAtualizada há 2 anos