Wie kann AWS WAF dazu beitragen, Brute-Force-Login-Angriffe zu verhindern?

Letzte Aktualisierung: 21.07.2022

Wie kann ich AWS WAF verwenden, um Brute-Force-Angriffe zu verhindern?

Kurzbeschreibung

Ein Brute-Force-Angriff ist eine Taktik, um mithilfe von Versuch und Irrtum unbefugten Zugriff auf Konten, Systeme und Netzwerke zu erlangen, um Anmeldeinformationen und Verschlüsselungsschlüssel zu erraten. Dieser Angriff wird als Brute Force bezeichnet, da ein Hacker übermäßig heftige Versuche unternimmt, um Zugriff auf Ihre Konten zu erhalten.

Die folgenden AWS WAF-Funktionen helfen dabei, Brute-Force-Login-Angriffe zu verhindern:

Auflösung

Ratenbasierte Regeln

Eine ratenbasierte Regel verfolgt Anforderungen basierend auf den ursprünglichen IP-Adressen. Die Regel wird aufgerufen, wenn die Anforderungsrate den definierten Schwellenwert pro Fünf-Minuten-Intervall überschreitet.

Erstellen Sie eine ratenbasierte Regel, um Anforderungen zu blockieren, wenn die Anforderungsrate höher als erwartet ist. Um den Schwellenwert für eine ratenbasierte Regel zu ermitteln, müssen Sie die AWS-WAF-Protokollierung aktivieren und die Protokolle analysieren, um die Anforderungsrate zu ermitteln. Informationen zum Erstellen einer ratenbasierten Regel finden Sie unter Erstellen einer Regel und Hinzufügen von Bedingungen.

Sie können auch eine ratenbasierte Regel erstellen, die für einen URI-Pfad spezifisch ist. Brute-Force-Angriffe zielen im Allgemeinen auf Anmeldeseiten ab, um Zugriff auf Kontoanmeldeinformationen zu erhalten. Verschiedene Seiten auf einer Website erhalten möglicherweise unterschiedliche Anforderungsraten. Beispielsweise kann eine Homepage im Vergleich zu Anmeldeseiten eine höhere Traffic-Rate erhalten.

Verwenden Sie die folgende Regelkonfiguration, um eine ratenbasierte Regel speziell für eine Anmeldeseite zu erstellen:

  • Wählen Sie für Prüfanforderung den URI-Pfad aus.
  • Wählen Sie für ÜbereinstimmungstypBeginnt mit Zeichenfolge aus.
  • Wählen Sie /login aus, damit die Zeichenfolge übereinstimmt.

AWS-WAF-CAPTCHA

AWS-WAF-CAPTCHA-Herausforderungen überprüfen, ob Anfragen, die auf Ihre Website gelangen, von einem Menschen oder einem Bot stammen. Die Verwendung von CAPTCHA hilft dabei, Brute-Force-Angriffe, das Füllen von Anmeldeinformationen, Web-Scraping und Spam-Anfragen an Server zu verhindern.

Wenn Webseiten so konzipiert sind, dass sie Anfragen von Menschen empfangen, aber anfällig für Brute-Force-Angriffe sind, erstellen Sie eine Regel mit einer CAPTCHA-Aktion. CAPTCHA-Aktionsanforderungen ermöglichen den Zugriff auf einen Server, wenn die CAPTCHA-Herausforderung erfolgreich abgeschlossen wurde.

Verwenden Sie die folgende Regelkonfiguration, um eine CAPTCHA-Aktion auf Ihrer Anmeldeseite einzurichten:

  • Wählen Sie für Prüfen den URI-Pfad.
  • Wählen Sie für ÜbereinstimmungstypBeginnt mit Zeichenfolge.
  • Wählen Sie /login aus, damit die Zeichenfolge übereinstimmt.
  • Wählen Sie für Aktion Blockieren aus.
  • Wählen Sie für ImmunitätszeitZeit in Sekunden.

Wenn eine CAPTCHA-Aktion konfiguriert ist, müssen Benutzer, die auf Ihre Anmeldeseite zugreifen, das CAPTCHA ausfüllen, bevor sie ihre Anmeldeinformationen eingeben können. Dieser Schutz hilft, Brute-Force-Angriffe von Bots zu verhindern.

Hinweis: Um Brute-Force-Angriffe durch einen Menschen zu verhindern, stellen Sie eine niedrige Immunitätszeit ein. Eine geringe Immunitätszeit verlangsamt den Angriff, da der Angreifer das CAPTCHA für jede Anfrage abschließen muss. Weitere Informationen finden Sie unter Konfigurieren der CAPTCHA-Immunitätszeit.

Weitere Informationen zu AWS-WAF-CAPTCHA finden Sie unter AWS-WAF-CAPTCHA.

Von ATP verwaltete Regelgruppe

Die verwaltete Regelgruppe AWS WAF Account Takeover Prevention (ATP) prüft böswillige Anfragen, die versuchen, Ihr Konto zu übernehmen. Zum Beispiel Brute-Force-Login-Angriffe, bei denen Ausprobieren verwendet wird, um Anmeldeinformationen zu erraten und unbefugten Zugriff auf Ihr Konto zu erhalten.

Die ATP-Regelgruppe ist eine von AWS verwaltete Regelgruppe, die vordefinierte Regeln enthält, die Transparenz und Kontrolle über Anforderungen bieten, die ungewöhnliche Anmeldeversuche ausführen.

Verwenden Sie die folgenden Regeln in der ATP-Regelgruppe, um Brute-Force-Angriffe zu blockieren:

VolumetricIpHigh
Prüft auf hohe Mengen an Anfragen, die von einzelnen IP-Adressen gesendet wurden.

AttributePasswordTraversal
Prüft auf Versuche, die die Kennwortdurchquerung verwenden.

AttributeLongSession
Prüft auf Versuche, bei denen lang anhaltende Sitzungen verwendet werden.

AttributeUsernameTraversal
Prüft auf Versuche, die die Benutzernamen-Traversal verwenden.

VolumetricSession
Prüft auf hohe Mengen an Anfragen, die aus einzelnen Sitzungen gesendet wurden.

MissingCredential
Prüft auf fehlende Anmeldeinformationen.

Weitere Informationen zum Einrichten einer ATP-Regelgruppe finden Sie unter AWS WAF Fraud Control Account Takeover Prevention (ATP).

AWS-WAF-Automatisierung in AWS

AWS WAF Security Automation ist eine AWS-CloudFormation-Vorlage, die zum Bereitstellen einer Web-ACL mit einer Reihe von Regeln verwendet wird. Sie können diese Regeln basierend auf Ihrem Anwendungsfall aktivieren. Wenn ein Hacker im Rahmen eines Brute-Force-Angriffs versucht, die richtigen Anmeldeinformationen zu erraten, erhält er bei jedem falschen Anmeldeversuch einen Fehlercode. Ein Fehlercode könnte beispielsweise eine Antwort 401 Unauthorized sein.

Die Regel Scanner und Sonden kann Anfragen blockieren, die von einer IP stammen, die kontinuierlich einen bestimmten Antwortcode erhält. Durch Aktivieren dieser Regel wird eine AWS-Lambda-Funktion oder eine Amazon-Athena-Abfrage bereitgestellt, die automatisch Amazon CloudFront- oder Application-Load-Balancer-Zugriffsprotokolle (ALB) analysiert, um den HTTP-Antwortcode von Ihrem Backend-Server zu überprüfen. Wenn die Anzahl der Anforderungen, die den Fehlercode erhalten, einen definierten Schwellenwert erreicht, blockiert die Regel diese Anforderungen für einen benutzerdefinierten Zeitraum, den Sie konfigurieren können.

Weitere Informationen zu dieser Vorlage und deren Bereitstellung finden Sie unter Automatisches Bereitstellen einer einzelnen Web-Zugriffskontrollliste, die webbasierte Angriffe mit AWS WAF Automation on AWS filtert.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?