¿Cómo puedo permitir una dirección IP legítima cuando uso la lista de reputación de IP o la lista de IP anónimas en AWS WAF?

Última actualización: 29/07/2022

Un grupo de reglas administradas por listas de reputación de IP de Amazon o un grupo de reglas administradas por listas de IP anónimas bloquea mis solicitudes legítimas. ¿Cómo puedo permitir mi dirección IP en AWS WAF?

Descripción corta

Las solicitudes legítimas pueden estar bloqueadas por uno de los siguientes grupos de reglas administradas por AWS:

Para permitir una dirección o direcciones IP específicas, utilice uno de los siguientes métodos para resolver este problema:

  • Declaraciones de alcance reducido para reducir el alcance de las solicitudes que la regla evalúa. Elija esta opción para abordar la lógica en un solo grupo de reglas.
  • Etiquetas en solicitudes web para permitir que una regla que coincida con la solicitud comunique los resultados de la coincidencia a las reglas que se evalúan más adelante en la misma ACL web. Elija esta opción para reutilizar la misma lógica en varias reglas.

Resolución

Opción 1: usar declaraciones de alcance reducido

Primero, cree un conjunto de IP.

  1. Abra la consola de AWS WAF.
  2. En el panel de navegación, elija IP sets (Conjuntos de IP) y luego Create IP set (Crear conjunto de IP).
  3. Ingrese un nombre de conjunto de IP y una descripción (opcional) para el conjunto de direcciones IP. Por ejemplo: MisIPdeconfianza.
    Nota: No puede cambiar el nombre del conjunto de IP después de crear el conjunto de IP.
  4. En Region (Región), elija la región de AWS en la que desea almacenar el conjunto de IP. Para usar un conjunto de IP en las ACL web que protejan las distribuciones de Amazon CloudFront, debe usar Global (CloudFront).
  5. En IP version (Versión de IP), elija la versión que quiera usar.
  6. En IP addresses (Direcciones IP), ingrese una dirección IP o un rango de direcciones IP por línea que desee permitir en notación CIDR.
    Nota: AWS WAF admite todos los rangos de CIDR de IPv4 e IPv6, excepto /0.
    Ejemplos:
    Para especificar la dirección IPv4 192.168.0.26, ingrese 192.168.0.26/32.
    Para especificar la dirección IPv6 0:0:0:0:0:ffff:c000:22c, ingrese 0:0:0:0:0:ffff:c000:22c/128.
    Para especificar el rango de direcciones IPv4 desde 192.168.20.0 a 192.168.20.255, ingrese 192.168.20.0/24.
    Para especificar el rango de direcciones IPv6 de 2620:0:2d0:200:0:0:0:0 a 2620:0:2d0:200:ffff:ffff:ffff, ingrese 2620:0:2d0:200::/64.
  7. Revise la configuración del conjunto de IP. Si coincide con sus especificaciones, elija Create IP set (Crear conjunto de IP).

A continuación, agregue una declaración de alcance reducido a la regla administrada de AWS específica que bloquea sus solicitudes.

  1. En el panel de navegación, en AWS WAF, elija Web ACL (ACL web).
  2. En Region (Región), seleccione la región de AWS en la que creó la ACL web.
    Nota: Seleccione Global si su ACL web está configurada para Amazon CloudFront.
  3. Seleccione su ACL web.
  4. En la pestaña Rules (Reglas) de ACL web, elija el grupo de reglas administradas de AWS específico que está bloqueando la solicitud y, a continuación, elija Edit (Editar).
  5. En Scope-down statement - optional (Declaración de alcance reducido - opcional), elija Enable scope-down statement (Habilitar declaración de alcance reducido).
  6. En If a request (Si una solicitud), elija doesn't match the statement (NOT) (no coincide con la declaración [NOT]).
  7. En Statement (Declaración), para Inspect (Inspeccionar), elija Originates from IP address in (Se origina desde la dirección IP en).
  8. En IP Set (Conjunto de IP), elija el conjunto de IP que creó anteriormente. Por ejemplo: MisIPdeconfianza.
  9. En IP address to use as the originating address (Dirección IP para utilizarla como dirección de origen), elija Source IP address (Dirección IP de origen).
  10. Elija Save rule (Guardar regla).

Opción 2: usar etiquetas en las solicitudes web

Primero, cree un conjunto de IP.

  1. Abra la consola de AWS WAF.
  2. En el panel de navegación, elija IP sets (Conjuntos de IP) y luego Create IP set (Crear conjunto de IP).
  3. Ingrese un nombre de conjunto de IP y una descripción (opcional) para el conjunto de direcciones IP. Por ejemplo: MisIPdeconfianza.
    Nota: No puede cambiar el nombre del conjunto de IP después de crear el conjunto de IP.
  4. En Region (Región), elija la región de AWS en la que desea almacenar el conjunto de IP. Para usar un conjunto de IP en las ACL web que protejan las distribuciones de Amazon CloudFront, debe usar Global (CloudFront).
  5. En IP version (Versión de IP), elija la versión que quiera usar.
  6. En IP addresses (Direcciones IP), ingrese una dirección IP o un rango de direcciones IP por línea que desee permitir en notación CIDR.
    Nota: AWS WAF admite todos los rangos de CIDR de IPv4 e IPv6, excepto /0.
    Ejemplos:
    Para especificar la dirección IPv4 192.168.0.26, ingrese 192.168.0.26/32.
    Para especificar la dirección IPv6 0:0:0:0:0:ffff:c000:22c, ingrese 0:0:0:0:0:ffff:c000:22c/128.
    Para especificar el rango de direcciones IPv4 desde 192.168.20.0 a 192.168.20.255, ingrese 192.168.20.0/24.
    Para especificar el rango de direcciones IPv6 de 2620:0:2d0:200:0:0:0:0 a 2620:0:2d0:200:ffff:ffff:ffff, ingrese 2620:0:2d0:200::/64.
  7. Revise la configuración del conjunto de IP. Si coincide con sus especificaciones, elija Create IP set (Crear conjunto de IP).

A continuación, cambie las acciones de la regla para que cuenten en un grupo de reglas.

  1. En la pestaña Rules (Reglas) de la página de ACL web, seleccione el grupo de reglas administradas por AWS que bloquea la solicitud y, a continuación, elija Edit (Editar).
  2. En la sección Rules (Reglas) del grupo de reglas, realice una de las siguientes acciones:
    En AWSManagedIPReputationList, active Count (Recuento).
    En AnonymousIPList Rule, active Count (Recuento).
  3. Elija Save rule (Guardar regla).

Por último, cree una regla con una prioridad numérica más alta que la regla administrada de AWS específica que bloquea la solicitud.

  1. En el panel de navegación, en AWS WAF, elija Web ACL (ACL web).
  2. En Region (Región), elija la región de AWS en la que creó la ACL web.
    Nota:
    Seleccione Global si su ACL web está configurada para Amazon CloudFront.
  3. Seleccione su ACL web.
  4. Elija Rules (Reglas).
  5. Elija Add rules (Agregar reglas) y, a continuación, seleccione Add my own rules and rule groups (Agregar mis propias reglas y grupos de reglas).
  6. En Name, ingrese un nombre de regla y, a continuación, elija Regular rule (Regla normal).
  7. En If a request (Si una solicitud), elija matches all the statements (AND) (coincide con todas las declaraciones [Y]).
  8. En Statement 1 (Declaración 1):
    En Inspect (Inspeccionar), elijaHas a label ( Tiene una etiqueta).
    En Match scope (Alcance de la coincidencia), elija Label (Etiqueta).
    En Match key (Clave de coincidencia), seleccione awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList o awswaf:managed:aws:anonymous-ip-list:AnonymousIPList en función de la regla administrada que estaba bloqueando su solicitud
  9. En Statement 2 (Declaración 2):
    En Negate statement (NOT) (Declaración negativa [NO]), elija Negate statement results (Resultados de declaración negativa).
    En Inspect (Inspeccionar), elija Originates from IP address in (Se origina desde la dirección IP en).
    En IP set (Conjunto de IP), elija el conjunto de IP que creó anteriormente.
    En IP address to use as the originating address (Dirección IP para utilizarla como dirección de origen), elija Source IP address (Dirección IP de origen).
  10. En Action (Acción), seleccione Block (Bloquear).
  11. Elija Add rule (Agregar regla).
  12. En Set rule priority (Establecer prioridad de regla), mueva la regla por debajo de la regla administrada de AWS que estaba bloqueando la solicitud.
  13. Elija Save (Guardar).

Importante: Se recomienda probar las reglas en un entorno que no sea de producción con la Action (Acción) establecida en Count (Recuento). Evalúe la regla mediante métricas de Amazon CloudWatch combinadas con solicitudes de muestra de AWS WAF o registros de AWS WAF. Cuando esté convencido de que la regla hace lo que desea, cambie el valor de Action (Acción) a Block (Bloquear).


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?