¿Cómo puede AWS WAF ayudar a prevenir los ataques de inicio de sesión mediante fuerza bruta?

6 minutos de lectura

¿Cómo puedo usar AWS WAF para ayudar a prevenir los ataques de fuerza bruta?

Descripción corta

Un ataque de fuerza bruta es una táctica para obtener acceso no autorizado a cuentas, sistemas y redes mediante prueba y error para adivinar las credenciales de inicio de sesión y las claves de cifrado. Este ataque se considera de fuerza bruta porque un hacker hace intentos excesivos y contundentes para obtener acceso a sus cuentas.

Las siguientes características de AWS WAF ayudan a evitar los ataques de inicio de sesión mediante fuerza bruta:

Resolución

Reglas basadas en tasas

Una regla basada en tasas rastrea las solicitudes en función de las direcciones IP de origen. La regla se invoca si la tasa de solicitud supera el umbral definido por intervalo de cinco minutos.

Cree una regla basada en tasas para bloquear las solicitudes si la tasa de solicitudes es superior a la esperada. Para encontrar el umbral de una regla basada en tasas, debe activar el registro de AWS WAF y analizar los registros para obtener la tasa de solicitudes. Para obtener información sobre cómo crear una regla basada en tasas, consulte Creating a rule and adding conditions (Crear una regla y agregar condiciones).

También puede crear una regla basada en tasas específica para una ruta de URI. Los ataques de fuerza bruta generalmente atacan a las páginas de inicio de sesión para obtener acceso a las credenciales de la cuenta. Las diferentes páginas de un sitio web no tienen por qué recibir las mismas tasas de solicitudes. Por ejemplo, una página de inicio puede recibir una mayor tasa de tráfico en comparación con las páginas de inicio de sesión.

Para crear una regla basada en una tasa específica para una página de inicio de sesión, utilice la siguiente configuración de regla:

En Inspect request (Solicitud de inspección), elija URI path (Ruta de URI).
En Match type (Tipo de coincidencia), elija Starts with string (Comienza con una cadena).
En String to match (Cadena para coincidir), elija /login.

Captcha de AWS WAF

Los desafíos de CAPTCHA de AWS WAF verifican si las solicitudes que llegan a su sitio web provienen de un humano o de un bot. El uso de CAPTCHA ayuda a prevenir los ataques de fuerza bruta, el relleno de credenciales, el raspado web (scraping) y las solicitudes de spam a los servidores.

Si las páginas web están diseñadas para recibir solicitudes de personas, pero son susceptibles a ataques de fuerza bruta, cree una regla con una acción CAPTCHA. Las solicitudes de acción CAPTCHA permiten el acceso a un servidor cuando el desafío CAPTCHA se completa con éxito.

Para configurar una acción CAPTCHA en la página de inicio de sesión, utilice la siguiente configuración de reglas:

En Inspect (Inspeccionar), elija URI path (Ruta de URI).
En Match type (Tipo de coincidencia), elija Starts with string (Comienza con una cadena).
En String to match (Cadena para coincidir), elija /login.
En Action (Acción), seleccione CAPTCHA.
En Immunity time (Tiempo de inmunidad), elige Time in seconds (Tiempo en segundos).

Si se configura una acción CAPTCHA, los usuarios que accedan a su página de inicio de sesión deben completar el CAPTCHA antes de poder ingresar su información de inicio de sesión. Esta protección ayuda a prevenir los ataques de fuerza bruta de los bots.

Nota: Para ayudar a prevenir los ataques de fuerza bruta de una persona, establezca un tiempo de inmunidad bajo. Un tiempo de inmunidad bajo ralentiza el ataque, ya que el atacante debe completar el CAPTCHA para cada solicitud. Para obtener más información, consulte Configuring the CAPTCHA immunity time (Configuración del tiempo de inmunidad de CAPTCHA).

Para obtener más información sobre AWS WAF CAPTCHA, consulte AWS WAF CAPTCHA (CAPTCHA de AWS WAF).

Grupo de reglas administradas de ATP

El grupo de reglas administradas de prevención de apropiación de cuentas (account takeover prevention, ATP) de AWS WAF inspecciona las solicitudes maliciosas que intentan apoderarse de su cuenta. Por ejemplo, ataques de inicio de sesión de fuerza bruta que utilizan métodos de prueba y error para adivinar las credenciales y obtener acceso no autorizado a su cuenta.

El grupo de reglas de ATP es un grupo de reglas administrado por AWS que contiene reglas predefinidas que proporcionan visibilidad y control sobre las solicitudes que realizan intentos de inicio de sesión anómalos.

Use el siguiente subconjunto de reglas en el grupo de reglas de ATP para ayudar a bloquear los ataques de fuerza bruta:

VolumetricIpHigh
Inspecciona grandes volúmenes de solicitudes enviadas desde direcciones IP individuales.

AttributePasswordTraversal
Inspecciona los intentos que utilizan password traversal (cruce de contraseñas).

AttributeLongSessionInspecciona los intentos que utilizan sesiones de larga duración.

AttributeUsernameTraversalInspecciona los intentos que utilizan username traversal (cruce de nombres de usuario).

VolumetricSession
Inspecciona grandes volúmenes de solicitudes enviadas desde sesiones individuales.

MissingCredential
Inspecciona las credenciales que faltan.

En obtener más información sobre cómo configurar un grupo de reglas de ATP, consulteAWS WAF Fraud Control account takeover prevention (ATP) (Prevención de apropiación de cuentas [ATP] de AWS WAF Fraud).

AWS WAF Automation en AWS

AWS WAF Security Automation es una plantilla de AWS CloudFormation que se utiliza para implementar un conjunto de reglas en una ACL web. Puede activar estas reglas en función de su caso de uso. Cuando un hacker intenta adivinar las credenciales correctas como parte de un ataque de fuerza bruta, recibe un código de error por cada intento de inicio de sesión incorrecto. Por ejemplo, un código de error puede ser una respuesta 401 Unauthorized.

La regla Scanners and probes (Analizadores y sondeos) puede bloquear las solicitudes que provienen de una IP que recibe continuamente un código de respuesta específico. Al activar esta regla, se implementa una función de AWS Lambda o una consulta de Amazon Athena que analiza automáticamente los registros de acceso de Amazon CloudFront o el equilibrador de carga de aplicación (ALB) para comprobar el código de respuesta HTTP de su servidor de backend. Si el número de solicitudes que reciben el código de error alcanza un umbral definido, la regla bloquea estas solicitudes durante un período de tiempo personalizado que puede configurar.

Para obtener más información sobre esta plantilla y cómo implementarla, consulte Automatically deploy a single web access control list that filters web-based attacks with AWS WAF Automation on AWS (Implementar automáticamente una única lista de control de acceso web que filtre los ataques basados en la web con AWS WAF Automation en AWS).

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS WAF

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

He recibido alertas de GuardDuty sobre resultados de fuerza bruta del tipo «UnauthorizedAccess» con relación a mi instancia de Amazon EC2. ¿Qué debo hacer?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo utilizo AWS WAF con AWS Global Accelerator para proteger la aplicación de los ataques malintencionados?
OFICIAL DE AWSActualizada hace un año
¿Cómo configuro AWS WAF para proteger mis recursos de ataques comunes?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo puedo mitigar los ataques DDoS con AWS WAF?
OFICIAL DE AWSActualizada hace 2 años