Comment AWS WAF peut-il aider à prévenir les attaques de connexion par force brute ?

Dernière mise à jour : 21/07/2022

Comment puis-je utiliser AWS WAF pour prévenir les attaques par force brute ?

Courte description

Une attaque par force brute est une tactique visant à obtenir un accès non autorisé à des comptes, des systèmes et des réseaux par un processus d’essais et d’erreurs pour deviner les informations d’identification et les clés de chiffrement. Cette attaque est appelée force brute parce que le pirate utilise un nombre excessif de tentatives forcées pour accéder à vos comptes.

Les fonctionnalités AWS WAF suivantes aident à prévenir les attaques de connexion par force brute :

Solution

Règles basées sur le débit

Une règle basée sur le débit suit les demandes en fonction des adresses IP d'origine. La règle est invoquée si le taux de demande dépasse le seuil défini par intervalle de cinq minutes.

Créez une règle basée sur le débit pour bloquer les demandes si le taux de demandes est plus élevé que prévu. Pour trouver le seuil d'une règle basée sur le débit, vous devez activer la journalisation AWS WAF et analyser les journaux pour obtenir le taux de requêtes. Pour plus d'informations sur la création d'une règle basée sur le débit, consultez Création d'une règle et ajout de conditions.

Vous pouvez également créer une règle basée sur le débit spécifique à un chemin d'URL. Les attaques par force brute ciblent généralement les pages de connexion pour accéder aux informations d'identification du compte. Les différentes pages d'un site Web peuvent recevoir des débits de demandes différents. Par exemple, une page d'accueil peut recevoir un taux de trafic plus élevé que les pages de connexion.

Pour créer une règle basée sur le débit spécifique à une page de connexion, utilisez la configuration de règle suivante :

  • Pour Inspecter la requête, choisissez chemin d’URL.
  • Pour Type de correspondance, choisissez Commence par une chaîne de caractères.
  • Pour Chaîne correspondante, choisissez /login.

CAPTCHA WAF AWS

Les défis CAPTCHA AWS WAF vérifient si les requêtes qui parviennent à votre site Web proviennent d'un humain ou d'un robot. L'utilisation de CAPTCHA permet d'éviter les attaques par force brute, le bourrage d'informations d'identification, le grattage Web et les demandes de spam aux serveurs.

Si les pages Web sont conçues pour recevoir des requêtes d'humains mais sont susceptibles d'être attaquées par force brute, créez une règle avec une action CAPTCHA. Les demandes d'action CAPTCHA permettent d'accéder à un serveur lorsque le défi CAPTCHA est terminé avec succès.

Pour configurer une action CAPTCHA sur votre page de connexion, utilisez la configuration de règle suivante :

  • Pour Inspecter, choisissez URL path.
  • Pour Type de correspondance choisissez Commence par une chaîne de caractères.
  • Pour Chaîne correspondante choisissez /login.
  • Pour Action, choisissez CAPTCHA.
  • Pour Temps d’immunité, sélectionnez Temps en secondes.

Si une action CAPTCHA est configurée, les utilisateurs qui accèdent à votre page de connexion doivent remplir le CAPTCHA avant de pouvoir saisir leurs informations de connexion. Cette protection permet d'éviter les attaques par force brute des robots.

Remarque : pour empêcher les attaques par force brute d'un humain, définissez un temps d'immunité faible. Un temps d'immunité faible ralentit l'attaque car l'attaquant doit compléter le CAPTCHA pour chaque demande. Pour plus d'informations, consultez Configuration de la durée d'immunité CAPTCHA.

Pour plus d'informations sur AWS WAF CAPTCHA, consultez AWS WAF CAPTCHA.

Groupe de règles géré par ATP

Le groupe de règles géré par la prévention de la prise de contrôle des comptes (ATP, Account Takeover Prevention) d’AWS WA inspecte les demandes malveillantes qui tentent de prendre le contrôle de votre compte. Par exemple, les attaques de connexion par force brute par un processus d’essais et d’erreurs pour deviner les informations d'identification et obtenir un accès non autorisé à votre compte.

Le groupe de règles ATP est un groupe de règles géré d’AWS qui contient des règles prédéfinies qui fournissent une visibilité et un contrôle sur les demandes effectuant des tentatives de connexion anormales.

Utilisez le sous-ensemble de règles suivant dans le groupe de règles ATP pour bloquer les attaques par force brute :

VolumetricIpHigh
Inspecte les volumes élevés de demandes envoyées à partir d'adresses IP individuelles.

AttributePasswordTraversal
Inspecte les tentatives qui utilisent la traversée de mots de passe.

AttributeLongSession
Inspecte les tentatives qui utilisent des sessions de longue durée.

AttributeUsernameTraversal
Inspecte les tentatives qui utilisent la traversée de noms d'utilisateur.

VolumetricSession
Inspecte les volumes élevés de demandes envoyées à partir de sessions individuelles.

MissingCredential
Vérifie les informations d'identification manquantes.

Pour plus d'informations sur la configuration d'un groupe de règles ATP, consultez AWS WAF Fraud Control account takeover prevention (ATP).

Automatisation de l’AWS WAF sur AWS

AWS WAF Security Automation est un modèle AWS CloudFormation utilisé pour déployer une liste ACL Web avec un ensemble de règles. Vous pouvez activer ces règles en fonction de votre application. Lorsqu'un pirate tente de deviner les informations d'identification correctes dans le cadre d'une attaque par force brute, il reçoit un code d'erreur pour chaque tentative de connexion incorrecte. Par exemple, un code d'erreur peut être une réponse 401 Unauthorized.

La règle des scanners et des sondes peut bloquer les demandes provenant d'une adresse IP qui reçoit en permanence un code de réponse spécifique. L'activation de cette règle déploie une fonction AWS Lambda ou une requête Amazon Athena qui analyse automatiquement Amazon CloudFront, ou l’Application Load Balancer (ALB), les journaux d'accès pour vérifier le code de réponse HTTP de votre serveur principal. Si le nombre de demandes recevant le code d'erreur atteint un seuil défini, la règle bloque ces demandes pendant une période donnée que vous pouvez configurer.

Pour plus d'informations sur ce modèle et sur la façon de le déployer, consultez Déployer automatiquement une seule liste de contrôle d'accès Web qui filtre les attaques venant du Web avec AWS WAF Automation sur AWS.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?