Come posso consentire un indirizzo IP legittimo quando utilizzo l'elenco di reputazione IP o l'elenco IP anonimo in AWS WAF?

7 minuti di lettura
0

Le mie richieste legittime vengono bloccate da un gruppo di regole gestito da un elenco di reputazione IP Amazon o da un gruppo di regole gestito da un elenco di IP anonimi. Come posso consentire il mio indirizzo IP in AWS WAF?

Breve descrizione

Le richieste legittime potrebbero essere bloccate da uno dei seguenti gruppi di regole gestiti da AWS:

Per consentire uno o più indirizzi IP specifici, utilizza uno dei seguenti metodi per risolvere il problema:

  • Istruzioni di limitazione dell'ambito per restringere l'ambito delle richieste valutate dalla regola. Scegli questa opzione per indirizzare la logica in un singolo gruppo di regole.
  • Etichette sulle richieste Web per consentire a una regola che corrisponde alla richiesta di comunicare i risultati della corrispondenza alle regole valutate successivamente nella stessa ACL Web. Scegli questa opzione per riutilizzare la stessa logica in più regole.

Risoluzione

Opzione 1: utilizzo di istruzioni scope-down

Innanzitutto, crea un set IP.

  1. Apri la console AWS WAF.
  2. Nel riquadro di navigazione, scegli IP sets (Set IP), quindi scegli Create IP set (Crea set IP).
  3. Inserisci un IP set name (Nome del set IP) e la Description - optional (Descrizione - facoltativa) per il set IP. Ad esempio: MyTrustedIPs.
    Nota: non è possibile modificare il nome del set IP dopo averlo creato.
  4. Per Region (Regione), scegli la Regione AWS in cui desideri archiviare il set IP. Per utilizzare un set IP nelle ACL Web che proteggono le distribuzioni Amazon CloudFront, è necessario utilizzare la regione Global (CloudFront).
  5. Per IP version (Versione IP), scegli la versione che desideri utilizzare.
  6. Per IP addresses (Indirizzi IP), inserisci un indirizzo IP o un intervallo di indirizzi IP per riga che desideri consentire nella notazione CIDR.
    Nota: AWS WAF supporta tutti gli intervalli CIDR IPv4 e IPv6 ad eccezione di /0.
    Esempi:
    Per specificare l'indirizzo IPv4 192.168.0.26, inserisci 192.168.0.26/32.
    Per specificare l'indirizzo IPv6 0:0:0:0:0:ffff:c000:22c, inserisci 0:0:0:0:0:ffff:c 000:22c/128.
    Per specificare l'intervallo di indirizzi IPv4 da 192.168.20.0 a 192.168.20.255, inserisci 192.168.20.0/24.
    Per specificare l'intervallo di indirizzi IPv6 da 2620:0:2d0:200:0:0:0:0 a 2620:0:2d0:200:ffff:ffff:ffff:ffff, inserisci 2620:0:2d0:200::/64.
  7. Esamina le impostazioni per il set IP. Se corrisponde alle tue specifiche, scegli Create IP set (Crea set IP).

Quindi, aggiungi una Scope-down statement (Istruzione di limitazione dell'ambito) alla regola gestita da AWS specifica che blocca le tue richieste.

  1. Nel riquadro di navigazione, in AWS WAF, scegli Web ACLs (ACL Web).
  2. Per Region (Regione), seleziona la regione AWS in cui hai creato la tua ACL Web.
    Nota: seleziona Global (Globale) se la tua ACL Web è configurata per Amazon CloudFront.
  3. Seleziona la tua ACL Web.
  4. Nella scheda Rules (Regole) della ACL web, scegli il gruppo di regole gestite da AWS specifico che sta bloccando la tua richiesta, quindi scegli Edit (Modifica).
  5. Per Scope-down statement - optional (Istruzione di limitazione dell'ambito - facoltativa), scegli Enable scope-down statement (Abilita istruzione di limitazione dell'ambito).
  6. Per If a request (Se una richiesta), scegli doesn't match the statement (NOT) (non corrisponde all'istruzione [NOT]).
  7. In Statement (Istruzione), per Inspect (Ispeziona), scegli Originates from IP address in (Ha origine da un indirizzo IP).
  8. Per IP Set (Set IP), scegli il set IP creato in precedenza. Ad esempio: MyTrustedIPs.
  9. Per IP address to use as the originating address (Indirizzo IP da utilizzare come indirizzo di origine), scegli Source IP address (Indirizzo IP di origine).
  10. Scegli Save rule (Salva regola).

Opzione 2: utilizzo di etichette su richieste Web

Innanzitutto, crea un set IP.

  1. Apri la console AWS WAF.
  2. Nel riquadro di navigazione, scegli IP sets (Set IP), quindi scegli Create IP set (Crea set IP).
  3. Inserisci un IP set name (Nome del set IP) e la Description - optional (Descrizione - facoltativa) per il set IP. Ad esempio: MyTrustedIPs.
    Nota: non è possibile modificare il nome del set IP dopo averlo creato.
  4. Per Region (Regione), scegli la Regione AWS in cui desideri archiviare il set IP. Per utilizzare un set IP nelle ACL Web che proteggono le distribuzioni Amazon CloudFront, è necessario utilizzare la regione Global (CloudFront).
  5. Per IP version (Versione IP), scegli la versione che desideri utilizzare.
  6. Per IP addresses (Indirizzi IP), inserisci un indirizzo IP o un intervallo di indirizzi IP per riga che desideri consentire nella notazione CIDR.
    Nota: AWS WAF supporta tutti gli intervalli CIDR IPv4 e IPv6 ad eccezione di /0.
    Esempi:
    Per specificare l'indirizzo IPv4 192.168.0.26, inserisci 192.168.0.26/32.
    Per specificare l'indirizzo IPv6 0:0:0:0:0:ffff:c000:22c, inserisci 0:0:0:0:0:ffff:c 000:22c/128.
    Per specificare l'intervallo di indirizzi IPv4 da 192.168.20.0 a 192.168.20.255, inserisci 192.168.20.0/24.
    Per specificare l'intervallo di indirizzi IPv6 da 2620:0:2d0:200:0:0:0:0 a 2620:0:2d0:200:ffff:ffff:ffff:ffff, inserisci 2620:0:2d0:200::/64.
  7. Esamina le impostazioni per il set IP. Se corrisponde alle tue specifiche, scegli Create IP set (Crea set IP).

Quindi, modifica le operazioni delle regole per il conteggio in un gruppo di regole.

  1. Nella scheda Rules (Regole) della pagina ACL Web, scegli il gruppo di regole gestite da AWS che sta bloccando la tua richiesta, quindi scegli Edit (Modifica).
  2. Nella sezione Rules (Regole) del gruppo di regole, effettua una delle seguenti operazioni:
    Per AWSManagedIPReputationList, attiva Count (Conteggio).
    Per AnonymousIPList Rule, attiva Count (Conteggio).
  3. Scegli Save rule (Salva regola).

Infine, crea una regola con priorità numerica maggiore rispetto alla regola gestita da AWS specifica che blocca la richiesta.

  1. Nel riquadro di navigazione, in AWS WAF, scegli Web ACLs (ACL Web).
  2. Per Region (Regione), seleziona la Regione AWS in cui hai creato la tua ACL Web. Nota: seleziona Global (Globale) se la tua ACL Web è configurata per Amazon CloudFront.
  3. Seleziona la tua ACL Web.
  4. Scegli Rules (Regole).
  5. Scegli Add Rules (Aggiungi regole), quindi scegli Add my own rules and rule groups (Aggiungi regole e gruppi di regole personali).
  6. Per Name (Nome), inserisci un Rule name (Nome della regola), quindi scegli Regular Rule (Regola regolare).
  7. Per If a request (Se una richiesta), scegli matches all the statements (AND) (corrisponde a tutte le istruzioni [AND]).
  8. In Statement 1 (Istruzione 1):
    Per Inspect (Ispeziona), scegli Has a label (Ha un'etichetta).
    Per Match scope (Abbina ambito), scegli Label (Etichetta).
    Per Match key (Abbina chiave), seleziona awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList o awswaf:managed:aws:anonymous-ip-list:AnonymousIPList in base alla regola gestita che stava bloccando la tua richiesta.
  9. In Statement 2 (Istruzione 2):
    Per Negate statement (NOT) (Istruzione di diniego [NOT]), scegli Negate statement results (Risultati dell'istruzione di diniego).
    Per Inspect (Ispeziona), scegli Originates from IP address (Ha origine da un indirizzo IP in).
    Per IP Set (Set IP), scegli il set IP creato in precedenza.
    Per IP address to use as the originating address (Indirizzo IP da utilizzare come indirizzo di origine), scegli Source IP address (Indirizzo IP di origine).
  10. Per Action (Operazione), scegli Block (Blocca).
  11. Scegli Add rule (Aggiungi regola).
  12. Per Set rule priority (Imposta priorità regola), sposta la regola sotto la regola gestita da AWS che bloccava la richiesta.
  13. Scegli Save (Salva).

Importante: è consigliabile testare le regole in un ambiente non di produzione con Action (Operazione) impostata su Count (Conteggio). Valuta la regola utilizzando i parametri di Amazon CloudWatch combinati con le richieste campionate di AWS WAF o i registri di AWS WAF. Dopo aver verificato che la regola funzioni come desideri, cambia Action (Operazione) in Block (Blocca).


Informazioni correlate

Come faccio a individuare i falsi positivi causati dalle regole gestite AWS e ad aggiungerli a un elenco sicuro?

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa