Come può AWS WAF aiutare a prevenire gli attacchi di accesso con forza bruta?

Ultimo aggiornamento: 21/07/2022

Come posso usare AWS WAF per prevenire gli attacchi di forza bruta?

Breve descrizione

Un attacco di forza bruta è una tattica per ottenere l'accesso non autorizzato ad account, sistemi e reti utilizzando tentativi ed errori per indovinare le credenziali di accesso e le chiavi di crittografia. Questo attacco è chiamato di forza bruta perché un hacker utilizza tentativi eccessivi e forzati per ottenere l'accesso ai tuoi account.

Le seguenti funzionalità di AWS WAF aiutano a prevenire gli attacchi di accesso con forza bruta:

Risoluzione

Regole basate sulla frequenza

Una regola basata sulla frequenza tiene traccia delle richieste in base agli indirizzi IP di origine. La regola viene richiamata se la frequenza della richiesta supera la soglia definita per intervallo di cinque minuti.

Crea una regola basata sulla frequenza per bloccare le richieste se la frequenza delle richieste è superiore al previsto. Per trovare la soglia per una regola basata sulla frequenza, è necessario attivare la registrazione di AWS WAF e analizzare i registri per ottenere la frequenza delle richieste. Per informazioni su come creare una regola basata sulla frequenza, consulta Creazione di una regola e aggiunta di condizioni.

Puoi inoltre creare una regola basata sulla frequenza specifica per un percorso URI. Gli attacchi di forza bruta generalmente prendono di mira le pagine di accesso per ottenere l'accesso alle credenziali dell'account. Pagine diverse di un sito Web potrebbero ricevere frequenze di richieste diverse. Ad esempio, una home page potrebbe ricevere una frequenza di traffico più elevata rispetto alle pagine di accesso.

Per creare una regola basata sulla frequenza specifica per una pagina di accesso, utilizza la seguente configurazione delle regole:

  • Per Inspect Request (Richiesta di ispezione), scegli il percorso URI.
  • Per Match type (Tipo di corrispondenza), scegli Starts with string (Inizia con stringa).
  • Per String to match (Stringa da associare), scegli /login.

CAPTCHA DI AWS WAF

I CAPTCHA di AWS WAF verificano se le richieste che arrivano al tuo sito Web provengono da un umano o da un bot. L'utilizzo di CAPTCHA aiuta a prevenire attacchi di forza bruta, sottrazione e uso illecito delle credenziali, Web scraping e richieste di spam ai server.

Se le pagine Web sono progettate per ricevere richieste da parte di esseri umani ma sono suscettibili di attacchi di forza bruta, allora crea una regola con un'azione CAPTCHA. Le richieste di azione CAPTCHA consentono l'accesso a un server quando il CAPTCHA viene completato con successo.

Per impostare un CAPTCHA sulla tua pagina di accesso, usa la seguente configurazione delle regole:

  • Per Inspect (Ispezione) scegli il percorso URI.
  • Per Match Type (Tipo di corrispondenza), scegli Starts with string (Inizia con stringa).
  • Per String to match (Stringa da associare) scegli /login.
  • Per Action (Operazione), scegli CAPTCHA.
  • Per Immunity time (Tempo di immunità) scegli Time in seconds (Tempo in secondi).

Se è stato configurato un CAPTCHA, gli utenti che accedono alla tua pagina di accesso dovranno completare il CAPTCHA prima di poter inserire le proprie informazioni di accesso. Questa protezione aiuta a prevenire gli attacchi di forza bruta da parte dei bot.

Nota: per aiutare a prevenire attacchi di forza bruta da parte di un essere umano, imposta un tempo di immunità basso. Un tempo di immunità basso rallenta l'attacco poiché l'autore dell'attacco deve completare il CAPTCHA per ogni richiesta. Per ulteriori informazioni, consulta Configurazione del tempo di immunità del CAPTCHA.

Per ulteriori informazioni sui CAPTCHA di AWS WAF, consulta CAPTCHA di AWS WAF.

Gruppo di regole gestite da ATP

Il gruppo di regole gestite Account Takeover Prevention (ATP) di AWS WAF ispeziona le richieste dannose che provano a rilevare il tuo account. Ad esempio, attacchi di accesso con forza bruta che utilizzano tentativi ed errori per indovinare le credenziali e ottenere l'accesso non autorizzato al tuo account.

Il gruppo di regole ATP è un gruppo di regole gestite da AWS che contiene regole predefinite che forniscono visibilità e controllo sulle richieste che eseguono tentativi di accesso anomali.

Utilizza il seguente sottoinsieme di regole nel gruppo di regole ATP per bloccare gli attacchi di forza bruta:

VolumetricIpHigh
Verifica la presenza di volumi elevati di richieste inviate da singoli indirizzi IP.

AttributePasswordTraversal
Controlla i tentativi che utilizzano l'attraversamento delle password.

AttributeLongSession
Ispeziona i tentativi che utilizzano sessioni di lunga durata.

AttributeUsernameTraversal
Controlla i tentativi che utilizzano l'attraversamento del nome utente.

VolumetricSession
Ispeziona i volumi elevati di richieste inviate dalle singole sessioni.

MissingCredential
Esamina le credenziali mancanti.

Per ulteriori informazioni su come configurare un gruppo di regole ATP, consulta Prevenzione dell'acquisizione di account (ATP) per il controllo delle frodi con AWS WAF.

AWS WAF Automation su AWS

L'automazione della sicurezza di AWS WAF è un modello di AWS CloudFormation utilizzato per distribuire un'ACL Web con una serie di regole. Puoi attivare queste regole in base al tuo caso d'uso. Quando un hacker prova a indovinare le credenziali corrette come parte di un attacco di forza bruta, riceve un codice di errore per ogni tentativo di accesso errato. Ad esempio, un codice di errore potrebbe essere una risposta 401 Non autorizzato.

La regola Scanner e sonde può bloccare le richieste provenienti da un IP che riceve continuamente un codice di risposta specifico. L'attivazione di questa regola distribuisce una funzione AWS Lambda o una query Amazon Athena che analizza automaticamente Amazon CloudFront o Application Load Balancer (ALB), i log di accesso per controllare il codice di risposta HTTP dal server di backend. Se il numero di richieste che ricevono il codice di errore raggiunge una soglia definita, la regola blocca queste richieste per un periodo di tempo personalizzato che può essere configurato.

Per ulteriori informazioni su questo modello e su come distribuirlo, consulta Automatically deploy a single web access control list that filters web-based attacks with AWS WAF Automation on AWS (Distribuisci automaticamente una singola lista di controllo degli accessi (ACL) Web che filtra gli attacchi basati sul Web con AWS WAF Automation su AWS).


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?