AWS WAF가 무차별 대입 로그인 공격을 방지하는 데 어떻게 도움이 될 수 있습니까?

간략한 설명

무차별 대입 공격은 시행 착오를 통해 로그인 자격 증명과 암호화 키를 추측하여 계정, 시스템 및 네트워크에 대한 무단 액세스를 얻는 전술입니다. 이 공격을 무차별 대입이라고 합니다. 해커가 과도하게 강제로 시도하여 계정에 대한 액세스 권한을 얻기 때문입니다.

다음 AWS WAF 기능은 무차별 대입 로그인 공격을 방지하는 데 도움이 됩니다.

• 속도 기반 규칙 문
• AWS WAF CAPTCHA
• ATP 관리형 규칙 그룹
• AWS WAF Automation on AWS

해결 방법

속도 기반 규칙

속도 기반 규칙은 원래 IP 주소를 기반으로 요청을 추적합니다. 요청 속도가 5분 간격마다 정의된 임계값을 초과하는 경우 규칙이 호출됩니다.

요청 속도가 예상보다 클 경우 요청을 차단하는 속도 기반 규칙을 만듭니다. 속도 기반 규칙의 임계값을 찾으려면 AWS WAF 로깅을 활성화하고 로그를 분석하여 요청 속도를 얻어야 합니다. 속도 기반 규칙을 만드는 방법에 대한 자세한 내용은 규칙 만들기 및 조건 추가를 참조하세요.

URI 경로와 관련된 속도 기반 규칙을 만들 수도 있습니다. 무차별 대입 공격은 일반적으로 로그인 페이지를 대상으로 계정 자격 증명에 액세스합니다. 웹 사이트의 페이지마다 다른 요청 속도를 수신할 수 있습니다. 예를 들어 홈 페이지는 로그인 페이지에 비해 트래픽 속도가 더 높을 수 있습니다.

로그인 페이지와 관련된 속도 기반 규칙을 만들려면 다음 규칙 구성을 사용합니다.

• **요청 검사(Inspect Request)**에서 **URI 경로(URI path)**를 선택합니다.
• **일치 유형(Match type)**에서 **문자열로 시작(Starts with string)**을 선택합니다.
• **일치시킬 문자열(String to match)**에서 /login을 선택합니다.

AWS WAF CAPTCHA

AWS WAF CAPTCHA 챌린지는 웹 사이트와 관련된 요청이 사람이 보낸 것인지 봇이 보낸 것인지 확인합니다. CAPTCHA를 사용하면 무차별 대입 공격, 자격 증명 스터핑, 웹 스크래핑 및 서버에 대한 스팸 요청을 방지할 수 있습니다.

웹 페이지가 사람의 요청을 받도록 설계되었지만 무차별 대입 공격에 취약한 경우 CAPTCHA 작업을 사용하여 규칙을 만듭니다. CAPTCHA 작업 요청을 통해 CAPTCHA 챌린지가 성공적으로 완료되면 서버에 액세스할 수 있습니다.

로그인 페이지에서 CAPTCHA 작업을 설정하려면 다음 규칙 구성을 사용합니다.

• **검사(Inspect)**에서 **URI 경로(URI path)**를 선택합니다.
• **일치 유형(Match Type)**에서 **문자열로 시작(Starts with string)**을 선택합니다.
• **일치시킬 문자열(String to match)**에서 /login을 선택합니다.
• **작업(Action)**에서 CAPTCHA을 선택합니다.
• **면역 시간(Immunity time)**에서 **시간(초)(Time in seconds)**을 선택합니다.

CAPTCHA 작업이 구성된 경우, 로그인 페이지에 액세스하는 사용자는 CAPTCHA를 완료해야 로그인 정보를 입력할 수 있습니다. 이 보호 기능은 봇의 무차별 대입 공격을 방지하는 데 도움이 됩니다.

참고: 사람의 무차별 대입 공격을 방지하려면 면역 시간을 낮게 설정하십시오. 면역 시간이 짧으면 공격자가 각 요청에 대해 CAPTCHA를 완료해야 하므로 공격 속도가 느려집니다. 자세한 내용은 CAPTCHA 면역 시간 구성을 참조하세요.

AWS WAF CAPTCHA,에 대한 자세한 내용은 AWS WAF CAPTCHA 단원을 참조하세요.

ATP 관리형 규칙 그룹

AWS WAF 계정 탈취 방지(ATP) 관리형 규칙 그룹은 계정을 탈취하려는 악의적인 요청을 검사합니다. 예를 들어, 시행 착오를 통해 자격 증명을 추측하고 계정에 대한 무단 액세스 권한을 얻는 무차별 대입 로그인 공격이 있습니다.

ATP 규칙 그룹은 비정상적인 로그인 시도를 수행하는 요청에 대한 가시성과 제어를 제공하는 사전 정의된 규칙을 포함하는 AWS 관리형 규칙 그룹입니다.

무차별 대입 공격을 차단하려면 ATP 규칙 그룹에서 다음 규칙 하위 집합을 사용하십시오.

VolumetricIpHigh
개별 IP 주소에서 보낸 대량의 요청을 검사합니다.

AttributePasswordTraversal
암호 순회를 사용하는 시도를 검사합니다.

AttributeLongSession오래 지속되는 세션을 사용하는 시도를 검사합니다.

AttributeUsernameTraversal사용자 이름 순회를 사용하는 시도를 검사합니다.

VolumetricSession
개별 세션에서 보낸 대량의 요청을 검사합니다.

MissingCredential
누락된 자격 증명을 검사합니다.

ATP 규칙 그룹을 설정하는 방법에 대한 자세한 내용은 AWS WAF Fraud Control 계정 탈취 방지(ATP) 단원을 참조하세요.

AWS WAF Automation on AWS

AWS WAF Security Automation는 일련의 규칙과 함께 웹 ACL을 배포하는 데 사용되는 AWS CloudFormation 템플릿입니다. 사용 사례에 따라 이러한 규칙을 활성화할 수 있습니다. 해커가 무차별 대입 공격의 일부로 올바른 자격 증명을 추측하려고 하면 잘못된 로그인 시도마다 오류 코드가 수신됩니다. 예를 들어 오류 코드는 401 무단 응답일 수 있습니다.

스캐너 및 프로브 규칙은 특정 응답 코드를 지속적으로 수신하는 IP에서 소싱하는 요청을 차단할 수 있습니다. 이 규칙을 활성화하면 백엔드 서버에서 HTTP 응답 코드를 확인하기 위해 Amazon CloudFront 또는 Application Load Balancer(ALB), 액세스 로그를 자동으로 구문 분석하는 AWS Lambda 함수 또는 Amazon Athena 쿼리가 배포됩니다. 오류 코드를 수신하는 요청 수가 정의된 임계값에 도달하면 이 규칙은 구성할 수 있는 사용자 지정 기간 동안 이러한 요청을 차단합니다.

이 템플릿과 템플릿을 배포하는 방법에 대한 자세한 내용은 AWS WAF Automation on AWS로 웹 기반 공격을 필터링하는 단일 웹 액세스 제어 목록 자동 배포를 참조하세요.

---