¿Cómo utilizo AWS WAF para mitigar los ataques DDoS?

Descripción corta

Para usar AWS WAF como principal medida de mitigación contra los ataques DDoS a nivel de aplicación, toma las siguientes medidas:

• Usa regla basadas en tasas.
• Consulta los registros de AWS WAF para recopilar información específica sobre actividades no autorizadas.
• Crea una regla de coincidencia geográfica para bloquear las solicitudes incorrectas de un país que no se espera para tu empresa.
• Crea una regla de coincidencia de conjuntos de direcciones IP para bloquear las solicitudes incorrectas.
• Crea una regla de coincidencia de cadenas para bloquear las solicitudes incorrectas.
• Crea una regla de coincidencia de expresiones regulares para bloquear las solicitudes incorrectas.
• Activa Bot Control y usa el nivel de protección dirigido.
• Utiliza el grupo de reglas administrado de la lista de reputación de direcciones IP de Amazon.

Para los ataques a la capa de infraestructura, utiliza los servicios de AWS, como Amazon CloudFront y Elastic Load Balancing (ELB), para ofrecer protección automática contra DDoS. Para obtener más información, consulta Prácticas recomendadas de AWS para la resiliencia de DDoS. También puedes usar la capa de aplicación automática de AWS Shield avanzado para mitigar los ataques sofisticados (capas 3 a 7). Para obtener más información, consulta Automatización de la mitigación de DDoS en la capa de aplicación con Shield avanzado.

Resolución

Uso de reglas basadas en tasas

Creación de una regla general basada en tasas

Utiliza una regla general basada en tasas para establecer un umbral para la cantidad de solicitudes que las direcciones IP pueden realizar a tu aplicación web.

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En el panel de navegación, elige AWS WAF y, a continuación, ACL web.
3. En Región, selecciona la región de AWS en la que hayas creado la ACL web.
   Nota: Si la ACL web se ha configurado para Amazon CloudFront, selecciona Global.
4. Selecciona la ACL web.
5. En Reglas, elige Agregar reglas y, a continuación, selecciona Agregar reglas y grupos de reglas propios.
6. Para configurar la regla, configura los siguientes valores:
   En Tipo de regla, elige Generador de reglas.
   En Nombre, introduce un nombre de regla.
   En Tipo, elige Regla basada en tasas.
   En Límite de tasas, introduce un número entre 100 y 20 000 000.
   Nota: Si no sabes con seguridad qué límite de frecuencia establecer, usa la acción de regla para contar y supervisar tus patrones de solicitudes. Luego, establece un límite de tasa en función de tu valor de referencia.
   En la ventana Evaluación, introduce 1, 2, 5 o 10 minutos.
   En Dirección IP que se va a usar para la limitación de tasas, selecciona Dirección IP de origen o Dirección IP en el encabezado.
   En Acción de la regla, elige Bloquear.
   Nota: Después de enviar un cambio en la tasa de solicitud, es posible que AWS WAF tarde en aplicar o eliminar la acción de la regla.
   En Alcance de la inspección, selecciona Considerar todas las solicitudes.
7. Elige Agregar regla.
8. Selecciona Guardar.

Crear una regla basada en tasas de clave (ruta URI) personalizada

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En el panel de navegación, elige AWS WAF y, a continuación, ACL web.
3. En Región, selecciona la región en la que hayas creado la ACL web.
   Nota: Si la ACL web se ha configurado para CloudFront, selecciona Global.
4. Selecciona la ACL web.
5. En Reglas, elige Agregar reglas y, a continuación, selecciona Agregar reglas y grupos de reglas propios.
6. Para configurar la regla, configura los siguientes valores:
   En Tipo de regla, elige Generador de reglas.
   En Nombre, introduce un nombre de regla.
   En Tipo, elige Regla basada en tasas.
   En Límite de tasas, introduce un número entre 100 y 20 000 000.
   Nota: Si no sabes con seguridad qué límite de frecuencia establecer, usa la acción de regla para contar y supervisar tus patrones de solicitudes. Luego, establece un límite de tasa en función de tu valor de referencia.
   En Agregación de solicitudes, elige Claves personalizadas.
   EN Solicitar claves de agregación, selecciona Ruta de URI.
   EnTransformación de texto, elige Ninguna.
   En Criterios para contar las solicitudes hasta el límite de tasas, selecciona Considerar todas las solicitudes.
   En Acción de la regla, elige Bloquear.
7. Elige Agregar regla.
8. En Establecer la prioridad de las reglas, selecciona tu regla y, a continuación, actualiza la prioridad. Para obtener más información, consulta Establecer la prioridad de las reglas en una ACL web.
9. Selecciona Guardar.

Para obtener más información, consulta Las tres reglas basadas en tasas más importantes de AWS WAF.

Consulta de los registros de AWS WAF para recopilar información específica sobre actividades no autorizadas

Activa los registros de AWS WAF. A continuación, consulta los registros de AWS WAF para investigar los escenarios de DDoS.

Puedes usar los siguientes servicios de AWS para consultar los registros de AWS WAF:

• Registros de Amazon CloudWatch
• Amazon Athena
• Amazon OpenSearch Service y Amazon QuickSight.

Uso del analizador de registros de Amazon Athena o el analizador de registros de AWS Lambda

AWS WAF tiene un límite de tasas mínimo aceptable para las reglas basadas en tasas. Si no puedes usar reglas basadas en tasas porque el volumen es bajo o necesitas un periodo de bloqueo personalizable, usa un analizador de registros en Athena o Lambda. Ambos servicios están disponibles en Automatizaciones de seguridad para AWS WAF.

Creación de una instrucción de reglas de coincidencia geográfica para bloquear las solicitudes incorrectas de un país que no se espera para tu empresa

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En el panel de navegación, elige AWS WAF y, a continuación, ACL web.
3. En Región, selecciona la región en la que hayas creado la ACL web.
   Nota: Si la ACL web se ha configurado para CloudFront, selecciona Global.
4. Selecciona la ACL web.
5. En Reglas, elige Agregar reglas y, a continuación, selecciona Agregar reglas y grupos de reglas propios.
6. En Nombre, introduce un nombre de regla y, a continuación, elige Regla regular.
7. En Opciones de solicitud, selecciona Se origina en un país en y, a continuación, elige los códigos de país que deseas bloquear.
8. En Acción de regla, elige Bloquear.
9. Elige Agregar regla.

Para obtener más información, consulta Instrucción de reglas de coincidencia geográfica.

Creación de una regla de coincidencia de conjuntos de direcciones IP para bloquear las solicitudes incorrectas de direcciones IP específicas

Sigue estos pasos:

1. Crea un conjunto de direcciones IP y, a continuación, agrega las direcciones IP que desees bloquear.
2. Abre la consola de AWS WAF.
3. En el panel de navegación, elige AWS WAF y, a continuación, ACL web.
4. En Región, selecciona la región en la que hayas creado la ACL web.
   Nota: Si la ACL web se ha configurado para CloudFront, selecciona Global.
5. Selecciona la ACL web.
6. En Reglas, elige Agregar reglas y, a continuación, selecciona Agregar reglas y grupos de reglas propios.
7. En Nombre, introduce un nombre de regla y, a continuación, elige Regla regular.
8. Elige Crear una regla de coincidencia de IP.
9. En Opciones de solicitud, elige Se origina en una dirección IP en y, a continuación, elige tu conjunto de direcciones IP.
10. En Acción de la regla, elige Bloquear.
11. Elige Agregar regla.

Para obtener más información, consulta Instrucción de reglas de coincidencia de conjuntos de direcciones IP.

Creación de una instrucción de reglas de coincidencia de cadenas para bloquear las solicitudes incorrectas

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En el panel de navegación, elige AWS WAF y, a continuación, ACL web.
3. En Región, selecciona la región en la que hayas creado la ACL web.
   Nota: Si la ACL web se ha configurado para CloudFront, selecciona Global.
4. Selecciona la ACL web.
5. Selecciona Crear una regla de coincidencia de cadenas.
6. Para configurar la regla, configura los siguientes valores:
   En Inspeccionar, selecciona Encabezado.
   En Nombre del campo de encabezado, introduce el nombre del bot que deseas bloquear tal y como aparece en los registros de AWS WAF.
   En Tipo de coincidencia, selecciona Coincide exactamente con la cadena.
   En Cadena que debe coincidir, introduce el valor del bot que deseas bloquear tal y como aparece en los registros de AWS WAF.
   En Acción de la regla, elige Bloquear.
7. Elige Agregar regla.

Para obtener más información, consulta Instrucción de reglas de coincidencia de cadenas.

Creación de una instrucción de reglas de coincidencia de expresiones regulares para bloquear las solicitudes incorrectas

Sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En el panel de navegación, elige AWS WAF y, a continuación, ACL web.
3. En Región, selecciona la región en la que hayas creado la ACL web.
   Nota: Si la ACL web se ha configurado para CloudFront, selecciona Global.
4. Selecciona la ACL web.
5. Selecciona Crear una regla de coincidencia de cadenas.
6. Para configurar la regla, configura los siguientes valores:
   En Inspeccionar, selecciona Ruta de URI.
   En Tipo de coincidencia, elige Coincide con la expresión regular.
   En Cadena que debe coincidir, introduce la expresión regular que quieres bloquear.
   En Acción de la regla, elige Bloquear.
7. Elige Agregar regla.

Para obtener más información, consulta Instrucción de reglas de coincidencia de expresiones regulares.

Activación de Bot Control y uso del nivel de protección dirigido

El nivel de protección dirigido para Bot Control de AWS WAF utiliza una combinación de limitación de tasas y acciones de desafío y CAPTCHA para reducir la actividad de los bots. Para obtener información sobre los precios específicos de Bot Control dirigido, consulta el caso F en la página de precios de AWS WAF.

Para activar Bot Control y el nivel de protección dirigido, sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En el panel de navegación, elige AWS WAF y, a continuación, ACL web.
3. En Región, elige la región de AWS en la que hayas creado la ACL web.
   Nota: Si la ACL web se ha configurado para CloudFront, selecciona Global.
4. Selecciona tu ACL web y, a continuación, elige Agregar grupos de reglas administradas.
5. En Grupos de reglas administradas por AWS, en Grupos de reglas de pago, activa Bot Control.
6. Selecciona Editar y, a continuación, en Nivel de inspección, selecciona Dirigido.
7. Selecciona Guardar regla.

Uso del grupo de reglas administrado de la lista de reputación de direcciones IP de Amazon

El grupo de reglas administrado AmazonIpReputationList utiliza la inteligencia sobre amenazas interna de Amazon para identificar las direcciones IP que han participado activamente en actividades de DDoS.

Para activar el grupo de reglas administrado por la lista de reputación de direcciones IP de Amazon, sigue estos pasos:

1. Abre la consola de AWS WAF.
2. En el panel de navegación, elige AWS WAF y, a continuación, ACL web.
3. En Región, elige la región de AWS en la que hayas creado la ACL web.
   Nota: Si la ACL web se ha configurado para CloudFront, selecciona Global.
4. Selecciona tu ACL web y, a continuación, elige Agregar grupos de reglas administradas.
5. En Grupos de reglas administradas de AWS, selecciona AmazonIpReputationList.
6. Selecciona Guardar regla.