Comment puis-je utiliser AWS WAF pour prévenir les attaques de connexion par force brute ?

Lecture de 4 minute(s)

Je souhaite utiliser AWS WAF pour me protéger contre les attaques de connexion par force brute.

Résolution

Les fonctionnalités AWS WAF suivantes permettent de prévenir les attaques de connexion par force brute :

Règles fréquentielles
Puzzles CAPTCHA
Groupe de règles gérées par la prévention contre le piratage de compte (ATP) d’AWS WAF
Security Automations pour AWS WAF

Règles fréquentielles

Pour bloquer les requêtes lorsque le taux de requête est plus élevé que prévu, créez une instruction de règle fréquentielle. Pour définir le seuil d'une règle fréquentielle, activez la journalisation AWS WAF. Ensuite, en fonction de votre destination de journalisation, utilisez Amazon Athena ou Amazon CloudWatch Log Insights pour analyser vos journaux.

Vous pouvez également créer une instruction de règle fréquentielle qui est spécifique à un chemin URI, telle que /login. Les attaques par force brute ciblent généralement les pages de connexion pour accéder aux informations d'identification de comptes. Les différentes pages d'un site Web peuvent recevoir des taux de requête différents. Par exemple, une page d'accueil peut recevoir un taux de trafic plus élevé qu'une page de connexion.

Après avoir défini un seuil, utilisez l'instruction de portée réduite suivante pour créer une instruction de règle fréquentielle spécifique à votre page de connexion :

Dans Inspecter la requête, choisissez Chemin URI.
Dans Type de correspondance, choisissez Commence par une chaîne.
Dans Chaîne à faire correspondre, choisissez /login.

Puzzles CAPTCHA

Les puzzles CAPTCHA peuvent contribuer à prévenir les attaques suivantes :

Attaques par force brute de bots
Bourrage d'informations d'identification
Web scraping
Demandes de spam adressées aux serveurs

Lorsque vous créez une règle avec l'action CAPTCHA, les utilisateurs doivent d'abord remplir le CAPTCHA avant de se connecter.

Pour configurer CAPTCHA sur votre page de connexion, utilisez la configuration de règle suivante :

Dans Inspecter, sélectionnez Chemin URI.
Dans Type de correspondance, choisissez Commence par une chaîne.
Dans Chaîne à faire correspondre, choisissez /login.
Dans Action, sélectionnez CAPTCHA.
Dans Durée d'immunité, sélectionnez Durée en secondes.
Remarque : Pour aider à prévenir les attaques par force brute d'un humain, définissez une durée d’immunité faible.

Pour plus d'informations, consultez la section Bonnes pratiques d'utilisation des actions CAPTCHA et Challenge.

Groupe de règles gérées par ATP

Pour inspecter les requêtes malveillantes qui tentent de s'emparer de votre compte, utilisez le groupe de règles gérées par ATP. Par exemple, les attaques de connexion par force brute peuvent utiliser des essais et des erreurs pour deviner les informations d'identification afin d'obtenir un accès non autorisé à votre compte.

Le groupe de règles gérées par ATP contient des règles prédéfinies qui fournissent une visibilité et un contrôle sur les requêtes inattendues et les tentatives de connexion.

Pour inspecter les requêtes, utilisez le sous-ensemble de règles suivant dans le groupe de règles gérées par ATP :

VolumetricIpHigh : Volume élevé de requêtes envoyées par des adresses IP individuelles.
AttributePasswordTraversal : Tentatives qui utilisent la traversée de mots de passe.
AttributeLongSession : Tentatives qui utilisent des sessions de longue durée.
AttributeUsernameTraversal : Tentatives qui utilisent la traversée de noms d'utilisateur.
VolumetricSession : Volume élevé de requêtes envoyées par les sessions individuelles.
MissingCredential : Informations d'identification manquantes.

Pour plus d'informations, consultez la section Liste de règles de prévention contre le piratage de compte.

Security Automations pour AWS WAF

Pour utiliser un modèle AWS CloudFormation afin de déployer une liste de contrôle d'accès Web (ACL Web) avec un ensemble de règles, exécutez Security Automations pour AWS WAF.

Lorsqu'un utilisateur non autorisé essaie de deviner les informations d'identification correctes, il reçoit une réponse d'erreur, telle que 401 Unauthorized. La règle Scanners et sondes bloque les requêtes provenant d'une adresse IP qui reçoit en permanence un code de réponse spécifique. Lorsque vous activez cette règle, Security Automations pour AWS WAF déploie une requête AWS Lambda ou Athena qui vérifie la présence de codes de réponse HTTP dans les journaux. Définissez un seuil indiquant le nombre de fois qu'une requête peut recevoir le même code d'erreur et la durée pendant laquelle la règle bloque les requêtes qui dépassent ce seuil.

Informations connexes

Utilisation d'instructions de règles fréquentielles dans AWS WAF

Sujets: Security, Identity, & Compliance
Balises: AWS WAF
Langue: Français

AWS OFFICIELA mis à jour il y a 5 mois

Aucun commentaire

Contenus pertinents

Besoin de conseils d’architecture pour application de visioconférence
Nayyar
demandé il y a 2 mois
Facturation AWS WAF sans Web ACL visible
rePost-User-0347288
demandé il y a 9 mois
Impossible d'afficher la page de modification WAF sur une distribution Cloudfront
Réponse acceptée
Adesin
demandé il y a 2 ans
AWS Lambda sharp package
Julien Griffon
demandé il y a 3 ans
vCPU Limitation
rePost-User-2056629
demandé il y a 7 mois
Comment utiliser GuardDuty pour identifier les attaques par force brute sur des instances Linux ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment configurer AWS WAF pour protéger mes ressources contre les attaques courantes ?
AWS OFFICIELA mis à jour il y a 5 mois
J’ai reçu des alertes de type « GuardDuty UnauthorizedAccess brute force finding » pour mon instance Amazon EC2. Que dois-je faire ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment protéger mon application Web contre les menaces Web avec CloudFront et AWS WAF ?
AWS OFFICIELA mis à jour il y a 4 mois