¿Quién no ha tenido que lidiar con un ataque contra sus aplicativos web o API?

En Amazon Web Services (AWS), uno de los servicios encargados de mitigar los ataques web y de bots es AWS Web Application Firewall (AWS WAF). Este tipo de ataques comunes pueden generar problemas de seguridad o un consumo elevado de los recursos de la arquitectura afectando a la disponibilidad del servicio.

AWS WAF permite controlar el tráfico que llega a las aplicaciones. Crea reglas de seguridad para limitar las peticiones que puedan ser potencialmente peligrosas como patrones de ataque comunes (ejemplo las inyecciones SQL). También permite crear reglas personalizadas que posibilita filtrar patrones específicos que conozcamos de nuestros aplicativos que puedan ser susceptibles de ser explotados por agentes externos.

Una parte muy interesante de las configuraciones que se pueden realizar sobre el WAF es la posibilidad de añadir reglas administradas por AWS.

Las reglas administradas por AWS es un conjunto preconfigurado de reglas gestionado por AWS o los vendedores de AWS Marketplace, que abordan los riesgos principales de seguridad conocidos de Open Web Application Security Project (OWASP) y bots automatizados. Estas reglas se actualizan de forma periódica según van surgiendo nuevas amenazas.

Podemos asociar AWS WAF a varios servicios de AWS como ELB, Amazon API Gateway o Cloudfront. En nuestro caso concreto, nos centraremos en implementar configuraciones básicas del WAF sobre una distribución de Cloudfront.

Cómo crear una web ACL para controlar el tráfico de tu distribución de Cloudfront

En este ejemplo ya se cuenta con una distribución de Cloudfront y nos centraremos en las configuraciones del WAF. 

Aclarar que esto es un caso sencillo para tener unos conceptos básicos de cómo configurar reglas dentro del WAF. 

Empecemos:

Dentro de AWS nos dirigiremos al servicio de WAF & Shield y crearemos una nueva Web ACL.

En esta primera ventana elegiremos el nombre, descripción y seleccionaremos el recurso de Cloudfront para que se asocie con la región Global. Como podemos ver, la asociación a las distribuciones es opcional y se podría realizar más adelante, en nuestro caso, ya hemos elegido la nuestra.

En la siguiente ventana tendremos que elegir las reglas que queremos añadir en nuestras configuraciones y el comportamiento que queremos que tenga nuestra ACL.

En este ejemplo y para tomar como base, configuraremos la regla por defecto como Allow para permitir todo el tráfico, y añadiremos algunas de las reglas administradas por AWS para bloquear el tráfico potencialmente peligroso.

Dentro de las reglas administradas están las ofrecidas por AWS y algunas de vendedores del Marketplace. Algunas reglas administradas por AWS tienen un coste extra al igual que las ofrecidas por los vendedores de Marketplace.

El listado de reglas administradas por AWS las pueden encontrar en el siguiente enlace. En nuestro caso elegiremos: Amazon IP reputation list y Anonymous IP list. 

En el siguiente paso seleccionaremos la prioridad de nuestras reglas. La primera regla tendrá prioridad sobre las que le sucedan.

En el paso siguiente tendremos que definir el nombre para el almacenamiento de métricas y su visualización.

Con esto ya tendríamos nuestra Web ACL configurada y asociada a nuestra distribución.

Desde el propio panel de AWS podremos ver las métricas del tráfico que están bloqueando y/o permitiendo nuestras reglas, si queremos agregar o eliminar nuevas reglas a nuestra ACL o si la queremos incluir en más distribuciones de Cloudfront.

Como comentamos al principio, este ejemplo es muy básico para tomar un primer contacto con las configuraciones de WAF y para agregar reglas ya predefinidas. A pesar de ello, el servicio permite incluir reglas personalizadas o incluso modificar algunos parámetros de las que proporciona AWS.

Si tienes dudas o necesitas asesoramiento puedes contactar con nosotros.