Controles estáticos para gestionar los bots - AWS Guía prescriptiva
Permitir la inclusiónControles basados en IPControles intrínsecos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles estáticos para gestionar los bots

Para realizar una acción, los controles estáticos evalúan la información estática de la solicitud HTTP (S), como su dirección IP o sus encabezados. Estos controles pueden resultar útiles para las actividades de bots incorrectas poco sofisticadas o para el tráfico de bots potencialmente beneficioso que se espera que deba verificarse y gestionarse. Entre las técnicas de control estático se incluyen las listas de permisos, los controles basados en IP y las comprobaciones intrínsecas.

Permitir la inclusión

Permitir la publicación es un control que permite identificar el tráfico amigable mediante los controles de mitigación de bots existentes. Existen diversas formas de lograrlo. La más sencilla consiste en utilizar una regla que coincida con un conjunto de direcciones IP o con una condición de coincidencia similar. Cuando una solicitud coincide con una regla que está configurada para una Allow acción, las reglas posteriores no la evalúan. En algunos casos, es necesario evitar que solo se apliquen determinadas reglas; en otras palabras, es necesario permitir la lista de una regla, pero no de todas. Este es un escenario habitual para gestionar los falsos positivos en las reglas. Permitir la inclusión en la lista se considera una regla de amplio alcance. Para reducir la posibilidad de que aparezcan falsos negativos, te recomendamos que la asocies con otra opción que sea más detallada, como una coincidencia de ruta o encabezado.

Controles basados en IP

Bloques de direcciones IP únicas

Una herramienta que se utiliza habitualmente para mitigar el impacto de los bots consiste en limitar las solicitudes de un único solicitante. El ejemplo más simple es bloquear la dirección IP de origen del tráfico si sus solicitudes son maliciosas o tienen un volumen elevado. Esto utiliza reglas de coincidencia de conjuntos de AWS WAF IP para implementar bloqueos basados en IP. Estas reglas coinciden con las direcciones IP y aplican una acción de BlockChallenge, oCAPTCHA. Para determinar cuándo llegan demasiadas solicitudes desde una dirección IP, consulte la red de entrega de contenido (CDN), un firewall de aplicaciones web o los registros de aplicaciones y servicios. Sin embargo, en la mayoría de los casos, este control no es práctico sin la automatización.

La automatización de las listas de direcciones IP bloqueadas AWS WAF se suele realizar con reglas basadas en tasas. Para obtener más información, consulte la sección Reglas basadas en frecuencia de esta guía. También puede implementar las automatizaciones de seguridad para la solución. AWS WAF Esta solución actualiza automáticamente una lista de direcciones IP para bloquearlas y una AWS WAF regla deniega las solicitudes que coinciden con esas direcciones IP.

Una forma de reconocer un ataque de bot es si una multitud de solicitudes de la misma dirección IP se centran en un número reducido de páginas web. Esto indica que el bot está descartando precios o intentando iniciar sesión repetidamente, lo que supone un alto porcentaje de errores. Puedes crear automatizaciones que reconozcan inmediatamente este patrón. Las automatizaciones bloquean la dirección IP, lo que reduce la eficacia del ataque al identificarlo y mitigarlo rápidamente. El bloqueo de direcciones IP específicas es menos eficaz cuando un atacante tiene un gran conjunto de direcciones IP desde las que lanzar ataques o cuando el comportamiento de ataque es difícil de reconocer y separar del tráfico normal. 

Reputación de la dirección IP

Un servicio de reputación IP proporciona información que ayuda a evaluar la confiabilidad de una dirección IP. Por lo general, esta inteligencia se obtiene mediante la agregación de información relacionada con la IP de la actividad pasada de esa dirección IP. La actividad previa ayuda a indicar la probabilidad de que una dirección IP genere solicitudes maliciosas. Los datos se agregan a las listas administradas que rastrean el comportamiento de las direcciones IP.

Las direcciones IP anónimas son un caso especializado de reputación de direcciones IP. La dirección IP de origen proviene de fuentes conocidas de direcciones IP fáciles de adquirir, como máquinas virtuales basadas en la nube, o de proxies, como proveedores de VPN conocidos o nodos Tor. Los grupos de reglas gestionados por la lista de reputación IP de AWS WAF Amazon y la lista de IP anónimas utilizan la inteligencia de amenazas interna de Amazon para ayudar a identificar estas direcciones IP.

La información proporcionada por estas listas gestionadas puede ayudarle a actuar en función de las actividades identificadas a partir de estas fuentes. Basándose en esta información, puede crear reglas que bloqueen directamente el tráfico o reglas que limiten el número de solicitudes (como las reglas basadas en tarifas). También puedes usar esta información para evaluar el origen del tráfico mediante las reglas del COUNT modo. De este modo, se examinan los criterios de coincidencia y se aplican etiquetas que puede utilizar para crear reglas personalizadas.

Reglas basadas en frecuencia

Las reglas basadas en tasas pueden ser una herramienta valiosa en determinados escenarios. Por ejemplo, las reglas basadas en tarifas son eficaces cuando el tráfico de bots alcanza volúmenes altos en comparación con los usuarios que utilizan identificadores uniformes de recursos (URI) confidenciales o cuando el volumen de tráfico comienza a afectar a las operaciones normales. La limitación de velocidad puede mantener las solicitudes en niveles manejables y limitar y controlar el acceso. AWS WAF puede implementar una regla de limitación de velocidad en una lista de control de acceso web (ACL web) mediante una declaración de reglas basada en la velocidad. Cuando se utilizan reglas basadas en la tasa, se recomienda incluir una regla general que abarque todo el sitio, reglas específicas de la URI y reglas basadas en la tasa de reputación de la IP. Las reglas basadas en la tasa de reputación de IP combinan la inteligencia de la reputación de la dirección IP con la funcionalidad de limitar la velocidad.

Para todo el sitio, una regla general basada en la tasa de reputación de IP crea un límite que impide que bots poco sofisticados inunden un sitio desde un número reducido de direcciones IP. Se recomienda limitar la velocidad especialmente para proteger las URIs que tienen un alto coste o impacto, como las páginas de inicio de sesión o de creación de cuentas.

Las reglas que limitan la velocidad pueden proporcionar una primera capa de defensa rentable. Puede utilizar reglas más avanzadas para proteger las URIs confidenciales. Las reglas basadas en tarifas específicas de los URI pueden limitar el impacto en las páginas críticas o en las API que afectan al backend, como el acceso a la base de datos. Las mitigaciones avanzadas para proteger determinadas URI, que se analizan más adelante en esta guía, suelen implicar costes adicionales, y estas reglas basadas en las tarifas específicas de las URI pueden ayudarle a controlar los costes. Para obtener más información sobre las reglas basadas en tarifas que se recomiendan habitualmente, consulte las tres reglas basadas en tarifas más importantes en el blog de seguridad. AWS WAF AWS En algunas situaciones, resulta útil limitar el tipo de solicitud que se evalúa mediante una regla basada en tasas. Puede usar instrucciones de alcance reducido para, por ejemplo, limitar las reglas basadas en la tasa por el área geográfica de la dirección IP de origen.

AWS WAF ofrece una capacidad avanzada para establecer reglas basadas en tasas mediante el uso de claves de agregación. Con esta funcionalidad, puede configurar una regla basada en tasas para utilizar otras claves de agregación y combinaciones de teclas, además de la dirección IP de origen. Por ejemplo, como una combinación única, puede agregar las solicitudes en función de una dirección IP reenviada, el método HTTP y un argumento de consulta. Esto le ayuda a configurar reglas más detalladas para una mitigación sofisticada del tráfico volumétrico.

Controles intrínsecos

Los controles intrínsecos son varios tipos de validaciones o verificaciones internas o inherentes dentro de un sistema o proceso. Para el control de los bots, AWS WAF realiza una comprobación intrínseca al validar que la información enviada en la solicitud coincide con las señales del sistema. Por ejemplo, realiza búsquedas inversas de DNS y otras verificaciones del sistema. Algunas solicitudes automatizadas son necesarias, como las relacionadas con el SEO. Permitir la inclusión en la lista es una forma de permitir el paso de los bots buenos y esperados. Sin embargo, a veces, los bots malintencionados emulan a los buenos y puede resultar difícil separarlos. AWS WAF proporciona métodos para lograrlo mediante el grupo de reglas de control de AWS WAF bots gestionado. Las reglas de este grupo permiten comprobar que los bots autoidentificados son quienes dicen ser. AWS WAF compara los detalles de la solicitud con el patrón conocido de ese bot y también realiza búsquedas inversas en el DNS y otras verificaciones objetivas.