Trabajar con condiciones de restricción de tamaño

nota

Esta es la documentación de AWS WAF Classic. Solo debe usar esta versión si creó AWS WAF recursos, como reglas y ACL web, AWS WAF antes de noviembre de 2019 y aún no los ha migrado a la última versión. Para migrar los recursos, consulte Migración de sus recursos AWS WAF clásicos a AWS WAF.

Para obtener la versión más reciente de AWS WAF, consulteAWS WAF.

Si desea permitir o bloquear solicitudes web en función de la longitud de determinadas partes de las solicitudes, cree una o varias condiciones de restricción de tamaño. Una condición de restricción de tamaño identifica la parte de las solicitudes web que desea que examine AWS WAF Classic, el número de bytes que desea que busque AWS WAF Classic y un operador, como mayor que (>) o menor que (<). Por ejemplo, puede utilizar una condición de restricción de tamaño para buscar las cadenas de consulta que tengan más de 100 bytes. Más adelante, cuando cree una ACL web, puede especificar si desea permitir o bloquear las solicitudes según dicha configuración.

Tenga en cuenta que si configura AWS WAF Classic para inspeccionar el cuerpo de la solicitud, por ejemplo, buscando en el cuerpo una cadena específica, AWS WAF Classic inspecciona solo los primeros 8192 bytes (8 KB). Si el cuerpo de la solicitud para sus solicitudes web nunca va a superar los 8 192 bytes, puede crear una condición de restricción de tamaño y bloquear las solicitudes que tengan un cuerpo de la solicitud que supere los 8 192 bytes.

Crear condiciones de restricción de tamaño

Al crear condiciones de restricción de tamaño, se especifican filtros que identifican la parte de las solicitudes web cuya longitud se desea que AWS WAF Classic evalúe. Puede añadir más de un filtro a una condición de restricción de tamaño o puede crear una condición independiente para cada filtro. Así es como afecta cada configuración al comportamiento de la AWS WAF versión clásica:

• Un filtro por condición de restricción de tamaño: al añadir las distintas condiciones de restricción de tamaño a una regla y añadir la regla a una ACL web, las solicitudes web deben cumplir todas las condiciones para que AWS WAF Classic permita o bloquee las solicitudes en función de esas condiciones.

  Por ejemplo, suponga que crea dos condiciones. Una coincide con solicitudes web cuyas cadenas de consulta superan los 100 bytes. La otra coincide con las solicitudes web cuyo cuerpo de la solicitud es superior a 1024 bytes. Al añadir ambas condiciones a la misma regla y añadir la regla a una ACL web, la AWS WAF versión clásica solo permite o bloquea las solicitudes cuando se cumplen ambas condiciones.

• Más de un filtro por condición de restricción de tamaño: cuando se agrega una condición de restricción de tamaño que contiene varios filtros a una regla y se agrega la regla a una ACL web, la solicitud web solo necesita coincidir con uno de los filtros de la condición de restricción de tamaño para que AWS WAF Classic permita o bloquee la solicitud en función de esa condición.

  Supongamos que crea una condición en lugar de dos y que la única condición contiene los mismos dos filtros que en el ejemplo anterior. AWS WAF Classic permite o bloquea las solicitudes si la cadena de consulta es superior a 100 bytes o el cuerpo de la solicitud es superior a 1024 bytes.

nota

Al añadir una condición de restricción de tamaño a una regla, también puede configurar la AWS WAF versión clásica para permitir o bloquear las solicitudes web que no coincidan con los valores de la condición.

Para crear una condición de restricción de tamaño

1. Inicie sesión en la AWS WAF consola AWS Management Console y ábrala en https://console.aws.amazon.com/wafv2/.

   Si ve Cambiar a la AWS WAF versión clásica en el panel de navegación, selecciónela.

2. En el panel de navegación, elija Size constraints (Restricciones de tamaño).

3. Elija Create condition.

4. Especifique la configuración de filtro aplicable. Para obtener más información, consulte Valores que se especifican al crear o editar condiciones de restricción de tamaño.

5. Elija Add another filter.

6. Si desea añadir otro filtro, repita los pasos 4 y 5.

7. Cuando termine de agregar filtros, elija Create size constraint condition (Crear condición de restricción de tamaño).

Valores que se especifican al crear o editar condiciones de restricción de tamaño

Al crear o actualizar una condición de restricción de tamaño, debe especificar los siguientes valores:

Nombre

Escriba un nombre para la condición de restricción de tamaño.

El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres especiales: _-!"#`+*},./. No se puede cambiar el nombre de una condición después de crearla.

Parte de la solicitud para filtrar en

Elija la parte de cada solicitud web cuya longitud desee que AWS WAF Classic evalúe:

Encabezado

Un encabezado de solicitud específico, por ejemplo, el encabezado User-Agent o Referer. Si elige Header, indique el nombre del encabezado en el campo Header.

Método HTTP

El método HTTP indica el tipo de operación que la solicitud pide al origen que lleve a cabo. CloudFront admite los siguientes métodos: DELETEGET,HEAD, OPTIONSPATCH,POST, yPUT.

Cadena de consulta

Es la parte de una URL que aparece después de un carácter ?, si hay alguno.

URI

La ruta del URI de la solicitud, que identifica el recurso, por ejemplo, /images/daily-ad.jpg. Esto no incluye la cadena de consulta ni los componentes del fragmento del URI. Para obtener información, consulte Identificador uniforme de recursos (URI): sintaxis genérica.

A menos que se especifique una transformación, el URI no se normaliza y se inspecciona tal y como lo AWS recibe del cliente como parte de la solicitud. Una transformación reformateará el URI según se especifique.

Cuerpo

Es la parte de una solicitud que contiene los datos adicionales que desea enviar a su servidor web como cuerpo de la solicitud HTTP, por ejemplo, los datos de un formulario.

Parámetro de consulta único (solo valor)

Cualquier parámetro que haya definido como parte de la cadena de consulta. Por ejemplo, si la URL es «www.xyz.com? UserName =abc& SalesRegion =seattle», puede añadir un filtro al parámetro o. UserNameSalesRegion

Si elige Single query parameter (value only) (Parámetro de consulta único [solo valor]), también debe especificar un Query parameter name (Nombre de parámetro de consulta). Este es el parámetro de la cadena de consulta que inspeccionará, por ejemplo. UserName La longitud máxima del Query parameter name (Nombre de parámetro de consulta) es de 30 caracteres. Query parameter name (Nombre de parámetro de consulta) no distingue entre mayúsculas y minúsculas. Por ejemplo, si lo especificas UserNamecomo nombre del parámetro de consulta, coincidirá con todas las variantes UserName, como username y userName.

Todos los parámetros de consulta (solo valores)

Similar al parámetro de consulta único (solo valor), pero en lugar de inspeccionar el valor de un solo parámetro, AWS WAF Classic inspecciona los valores de todos los parámetros de la cadena de consulta para comprobar la restricción de tamaño. Por ejemplo, si la dirección URL es «www.xyz.com? UserName =abc& SalesRegion =seattle» y selecciona Todos los parámetros de la consulta (solo valores), AWS WAF Classic activará una coincidencia del valor si alguno de los parámetros de consulta supera o supera el tamaño especificado. UserNameSalesRegion

Encabezado (solo cuando "Parte de la solicitud para filtrar en" es "Encabezado")

Si seleccionó Encabezado como parte de la solicitud para filtrar, elija un encabezado de la lista de encabezados comunes o escriba el nombre del encabezado cuya longitud desee que Classic evalúe. AWS WAF

Operador de comparación

Elige cómo quieres que AWS WAF Classic evalúe la longitud de la cadena de consulta en las solicitudes web con respecto al valor que especifiques en Size.

Por ejemplo, si elige Es mayor que para el operador de comparación y escribe 100 para el tamaño, AWS WAF Classic evalúa las solicitudes web para una cadena de consulta de más de 100 bytes.

Tamaño

Introduzca la longitud, en bytes, que desee que AWS WAF Classic observe en las cadenas de consulta.

nota

Si elige URI para el valor de Part of the request to filter on (Parte de la consulta que se va a filtrar), la / del URI se cuenta como un carácter. Por ejemplo, el /logo.jpg de la ruta del URI tiene nueve caracteres.

Transformación

Una transformación reformatea una solicitud web antes de que AWS WAF Classic evalúe la longitud de la parte especificada de la solicitud. Esto elimina algunos de los formatos poco habituales que los atacantes utilizan en las solicitudes web para evitar AWS WAF la versión clásica.

nota

Si seleccionas el cuerpo como parte de la solicitud que deseas filtrar, no podrás configurar AWS WAF Classic para que lleve a cabo una transformación, ya que solo se reenvían los primeros 8192 bytes para su inspección. Sin embargo, puede filtrar el tráfico en función del tamaño del cuerpo de la solicitud HTTP y especificar una transformación de Ninguna. (AWS WAF Classic obtiene la longitud del cuerpo de los encabezados de las solicitudes).

Solo puede especificar un único tipo de transformación de texto.

Las transformaciones pueden realizar las siguientes operaciones:

Ninguna

AWS WAF Classic no realiza ninguna transformación de texto en la solicitud web antes de comprobar la longitud.

Cambiar a minúsculas

AWS WAF Classic convierte las letras mayúsculas (A-Z) en minúsculas (a-z).

Descodificar en HTML

AWS WAF La versión clásica reemplaza los caracteres codificados en HTML por caracteres no codificados:

• Sustituye " por &

• Sustituye   por un espacio de no separación

• Sustituye < por <

• Sustituye > por >

• Sustituye los caracteres representados con formato hexadecimal, &#xhhhh;, por los caracteres correspondientes

• Sustituye los caracteres representados con formato decimal, &#nnnn;, por los caracteres correspondientes

Normalizar espacios en blanco

AWS WAF La versión clásica reemplaza los siguientes caracteres por un carácter de espacio (32 decimales):

• \f, salto de página, 12 decimales

• \t, pestaña, 9 decimales

• \n, línea nueva, 10 decimales

• \r, salto de línea, 13 decimales

• \v, pestaña vertical, 11 decimales

• espacio de no separación, 160 decimales

Además, esta opción sustituye varios espacios por un espacio.

Simplificar la línea de comandos

Para las solicitudes que contienen los comandos de línea de comandos del sistema operativo, utilice esta opción para realizar las siguientes transformaciones:

• Eliminar los siguientes caracteres: \ " ' ^

• Eliminar los espacios delante de los siguientes caracteres: / (

• Sustituir los siguientes caracteres por un espacio: , ;

• Sustituir varios espacios por un espacio

• Convertir las mayúsculas (A-Z) en minúsculas (a-z)

Descodificar la URL

Descodifique una solicitud de URL codificada.

Agregar y eliminar filtros en una condición de restricción de tamaño

Puede añadir o eliminar filtros en una condición de restricción de tamaño. Para cambiar un filtro, añada uno nuevo y elimine el viejo.

Para añadir o eliminar filtros en una condición de restricción de tamaño

1. Inicie sesión en la AWS WAF consola AWS Management Console y ábrala en https://console.aws.amazon.com/wafv2/.

   Si ve Cambiar a la AWS WAF versión clásica en el panel de navegación, selecciónela.

2. En el panel de navegación, elija Size constraint (Restricción de tamaño).

3. Elija la condición para la que desea añadir o eliminar filtros.

4. Para añadir filtros, siga los siguientes pasos:

   1. Elija Add filter (Agregar filtro).

   2. Especifique la configuración de filtro aplicable. Para obtener más información, consulte Valores que se especifican al crear o editar condiciones de restricción de tamaño.

   3. Elija Add (Agregar).

5. Para eliminar filtros, siga los siguientes pasos:

   1. Seleccione el filtro que desea eliminar.

   2. Elija Delete filter (Eliminar filtro).

Eliminar condiciones de restricción de tamaño

Si desea eliminar una condición de restricción de tamaño, primero debe eliminar todos los filtros de la condición y borrar la condición de todas las reglas que la utilizan, tal y como se describe en el siguiente procedimiento.

Para eliminar una condición de restricción de tamaño

1. Inicie sesión AWS Management Console y abra la AWS WAF consola en https://console.aws.amazon.com/wafv2/.

   Si ve Cambiar a la AWS WAF versión clásica en el panel de navegación, selecciónela.

2. En el panel de navegación, elija Size constraints (Restricciones de tamaño).

3. En el panel Size constraint conditions (Condiciones de restricción de tamaño), elija la condición de restricción de tamaño que desea eliminar.

4. En el panel de la derecha, elija la pestaña Associated rules (Reglas asociadas).

   Si la lista de reglas que utiliza esta condición de restricción de tamaño está vacía, vaya al paso 6. Si la lista contiene alguna regla, anótela y continúe con el paso 5.

5. Para eliminar la condición de restricción de tamaño de las reglas que la utilizan, siga los siguientes pasos:

   1. En el panel de navegación, seleccione Reglas.

   2. Elija el nombre de una regla que utilice la condición de restricción de tamaño que desea eliminar.

   3. En el panel de la derecha, seleccione la condición de restricción de tamaño que desea eliminar de la regla y, a continuación, elija Remove selected condition (Eliminar condición seleccionada).

   4. Repita los pasos b y c para todas las demás reglas que utilizan la condición de restricción de tamaño que desea eliminar.

   5. En el panel de navegación, elija Size constraint (Restricción de tamaño).

   6. En el panel Size constraint conditions (Condiciones de restricción de tamaño), elija la condición de restricción de tamaño que desea eliminar.

6. Elija Delete (Eliminar) para eliminar la condición seleccionada.