AWS WAF e il side effects della regola AWSManagedRulesAnonymousIpList
By Saverio Menin
AWS WAF è molto comodo per proteggere in modo “dinamico” le nostre risorse AWS.
C’è però una regola AWSManagedRulesAnonymousIpList che può portare dei side effects: blocca anche gli stessi ip di AWS!
Come risolvere?
Indagando in rete ho trovato questo sito https://ip-ranges.amazonaws.com/ip-ranges.json aggiornato da AWS stessa che elenca i vari ip pubblici delle region e servizi di AWS.
Ho quindi usato questo per mettere nella regola AWSManagedRulesAnonymousIpList un’eccezione così da sbloccare facilmente queste tipologie di IP.
Come modificare la regola AWSManagedRulesAnonymousIpList ?
-
Impostare un IP Set
-
Al suo interno mettere l’elenco degli IP AWS della region desiderata
Attenzione sono molti, suggerisco di fare un parser fa JSON a CSV per poterli copiare ed incollare con facilità
-
Andare sulla Web ACL desiderata
-
Entrare nelle Rules e modificare la regola AWSManagedRulesAnonymousIpList
-
Attivare il box “Scope-down statement”
-
Come regola mettere:
- if a request: dosen’t match the statement (NOT)
- inspect: Originates from an IP address in
- IP set: <set_ip_creato_prima>
- IP address to use as the originating address: Source IP address
-
Salvare
Non è una soluzione definitiva perché se cambiano gli IP di AWS bisogna aggiornare la lista, ma è una buona alternativa per complessità e costi.