ちょっと話題の記事

[アップデート] AWS Managed Rules for AWS WAF に匿名 IP リストのルールが追加されました

AWS Managed Rules for AWS WAF が益々便利になっていく
2020.03.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

本日のアップデートにより、AWS 製のマネージドルール 「AWS Managed Rules for AWS WAF」 に匿名 IP リスト(Anonymous IP List) のルールが追加されました。

何が嬉しいのか

Anonymous IP List には、悪意のある攻撃の際に利用されやすい「匿名プロキシ(Anonymous Proxy)」、「Tor ノード(IP 発信元の匿名化)」、「VPN」、「ホスティングプロバイダー」からのリクエストをブロックするルールが含まれています。

アプリケーションから身元を隠そうとしている Web リクエストを除外する場合に利用できます。これらのサービスの IP アドレスをブロックすることで Bot や、CloudFront などで設定された地域制限を回避するリクエストの緩和に役立ちます。

従来、これらのリクエストに対処したい場合は、Anonymous IP List に対応したサードパーティのマネージドルールを利用するか、Proxy アドレスや Tor ノードリストを提供しているサイトから IP リストを取得し、Lambda で定期的に IP Rules に放り込むなどの対応をされていたかと思います。

今回、AWS Managed Rules for AWS WAF に追加されたことで追加費用なしに実装できるようになったので、大変うれしいことですね!

やってみる

AWS Managed Rules for AWS WAF のマネージドルールの設定メニューに、[Anonymous IP List] が追加されていますので、有効化します。(サービス中の WebACL に追加される場合、まずはカウントのみにするのが良いでしょう)

通常のブラウザ

それでは [Anonymous IP List] を有効にした WebACL をアタッチした ALB にアクセスして確認します。まずは通常のブラウザでアクセスします。

問題なくアクセスできますね。

Tor ブラウザ

次に、身元を隠蔽するようなブラウザを使ってアクセスしてみます。今回は Android アプリの「Tor Browser」を使ってアクセスしてみました。

見事にブロックされましたね!

WebACL のログにも AnonymousIPList によって BLOCK されたことが記録されていますね。

検証は以上です!

さいごに

追加費用なしに利用できる AWS Managed Rules for AWS WAF がさらに便利になりましたね!

AWS Managed Rules for AWS WAF で Bot や 匿名プロキシからのアクセスにお悩みの方は、是非、お試しください。

以上!大阪オフィスの丸毛(@marumo1981)でした!