CrowdHandler incluye un potente cortafuegos que puede utilizarse para controlar el acceso a las salas de espera y a su sitio web.
La función de cortafuegos está disponible en los planes Plus y superiores, y permite añadir reglas basadas en rangos para bloquear, priorizar o desviar el tráfico. Los planes Professional y Enterprise disponen de filtrado de IP automatizado adicional. Estas funciones funcionan conjuntamente con la detección de anomalías.
Acceso al cortafuegos
Vaya a la lista de dominios, Haga clic en el icono del escudo junto al nombre del dominio para el que desea establecer reglas (las reglas IP se configuran dominio por dominio).
Gestionar las IP
La pantalla Gestionar IPs es la vista por defecto dentro del cortafuegos. La pantalla muestra las reglas actuales del cortafuegos y las IPs más prolíficas conectadas actualmente. Puede añadir nuevas reglas, editar una regla existente o cambiar rápidamente el estado de una IP de la lista.
Las reglas afectan al tráfico que está en el ámbito de protección de sus salas de espera activas. Si desea que las reglas del cortafuegos se apliquen a todo el tráfico de su dominio en todo momento, deberá establecer una sala de espera catch-all.
Añadir una regla
- Introduzca la dirección IP (o rango CIDR)
- Añada una nota opcional para facilitar la identificación
- Seleccione la lista a la que desea añadir esta IP o rango
Los estados son los siguientes:
- Ignorar - Esto significa que la IP debe ser tratada como normal con respecto al acceso al sitio y priorización de colas, pero que no debe estar sujeta a ninguna actividad automatizada, como auto-bloqueo o rastreo de anomalías. Utilice este estado si conoce y confía en el origen de una IP o rango y no desea que sea bloqueada por las reglas normales.
- Bloquear - Use esto para bloquear IPs o rangos. El usuario será redirigido a la sala de espera, mostrando el estado bloqueado. Puede modificar la mensajería personalizando su plantilla.
- Bypass - El tráfico procedente de IPs o rangos configurados para bypass es esencialmente invisible para CrowdHandler. No comprobaremos al usuario, no lo pondremos en cola, no rastrearemos la sesión ni registraremos la solicitud. Esto significa que CrowdHandler no le protege en absoluto del tráfico desviado, por lo que recomendamos utilizar esta opción para un pequeño número de usuarios de confianza cuando sea útil. Los casos de uso obvios son el personal operativo que comprueba que la aplicación está operativa detrás de la cola y los desarrolladores que quieren probar su aplicación sin ninguna interferencia de la cola.
- Priorizar - El tráfico de IPs y rangos priorizados se sirve primero en la cola. Los usuarios pueden experimentar esto como saltarse la sala de espera por completo, dependiendo de los niveles de tráfico. Sin embargo, de todos modos se comprueban las tarifas generales del dominio y, si es necesario, se colocan en una cola de prioridad más pequeña. Esto funciona igual que si el usuario hubiera utilizado un código de prioridad. La priorización IP puede ser útil para priorizar automáticamente a los clientes VIP que se conectan desde redes corporativas, o en casos en los que el personal interno de ventas y soporte utiliza aplicaciones públicas en nombre de los clientes.
Lectura IP y cambio de estados
La pantalla Gestionar IPs enumera sus reglas existentes y muestra las IPs más prolíficas actualmente conectadas. La información es la siguiente:
- Dirección IP - admite v4 y v6
- Bandera del país de origen e icono de red - Al pasar el ratón por encima de cada icono se mostrará el nombre de la ciudad y el país y el nombre de la red o ISP. Al hacer clic en cualquiera de ellos, se mostrará información de búsqueda de IP, incluidos más detalles sobre la ubicación y la red. De particular interés puede ser la ruta (un rango CIDR) porque en lugar de bloquear o ignorar una IP específica, puede que te resulte más efectivo aplicar una regla a toda la ruta.
- Nota - Puedes actualizar esto. Cualquier IP auto-bloqueada tendrá una nota sobre la razón del bloqueo. Cualquier IP que cruce umbrales de advertencia también tendrá notas.
- Sesiones - Un recuento del número de sesiones originadas desde esta IP. Los recuentos altos pueden ser indicadores de actividad bot, comportamiento fraudulento o usuarios que intentan jugar una cola con muchos dispositivos o pestañas privadas. También podrían indicar una red corporativa, gubernamental o educativa. Si estas parecen ser una audiencia legítima para usted, puede que desee configurar estas IPs (o rutas) para ignorarlas.
- Conectado - Indica el tiempo que las sesiones de esta IP se conectaron por primera vez. Las sesiones que han estado conectadas durante un tiempo inusualmente largo pueden ser sospechosas.
- Estado - Puede establecer rápidamente una IP en uno de los estados descritos anteriormente seleccionando el estado y haciendo clic en el icono de guardar.
Filtrado IP y bloqueo automático
En la parte superior de la pantalla hay tres controles para filtrar automáticamente el tráfico en función de la inteligencia o el comportamiento de la IP.
El filtrado de amenazas conocidas y el bloqueo por puntuación de anomalías requieren que esté en el plan Profesional o superior.
Amenazas conocidas
CrowdHandler utiliza una combinación de inteligencia externa sobre direcciones IP e inteligencia interna basada en la observación del tráfico de clientes para categorizar las direcciones IP. Puede utilizar estas categorías para bloquear automáticamente el tráfico al primer contacto. Puede optar por cualquiera de estas categorías:
- Reglas de bloqueo de CrowdHandler - Esta es nuestra base de datos global de bloqueos. Se construye observando el tráfico a través de nuestra red e identificando los rangos de IP que repetidamente señalan comportamientos anómalos, fraudulentos o amenazantes a través de más de un cliente. Actualmente cubre aproximadamente 3 millones de direcciones IP. La lista de reglas se revisa periódicamente, pero se actualiza automáticamente. Los usuarios que optan por esta lista suelen comprobar que los bloqueos individuales y las advertencias de anomalías en su dominio disminuyen hasta en un 80%. Sin embargo, a diferencia del resto de reglas de esta lista, los bloqueos individuales basados en esta lista no se registran en su panel de control. Las reglas dentro de su panel de administración tienen prioridad sobre nuestras reglas de bloqueo. Así que si encuentras que estamos bloqueando tráfico que crees que debería estar permitido, podrás añadir reglas de ignorar para anular las nuestras.
- Atacantes Conocidos - Estas son direcciones IP que han sido marcadas en bases de datos de IP externas como intentos de comportamientos de tipo amenaza a la seguridad. Por ejemplo, intentos de inyección SQL o XSS. Recomendamos bloquear este tráfico.
- Abusadores conocidos - Se trata de direcciones IP que han sido marcadas en bases de datos de IP externas como intentos de comportamiento de tipo spam/abuso. Algunos ejemplos son el relleno de comentarios, el registro repetido en boletines, el scraping, etc. Recomendamos bloquear este tráfico, pero esta categoría es más propensa a falsos positivos que la anterior, ya que es común que los usuarios de ISP domésticos se vean involuntariamente atrapados en este comportamiento o roten a una dirección IP previamente utilizada para este comportamiento.
- TOR - La inteligencia externa señala esta dirección como perteneciente a la red TOR, una fuente de mucho tráfico fraudulento. Recomendamos bloquear TOR. Aunque los usuarios pueden tener derecho al anonimato, es probable que usted no quiera clientes anónimos.
- Centros de datos: es muy probable que el tráfico procedente de centros de datos, en lugar de empresas o ISP nacionales, sea tráfico con scripts (en otras palabras, bots). Recomendamos bloquear los centros de datos. Tenga en cuenta que las IPs legítimas de centros de datos pueden incluir servicios de monitorización, rastreadores de motores de búsqueda y callbacks de pasarelas de pago. CrowdHandler mantiene listas de paso globales para estos, pero si encuentra que está bloqueando un servicio en el que confía, añadir una regla de ignorar para ese rango anulará el comportamiento de bloqueo automático.
- Proxys - Los usuarios utilizan redes proxy (o VPN) para disfrazar su identidad. La mayor parte de los usuarios fraudulentos y del tráfico de bots se origina en redes proxy, ya que los usuarios que actúan ilegalmente no quieren que su dirección IP sea identificable. Bloquear las redes proxy reduce el tráfico fraudulento. Ten en cuenta que muchos usuarios nacionales utilizan ahora VPNs por motivos de privacidad, y estos usuarios podrían ser bloqueados. Le recomendamos que actualice el mensaje de bloqueo en su sala de espera para aconsejar a los usuarios legítimos que desactiven las VPN cuando utilicen su aplicación.
Bloqueo automático de IPs con más de X sesiones
Por lo general, se espera que una sesión (un único token CrowdHandler) se asigne a una única IP. Si tienes muchos tokens conectándose desde una sola IP, esto puede ser una indicación de un bot scraper o un usuario que utiliza muchos dispositivos o pestañas anónimas. Este control deslizante le permite establecer el número aceptable de sesiones para conectarse desde una sola IP antes de que esa IP sea auto-bloqueada. Otra razón por la que puedes ver muchas conexiones desde una sola IP es si la IP está en una red corporativa o en una institución académica. Recomendamos establecer un límite razonable (digamos 10) y añadir reglas de ignorar para cualquier IP que pertenezca a redes que pienses que razonablemente pueden tener múltiples sesiones.
Autobloqueo con puntuaciones de anomalía superiores a X
Este control deslizante le permite bloquear automáticamente las IP desde las que se originan sesiones con puntuaciones de anomalía excesivas. Puede elegir el nivel para activar un bloqueo.
Recomendaciones
La pestaña Recomendaciones le mostrará hasta 20 reglas recomendadas para añadir al cortafuegos. Estas se basan en observaciones de grupos de IP que activan bloqueos automáticos y advertencias en tu dominio.
- Rango - Este es el rango CIDR recomendado para el bloqueo.
- Iconos de país y de red - Al pasar el ratón por encima de ellos se muestra la ciudad y el ISP conectado con el rango IP. Si hace clic, obtendrá información más detallada.
- Sesiones - Esto mostrará el número de sesiones rastreadas al rango IP. Al hacer clic en esto se abrirá la pestaña Sesiones con todas las sesiones anómalas rastreadas desde ese rango en los últimos siete días. Puede usar esto para obtener una vista más detallada del comportamiento detrás de la recomendación.
- Iniciada y Última - Estas fechas muestran cuándo se observaron por primera vez las IPs dentro de este rango y cuándo se vieron por última vez.
- Recomendación / Bloquear - Si está de acuerdo con la recomendación de bloquear el rango, haga clic en el botón Bloquear. Se añadirá una regla de bloqueo permanente a la pestaña Reglas.
- Ignorar - Si no estás de acuerdo con la recomendación (por ejemplo, crees que la red y el comportamiento son consistentes con un bot "bueno"), puedes hacer clic en el botón Ignorar. Esto añadirá una regla de Ignorar a la pestaña Reglas para ese rango.
Registro de bloqueo automático
El registro de autobloqueo proporciona una lista de IPs autobloqueadas en los últimos siete días, y la razón del bloqueo. Por defecto, los autobloqueos sólo duran una hora. Puede utilizar el registro de autobloqueo para verificar informes de falsos positivos. Haciendo clic en una IP en la pantalla del registro de autobloqueo se abrirá la pantalla de Sesiones con sesiones anómalas filtradas por IP, para que pueda ver qué comportamiento puede haber contribuido a un autobloqueo.