CrowdHandler comprend un puissant pare-feu qui peut être utilisé pour contrôler l'accès aux salles d'attente et à votre site web.
La fonction de pare-feu est disponible à partir des plans Plus, ce qui vous permet d'ajouter des règles basées sur des plages pour bloquer, prioriser ou contourner le trafic. Un filtrage IP automatisé supplémentaire est disponible sur les plans Professional et Enterprise. Ces fonctions fonctionnent en tandem avec la détection des anomalies.
Accès au pare-feu
Allez dans la liste des domaines, cliquez sur l'icône du bouclier à côté du nom de domaine pour lequel vous voulez établir des règles (les règles IP sont configurées domaine par domaine).
Gérer les adresses IP
L'écran Gérer les IP est l'affichage par défaut du pare-feu. L'écran affiche les règles actuelles du pare-feu et les adresses IP les plus prolifiques actuellement connectées. Vous pouvez ajouter de nouvelles règles, modifier une règle existante ou changer rapidement le statut d'une IP répertoriée.
Les règles affectent le trafic dont la protection est assurée par vos salles d'attente actives. Si vous souhaitez que les règles du pare-feu s'appliquent en permanence à l'ensemble du trafic de votre domaine, vous devez créer une salle d'attente "attrape-tout".
Ajout d'une règle
- Saisir l'adresse IP (ou la plage CIDR)
- Ajouter une note facultative pour faciliter l'identification
- Sélectionnez la liste à laquelle vous souhaitez ajouter cette IP ou cette plage.
Les statuts sont les suivants :
- Ignorer - Cela signifie que l'IP doit être traitée normalement en ce qui concerne l'accès au site et la priorisation des files d'attente, mais qu'elle ne doit faire l'objet d'aucune activité automatisée, telle que l'auto-blocage ou le suivi des anomalies. Utilisez ce statut si vous connaissez l'origine d'une IP ou d'une plage d'IP et que vous lui faites confiance, et que vous ne souhaitez pas qu'elle soit bloquée par les règles normales.
- Bloquer - Cette option permet de bloquer des adresses IP ou des plages d'adresses. L'utilisateur sera redirigé vers la salle d'attente, affichant l'état bloqué. Vous pouvez modifier le message en personnalisant votre modèle.
- Contournement - Le trafic en provenance d'IP ou de plages configurées pour le contournement est essentiellement invisible pour CrowdHandler. Nous ne vérifierons pas l'utilisateur, ne le mettrons pas en file d'attente, ne suivrons pas la session, et n'enregistrerons même pas la requête. Cela signifie que CrowdHandler ne vous protège pas du tout contre le trafic contourné, nous recommandons donc d'utiliser cette option pour un petit nombre d'utilisateurs de confiance lorsque cela est utile. Les cas d'utilisation évidents sont le personnel opérationnel qui vérifie que l'application est opérationnelle derrière la file d'attente et les développeurs qui veulent tester leur application sans interférence de la file d'attente.
- Priorité - Le trafic provenant d'IP et de plages priorisées est servi en premier dans la file d'attente. Les utilisateurs peuvent avoir l'impression d'éviter complètement la salle d'attente, en fonction des niveaux de trafic. Mais ils sont tout de même comparés aux taux globaux du domaine et, si nécessaire, ils seront placés dans une file d'attente prioritaire plus petite. Le fonctionnement est le même que si l'utilisateur avait utilisé un code de priorité. La priorisation IP peut être utile pour donner automatiquement la priorité aux clients VIP qui se connectent à partir de réseaux d'entreprise, ou dans les cas où le personnel de vente et d'assistance interne utilise des applications publiques pour le compte de clients.
Lecture de l'IP et modification des statuts
L'écran Gérer les IP dresse la liste des règles existantes et affiche les IP les plus prolifiques actuellement connectées. Les informations sont les suivantes :
- Adresse IP - v4 et v6 sont prises en charge
- Drapeau du pays d'origine et icône du réseau - En survolant chaque icône, vous verrez apparaître le nom de la ville et du pays, ainsi que le nom du réseau ou du fournisseur d'accès. En cliquant sur l'une de ces icônes, vous obtiendrez des informations sur la recherche d'adresses IP, y compris d'autres détails sur le lieu et le réseau. L'itinéraire (une plage CIDR) peut présenter un intérêt particulier, car au lieu de bloquer ou d'ignorer une adresse IP spécifique, il peut s'avérer plus efficace d'appliquer une règle à l'ensemble de l'itinéraire.
- Note - Vous pouvez mettre à jour cette information. Toutes les IP bloquées automatiquement auront une note sur la raison du blocage. Les IP qui franchissent les seuils d'avertissement sont également signalées par une note.
- Sessions - Nombre de sessions provenant de cette adresse IP. Un nombre élevé de sessions peut être le signe d'une activité de robots, d'un comportement frauduleux ou d'utilisateurs qui tentent de jouer avec une file d'attente comportant de nombreux appareils ou onglets privés. Il peut également s'agir d'un réseau d'entreprise, gouvernemental ou éducatif. Si ces réseaux vous semblent légitimes, vous pouvez décider d'ignorer ces IP (ou itinéraires).
- Connecté - Indique l'heure à laquelle les sessions de cette IP se sont connectées pour la première fois. Les sessions qui ont été connectées pendant une période anormalement longue peuvent être suspectes.
- État - Vous pouvez rapidement attribuer à une IP l'un des états décrits ci-dessus en sélectionnant l'état et en cliquant sur l'icône de sauvegarde.
Filtrage IP et blocage automatisé
En haut de l'écran se trouvent trois commandes permettant de filtrer automatiquement le trafic sur la base de renseignements ou de comportements IP.
Le filtrage des menaces connues et le blocage par score d'anomalie requièrent que vous ayez souscrit au plan professionnel ou à un plan supérieur.
Menaces connues
CrowdHandler utilise une combinaison de renseignements externes sur les adresses IP et de renseignements internes basés sur l'observation du trafic des clients pour catégoriser les adresses IP. Vous pouvez utiliser ces catégories pour bloquer automatiquement le trafic dès le premier contact. Vous pouvez opter pour l'une ou l'autre de ces catégories :
- CrowdHandler Block Rules - Il s'agit de notre base de données globale de blocage. Elle est construite en observant le trafic sur notre réseau et en identifiant les plages d'adresses IP qui signalent de manière répétée des comportements anormaux, frauduleux ou menaçants chez plus d'un client. Elle couvre actuellement environ 3 millions d'adresses IP. La liste des règles est régulièrement révisée, mais elle est mise à jour automatiquement. Les utilisateurs qui optent pour cette liste constatent souvent que les blocages individuels et les avertissements d'anomalie sur leur domaine diminuent jusqu'à 80 %. Cependant, contrairement à toutes les autres règles de cette liste, les blocages individuels basés sur cette liste ne sont pas enregistrés dans votre panneau de contrôle. Les règles de votre panneau d'administration ont la priorité sur nos règles de blocage. Ainsi, si vous constatez que nous bloquons du trafic qui, selon vous, devrait être autorisé, vous pourrez ajouter des règles d'ignorance pour remplacer les nôtres.
- Attaquants connus - Il s'agit d'adresses IP qui ont été signalées dans des bases de données IP externes comme tentant d'adopter des comportements de type menace pour la sécurité. Il peut s'agir par exemple de tentatives d'injection SQL ou de XSS. Nous recommandons de bloquer ce trafic.
- Abusifs connus - Il s'agit d'adresses IP qui ont été signalées dans des bases de données IP externes comme tentant d'adopter un comportement de type spam/abus. Il peut s'agir par exemple de remplissage de commentaires, d'inscriptions répétées à des bulletins d'information, de scraping, etc. Nous recommandons de bloquer ce trafic, mais cette catégorie est plus sujette aux faux positifs que la précédente, car il est courant que des utilisateurs de FAI nationaux soient involontairement pris dans ce comportement ou fassent une rotation sur une adresse IP précédemment utilisée pour ce type de comportement.
- TOR - Les services de renseignements externes signalent cette adresse comme appartenant au réseau TOR, source de nombreux trafics frauduleux. Nous recommandons de bloquer TOR. Si les utilisateurs ont droit à l'anonymat, vous ne voulez probablement pas de clients anonymes.
- Centres de données - Le trafic provenant de centres de données plutôt que d'entreprises ou de fournisseurs d'accès Internet nationaux a de fortes chances d'être du trafic écrit (en d'autres termes, des bots). Nous recommandons de bloquer les centres de données. Notez que les IP légitimes des centres de données peuvent inclure des services de surveillance, des robots d'indexation de moteurs de recherche et des rappels de passerelles de paiement. CrowdHandler maintient des listes de passage globales pour ces services, mais si vous constatez que vous bloquez un service dont vous dépendez, l'ajout d'une règle d'ignorance pour cette plage permettra d'outrepasser le comportement de blocage automatique.
- Proxys - Les utilisateurs ont recours à des réseaux proxy (ou VPN) pour masquer leur identité. La plupart des utilisateurs frauduleux et du trafic de robots proviennent de réseaux proxy, car les utilisateurs qui agissent illégalement ne veulent pas que leur adresse IP soit identifiable. Le blocage des réseaux proxy permet de réduire le trafic frauduleux. Sachez que de nombreux utilisateurs nationaux utilisent désormais des VPN pour des raisons de protection de la vie privée, et que ces utilisateurs pourraient être bloqués. Nous vous recommandons de mettre à jour le message de blocage dans votre salle d'attente pour conseiller aux utilisateurs légitimes de désactiver les VPN lorsqu'ils utilisent votre application.
Autoblocage des IP ayant plus de X sessions
En règle générale, une session (un seul jeton CrowdHandler) doit correspondre à une seule adresse IP. Si de nombreux jetons se connectent à partir d'une seule IP, cela peut indiquer la présence d'un robot racleur ou d'un utilisateur utilisant de nombreux appareils ou des onglets anonymes. Ce curseur vous permet de définir le nombre de sessions acceptables pour se connecter à partir d'une seule IP avant que celle-ci ne soit bloquée automatiquement. Une autre raison pour laquelle vous pouvez voir de nombreuses connexions à partir d'une seule IP est que cette IP se trouve sur un réseau d'entreprise ou dans un établissement universitaire. Nous vous recommandons de fixer une limite raisonnable (par exemple 10) et d'ajouter des règles d'ignorance pour toutes les IP appartenant à des réseaux dont vous pensez qu'ils peuvent raisonnablement avoir plusieurs sessions.
Autoblocage avec des scores d'anomalie supérieurs à X
Ce curseur vous permet de bloquer automatiquement les IP d'où proviennent des sessions dont les scores d'anomalie sont excessifs. Vous pouvez choisir le niveau de déclenchement du blocage.
Recommandations
L'onglet Recommandations vous montrera jusqu'à 20 règles recommandées à ajouter au pare-feu. Celles-ci sont basées sur des observations de groupes d'IP déclenchant des blocages automatiques et des avertissements sur votre domaine.
- Plage - Il s'agit de la plage CIDR recommandée pour le blocage.
- Icônes de pays et de réseau - En survolant ces icônes, vous pouvez voir la ville et le fournisseur d'accès à Internet lié à la plage d'adresses IP. En cliquant, vous obtiendrez des informations plus détaillées.
- Sessions - Cette option indique le nombre de sessions suivies pour la plage d'adresses IP. En cliquant dessus, vous ouvrirez l'onglet Sessions avec toutes les sessions anormales suivies à partir de cette plage au cours des sept derniers jours. Vous pouvez l'utiliser pour obtenir une vue plus détaillée du comportement à l'origine de la recommandation.
- Début et Dernière - Ces dates indiquent quand les adresses IP de cette plage ont été observées pour la première fois et quand elles ont été vues pour la dernière fois.
- Recommandation / Bloquer - Si vous êtes d'accord avec la recommandation de bloquer la plage, cliquez sur le bouton Bloquer. Une règle de blocage permanente sera ajoutée à l'onglet Règles.
- Ignorer - Si vous n'êtes pas d'accord avec la recommandation (par exemple, si vous pensez que le réseau et le comportement correspondent à un "bon" bot), vous pouvez cliquer sur le bouton Ignorer. Cela ajoutera une règle Ignorer à l'onglet Règles pour cette plage.
Journal de bord Autoblock
Le journal de blocage automatique fournit une liste des IP bloquées automatiquement au cours des sept derniers jours, ainsi que la raison du blocage. Par défaut, les blocages automatiques ne durent qu'une heure. Vous pouvez utiliser le journal de blocage automatique pour vérifier les rapports de faux positifs. En cliquant sur une IP dans l'écran du journal de blocage automatique, vous ouvrirez l'écran Sessions avec les sessions anormales filtrées par IP, ce qui vous permettra de voir quel comportement a pu contribuer à un blocage automatique.