CrowdHandler include un potente firewall che può essere utilizzato per controllare l'accesso alle sale d'attesa e al vostro sito web.

La funzione firewall è disponibile a partire dai piani Plus e consente di aggiungere regole basate su intervalli per bloccare, dare priorità o bypassare il traffico. Un ulteriore filtro IP automatizzato è disponibile sui piani Professional ed Enterprise. Queste funzioni funzionano in tandem con l'Anomaly Detection.

Accesso al firewall

Accedere all'elenco dei domini, fare clic sull'icona dello scudo accanto al nome del dominio per il quale si desidera stabilire le regole (le regole IP sono configurate in base al dominio).

Gestire gli IP

La schermata Gestisci IP è la visualizzazione predefinita del firewall. La schermata mostra le regole correnti del firewall e gli IP più prolifici attualmente connessi. È possibile aggiungere nuove regole, modificare una regola esistente o cambiare rapidamente lo stato di un IP elencato.

Le regole influiscono sul traffico che è oggetto di protezione da parte delle sale d'attesa attive. Se si desidera che le regole del firewall si applichino a tutto il traffico del dominio in qualsiasi momento, è necessario creare una sala d'attesa di tipo catch-all.

Aggiunta di una regola

  1. Inserire l'indirizzo IP (o l'intervallo CIDR)
  2. Aggiungere una nota opzionale per facilitare l'identificazione
  3. Selezionare l'elenco a cui si desidera aggiungere questo IP o intervallo

Gli stati sono i seguenti:

  • Ignora - Significa che l'IP deve essere trattato normalmente per quanto riguarda l'accesso al sito e la prioritizzazione delle code, ma che non deve essere soggetto ad alcuna attività automatica, come il blocco automatico o il monitoraggio delle anomalie. Utilizzare questo stato se si conosce e si ha fiducia nell'origine di un IP o di un intervallo e non si desidera che venga bloccato dalle normali regole.
  • Blocca: consente di bloccare IP o intervalli. L'utente verrà reindirizzato alla sala d'attesa, visualizzando lo stato di blocco. È possibile modificare la messaggistica personalizzando il modello.
  • Bypass - Il traffico proveniente da IP o intervalli impostati su bypass è essenzialmente invisibile a CrowdHandler. Non controlliamo l'utente, non lo mettiamo in coda, non tracciamo la sessione e non registriamo la richiesta. Ciò significa che CrowdHandler non protegge affatto dal traffico bypassato, pertanto si consiglia di utilizzare questa opzione per un numero limitato di utenti fidati, se utile. I casi d'uso più ovvi sono il personale operativo che controlla che l'applicazione sia operativa dietro la coda e gli sviluppatori che vogliono testare la loro applicazione senza alcuna interferenza con la coda.
  • Prioritize - Il traffico proveniente da IP e intervalli prioritari viene servito per primo nella coda. A seconda dei livelli di traffico, gli utenti potrebbero saltare completamente la sala d'attesa. Tuttavia, gli utenti vengono comunque controllati rispetto alle tariffe complessive del dominio e, se necessario, vengono messi in coda in una corsia prioritaria più piccola. Questo funziona come se l'utente avesse usato un codice di priorità. La prioritizzazione IP può essere utile per assegnare automaticamente la priorità ai clienti VIP che si connettono dalle reti aziendali o nei casi in cui il personale interno di vendita e assistenza utilizza applicazioni pubbliche per conto dei clienti.

Lettura IP e modifica degli stati

La schermata Gestisci IP elenca le regole esistenti e mostra gli IP più prolifici attualmente connessi. Le informazioni sono le seguenti:

  • Indirizzo IP: sono supportati i formati v4 e v6.
  • Bandiera del Paese di origine e icona della rete - Passando il mouse su ciascuna icona si visualizzerà il nome della città e del Paese e il nome della rete o dell'ISP. Facendo clic su una di queste icone si visualizzeranno le informazioni di ricerca IP, compresi ulteriori dettagli sulla località e sulla rete. Di particolare interesse può essere il percorso (un intervallo CIDR), perché invece di bloccare o ignorare un IP specifico, potrebbe essere più efficace applicare una regola all'intero percorso.
  • Nota - È possibile aggiornare questo dato. Tutti gli IP bloccati automaticamente avranno una nota sul motivo del blocco. Anche gli IP che superano le soglie di avviso avranno una nota.
  • Sessioni - Un conteggio del numero di sessioni originate da questo IP. Un numero elevato di sessioni può essere indice di attività di bot, di comportamenti fraudolenti o di utenti che tentano di sfruttare una coda con molti dispositivi o schede private. Potrebbero anche indicare una rete aziendale, governativa o educativa. Se questi sembrano un pubblico legittimo per voi, potreste impostare questi IP (o rotte) su ignora.
  • Connesso - Indica l'ora in cui le sessioni di questo IP si sono connesse per la prima volta. Le sessioni che si sono collegate per un tempo insolitamente lungo possono essere sospette.
  • Stato - È possibile impostare rapidamente un IP in uno degli stati descritti sopra, selezionando lo stato e facendo clic sull'icona di salvataggio.

Filtro IP e blocco automatico

Nella parte superiore della schermata sono presenti tre controlli per filtrare automaticamente il traffico in base all'intelligenza o al comportamento dell'IP.

Il filtraggio delle minacce note e il blocco in base al punteggio di anomalia richiedono un piano Professional o superiore.

Minacce note

CrowdHandler utilizza una combinazione di informazioni esterne sugli indirizzi IP e di informazioni interne basate sull'osservazione del traffico dei clienti per classificare gli indirizzi IP. È possibile utilizzare queste categorie per bloccare automaticamente il traffico al primo contatto. È possibile scegliere una qualsiasi di queste categorie:

  • Regole di blocco di CrowdHandler - Questo è il nostro database di blocco globale. È costruito osservando il traffico attraverso la nostra rete e identificando gli intervalli IP che segnalano ripetutamente comportamenti anomali, fraudolenti o minacciosi in più di un cliente. Attualmente copre circa 3 milioni di indirizzi IP. L'elenco delle regole viene rivisto regolarmente, ma si aggiorna automaticamente. Gli utenti che optano per questo elenco spesso scoprono che i singoli blocchi e gli avvisi di anomalia sul loro dominio diminuiscono fino all'80%. Tuttavia, a differenza di tutte le altre regole di questo elenco, i singoli blocchi basati su questo elenco non vengono registrati nel vostro pannello di controllo. Le regole del vostro pannello di amministrazione hanno la precedenza sulle nostre regole di blocco. Pertanto, se vi accorgete che stiamo bloccando il traffico che secondo voi dovrebbe essere consentito, potrete aggiungere regole di ignoranza per ignorare le nostre.
  • Attaccanti noti - Si tratta di indirizzi IP che sono stati segnalati nei database IP esterni come tentativi di comportamenti di tipo minaccia alla sicurezza. Ad esempio, tentativi di SQL injection o XSS. Si consiglia di bloccare questo traffico.
  • Abusivi noti - Si tratta di indirizzi IP che sono stati segnalati nei database IP esterni come tentativi di comportamento di tipo spam/abuso. Tra gli esempi si possono citare il riempimento di commenti, la registrazione ripetuta alla newsletter, lo scraping, ecc. Si consiglia di bloccare questo traffico, ma questa categoria è più incline ai falsi positivi rispetto alla precedente, poiché è comune che gli utenti degli ISP nazionali siano involontariamente coinvolti in questo comportamento o che ruotino su un indirizzo IP precedentemente utilizzato per questo comportamento.
  • TOR - L'intelligence esterna segnala questo indirizzo come appartenente alla rete TOR, fonte di molto traffico fraudolento. Si consiglia di bloccare TOR. Sebbene gli utenti abbiano il diritto all'anonimato, probabilmente voi non volete clienti anonimi.
  • Centri dati - Il traffico proveniente dai centri dati piuttosto che dalle aziende o dagli ISP nazionali ha un'alta probabilità di essere traffico scriptato (in altre parole, bot). Si consiglia di bloccare i centri dati. Si noti che gli IP legittimi dei centri dati possono includere servizi di monitoraggio, crawler di motori di ricerca e callback di gateway di pagamento. CrowdHandler mantiene elenchi globali di pass per questi servizi, ma se si scopre che si sta bloccando un servizio su cui si fa affidamento, l'aggiunta di una regola di ignoranza per quell'intervallo annullerà il comportamento di blocco automatico.
  • Proxys - Gli utenti utilizzano reti proxy (o VPN) per camuffare la propria identità. La maggior parte degli utenti fraudolenti e del traffico bot proviene dalle reti proxy, poiché gli utenti che agiscono illegalmente non vogliono che il loro indirizzo IP sia identificabile. Bloccando le reti proxy si riduce il traffico fraudolento. Tenete presente che molti utenti nazionali utilizzano ora le VPN per motivi di privacy e potrebbero essere bloccati. Si consiglia di aggiornare il messaggio di blocco nella sala d'attesa per consigliare agli utenti legittimi di disattivare le VPN quando utilizzano la vostra applicazione.

Blocco automatico degli IP con più di X sessioni

In genere, ci si aspetta che una sessione (un singolo token CrowdHandler) corrisponda a un singolo IP. Se ci sono molti token che si connettono da un singolo IP, ciò può essere indice di un bot scraper o di un utente che utilizza molti dispositivi o schede anonime. Questo cursore consente di impostare il numero accettabile di sessioni di connessione da un singolo IP prima che questo venga bloccato automaticamente. Un altro motivo per cui si possono vedere molte connessioni da un singolo IP è se l'IP si trova su una rete aziendale o di un'istituzione accademica. Si consiglia di impostare un limite ragionevole (ad esempio 10) e di aggiungere regole di ignoranza per tutti gli IP appartenenti a reti che si ritiene possano ragionevolmente avere più sessioni.

Autoblocco con punteggi di anomalia superiori a X

Questo cursore consente di bloccare automaticamente gli IP da cui provengono sessioni con punteggi di anomalia eccessivi. È possibile scegliere il livello per attivare il blocco.

Raccomandazioni

La scheda Raccomandazioni mostra fino a 20 regole consigliate da aggiungere al firewall. Queste si basano sull'osservazione di gruppi di IP che attivano blocchi automatici e avvisi sul vostro dominio.

  • Intervallo - È l'intervallo CIDR consigliato per il blocco.
  • Icone del Paese e della rete - Se si passa il mouse su queste icone, vengono visualizzati la città e l'ISP collegati all'intervallo IP. Facendo clic si ottengono informazioni più dettagliate.
  • Sessioni - Mostra il numero di sessioni tracciate per l'intervallo IP. Facendo clic su questo punto si aprirà la scheda Sessioni con tutte le sessioni anomale tracciate da quell'intervallo negli ultimi sette giorni. È possibile utilizzare questa scheda per ottenere una visione più dettagliata del comportamento alla base della raccomandazione.
  • Iniziato e Ultimo - Queste date mostrano quando gli IP di questo intervallo sono stati osservati per la prima volta e quando sono stati visti per l'ultima volta.
  • Raccomandazione / Blocco - Se si accetta la raccomandazione di bloccare l'intervallo, fare clic sul pulsante Blocca. Una regola di blocco permanente verrà aggiunta alla scheda Regole.
  • Ignora - Se non si è d'accordo con la raccomandazione (ad esempio, si ritiene che la rete e il comportamento siano coerenti con un bot "buono"), è possibile fare clic sul pulsante Ignora. In questo modo si aggiungerà una regola Ignora alla scheda Regole per quell'intervallo.

Registro di blocco automatico

Il registro dei blocchi automatici fornisce un elenco degli IP autobloccati negli ultimi sette giorni e il motivo del blocco. Per impostazione predefinita, i blocchi automatici durano solo un'ora. È possibile utilizzare il registro di autoblocco per verificare le segnalazioni di falsi positivi. Facendo clic su un IP nella schermata del registro dei blocchi automatici si aprirà la schermata Sessioni con le sessioni anomale filtrate per IP, in modo da poter vedere quale comportamento può aver contribuito al blocco automatico.