Este tipo de protección está desactivada de forma predeterminada porque reduce el rendimiento y genera una sensación de frustración en los usuarios si no está configurada correctamente. No active las listas negras de clientes no permitidos si usa una puerta de enlace, como un dispositivo de Unified Access Gateway, que presenta todas las conexiones cliente con la misma dirección IP.
Si se activa, las conexiones desde los clientes de la lista de no permitidos se retrasan durante un periodo de tiempo configurable antes de procesarlas. Si se retrasan muchas conexiones del mismo cliente al mismo tiempo, se rechazan las conexiones desde ese cliente, en lugar de retrasarlas. Este umbral es configurable.
Para activar esta función, agregue la siguiente propiedad al archivo locked.properties
:
secureHandshakeDelay = delay_in_milliseconds
Por ejemplo:
secureHandshakeDelay = 2000
Para que las conexiones HTTPS no se agreguen a una lista de no permitidos, elimine la entrada secureHandshakeDelay
o asígnele el valor 0.
Cuando se produce un exceso de negociación TLS, la dirección IP cliente se agrega a la lista de no permitidos durante un periodo mínimo igual a la suma de handshakeLifetime
y secureHandshakeDelay
.
Tomando como ejemplo los valores anteriores, la dirección IP del cliente con un comportamiento incorrecto se incluye en la lista de no permitidos durante 22 segundos:
(20 * 1000) + 2000 = 22 seconds
El período mínimo se amplía cada vez que una conexión de la misma dirección IP tenga un comportamiento erróneo. La dirección IP se eliminará de la lista de no permitidos después de que caduque el periodo mínimo y de que se haya procesado la última conexión que se retrasó desde esa dirección IP.
La ejecución en exceso de un protocolo de enlace TLS no es la única razón para agregar un cliente a la lista de no permitidos. Otros motivos son las series de conexiones abandonadas o las series de solicitudes que acaban en error (por ejemplo, varios intentos de acceso a URL que no existen). Estos activadores tienen diferentes periodos mínimos para agregarse a una lista de no permitidos. Para ampliar la supervisión de estos activadores adicionales al puerto 80, agregue la siguiente entrada al archivo locked.properties
:
insecureHandshakeDelay = delay_in_milliseconds
Por ejemplo:
insecureHandshakeDelay = 1000
Para que las conexiones HTTP no se agreguen a una lista de no permitidos, elimine la entrada insecureHandshakeDelay
o asígnele el valor 0.