Eltex Documentation
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Введение

Клиентские устройства ESR получают информацию и загружаемый контент от EDM Issue. Для того, чтобы контролировать подключающиеся клиентские устройства, в EDM Issue существуют несколько механизмов:

  • IP-правила - списки доступа, ограничивающие доступ клиентских устройств по IP-адресу;
  • Очередь запросов к EDM Issue - ограничение на обработку запросов нескольких клиентов и очередь запросов при перегрузке EDM Issue параллельными запросами;
  • Защита от DOS-атаки на EDM Issue - ограничение на количество запросов и задержки при обмене сообщениями с одного IP-адреса в секунду, превышение любого из параметров приведет к обрыву сессии со стороны EDM Root;
  • Защита от превышения попыток некорректной аутентификации - ограничение на максимальное количество попыток некорректной аутентификации с одного IP-адреса за отведенный интервал времени, превышение которого приведет к созданию IP-правила, ограничивающего доступ с данного IP-адреса на EDM Root, с определенным сроком действия. По истечению срока действия ограничивающее IP-правило перестанет действовать и будет автоматически удалено.

Таким образом, администратор EDM Issue со своей стороны может:

  • просматривать информацию о группах IP-правил;
  • просматривать информацию о существующих IP-правилах в группе IP-правил;
  • создавать IP-правило;
  • редактировать IP-правило;
  • удалять IP-правило;
  • очищать счетчик для ограничивающего IP-правила;
  • переводить временное ограничивающее IP-правило в бессрочное;
  • ограничить очереди запросов от клиентских устройств к EDM Issue;
  • ограничить число запросов к EDM Issue с одного IP-адреса;
  • настроить параметры автоматической блокировки клиентских устройств при нарушении процедуры аутентификации.

Просмотр информации о группах IP-правил

В EDM Issue существует две служебных группы IP-правил:

  • edm - группа IP-правил для подключающихся к EDM Issue клиентских устройств;
  • web - группа IP-правил для web-интерфейса.


IP-правила в группе "web" заполняются автоматически и доступны для просмотра и редактирования в CLI исключительно в целях диагностики возможных ошибок. При обычной эксплуатации администратор EDM Issue должен работать только с IP-правилами группы "edm".


Также у групп IP-правил есть два режима работы:

  1. trust - режим белого списка, при котором по умолчанию все запросы с любых IP-адресов запрещены. IP-правила в таком режиме используются для обозначения IP-адресов, которым разрешен доступ к EDM Issue.
  2. deny - режим черного списка, при котором по умолчанию все запросы с любых IP-адресов разрешены. IP-правила в таком режиме используются для обозначения IP-адресов, которым запрещен доступ к EDM Issue.

Служебная группа IP-правил "web" работает в режиме "trust" без возможности смены режима.  Служебная группа IP-правил "edm" работает по умолчанию в режиме "deny",  при этом режим работы можно сменить в настройках EDM.

Для просмотра информации о группах IP-правил через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".

  3. Ввести команду "show groups".

    Пример вывода информации о группах IP-правил в EDM CLI
    edmi-iprules> show groups 
1. IP group: edm
Mode: deny

2. IP group: web
Mode: trust

edmi-iprules>

Просмотр существующих IP-правил в группе IP-правил

Для просмотра информации об IP-правилах в группе IP-правил через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".

  3. Ввести команду "show iprules" с указанием группы IP-правил, IP-правила из которой требуется отобразить.

    Пример вывода информации об IP-правилах в группе IP-правил в EDM CLI
    edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny

1. IP: 97.38.145.32/29
Status: block
Info: "02/07/2021 API DDoS"
Tool: cli
Counter: 0
Registered: 2021-08-12 04:51:34
Updated: 2021-08-12 04:52:08

2. IP: 97.38.145.36
Status: allow
Info: "03/07/2021 Whitelisted from rule 97.38.145.32/29"
Tool: cli
Registered: 2021-08-12 04:52:51
Updated: 2021-08-12 04:52:51

End of list
edmi-iprules>

Для просмотра информации об IP-правилах через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Настройки".
  3. Перейти в подраздел "IP правила".

В web-интерфейсе EDM Issue все взаимодействие с IP-правилами представлено только для служебной группы IP-правил "edm".

Рисунок 14 – Получение информации об IP-правилах в web-интерфейсе EDM Issue

Для просмотра более подробной информации об IP-правиле через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Настройки".
  3. Перейти в подраздел "IP правила".
  4. В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Информация".


Рисунок 15 – Получение подробной информации об IP-правиле в web-интерфейсе EDM Issue

Создание IP-правила

IP-правила в EDM Issue бывают двух видов:

  • allow - правила, разрешающие доступ к EDM Issue;
  • block - правила, ограничивающие доступ к EDM Issue.

Соответственно при создании разрешающего IP-правила нужно использовать команду "add allow", а для ограничивающего IP-правила - "add block".

Таким образом для создания IP-правила через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".
  3. Ввести команду "add allow" для разрешающего IP-правила или "add block" для блокирующего IP-правила.
Пример создания IP-правила в EDM CLI
edmi-iprules> add block --group edm --ip 97.38.145.32/29 --info "02/07/2021 API DDoS"
OK
edmi-iprules> add allow --group edm --ip 97.38.145.36/32 --info "03/07/2021 Whitelisted from rule 97.38.145.32/29"
OK
edmi-iprules>

Для создания IP-правила через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Настройки".
  3. Перейти в подраздел "IP-правила".
  4. Нажать на иконку "Плюс" слева от поля фильтрации таблицы с IP-правилами.
  5. Заполнить в всплывшем окне информацию о новом IP-правиле, после чего нажать кнопку "Создать".

В web-интерфейсе EDM Issue все взаимодействие с IP-правилами представленного только для служебной группы IP-правил "edm".

Рисунок 16 – Заполнение формы создания IP-правила в web-интерфейсе EDM Issue

Редактирование IP-правила

Для редактирования IP-правила через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".

  3. Ввести команду "edit" для редактирования IP-правила.

    Пример редактирования IP-правила в EDM CLI
    edmi-iprules> edit --group edm --ip 97.38.145.32/29 --info "02/07/2021 API DDoS"
OK
edmi-iprules>

Для редактирования IP-правила через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Настройки".
  3. Перейти в подраздел "IP-правила".
  4. В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Редактировать".
  5. В открывшемся окне произвести требуемые изменения IP-правила и нажать кнопку "Редактировать".

Рисунок 17 – Заполнение формы редактирования IP-правила в web-интерфейсе EDM Issue

Удаление IP-правила

Для удаления IP-правила через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".
  3. Ввести команду "delete" для удаления IP-правила.
Пример удаления IP-правила в EDM CLI
edmi-iprules> delete --group edm --ip 97.38.145.32/29
You will delete rule for IP 97.38.145.32/29. Are you sure? (y/N) y
OK
edmi-iprules>

Для удаления IP-правила через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Настройки".
  3. Перейти в подраздел "IP-правила".
  4. В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Удалить".
  5. В открывшемся окне подтвердить удаление IP-правила нажатием кнопки "Удалить".

Рисунок 18 – Удаление IP-правила в web-интерфейсе EDM Issue

Очистка счетчика ограничивающего IP-правила

Для ограничивающих IP-правил на EDM Issue реализован счетчик срабатываний. Его значение можно посмотреть при выводе информации об IP-правилах как в CLI, так и в web. Помимо просмотра значения счетчика его можно очистить.

Для очистки счетчика ограничивающего IP-правила через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".

  3. Ввести команду "edit" для требуемого правила с флагом "--reset" .

    Пример очистки счетчика ограничивающего IP-правила в EDM CLI
    edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny


1. IP: 109.88.52.0/25
Status: block
Info: 12/08/2021 Test Blocked Rule
Tool: web
Author: admin
Counter: 34
Registered: 2021-08-12 06:48:56
Updated: 2021-08-12 06:48:56

End of list
edmi-iprules> edit --group edm --ip 109.88.52.0/25 --reset 
OK
edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny
    Пример очистки счетчика ограничивающего IP-правила в EDM CLI
    1. IP: 109.88.52.0/25
Status: block
Info: 12/08/2021 Test Blocked Rule
Tool: web
Author: admin
Counter: 0
Registered: 2021-08-12 06:48:56
Updated: 2021-08-12 06:48:56

End of list
edmi-iprules>

Перевод временного ограничивающего IP-правила в бессрочное

Системы ограничения доступа могут автоматически создавать ограничивающие IP-правила с определенным сроком действия. Администратор EDM Issue может переводить такие правила в бессрочный режим вручную.

Для перевода временного ограничивающего IP-правила в бессрочное через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".

  3. Ввести команду "edit" для требуемого правила с флагом "--unexpired" .

    Пример перевода временного ограничивающего IP-правила в бессрочное в EDM CLI
    edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny


1. IP: 109.88.52.0/25
Status: block
Info: 12/08/2021 Test Blocked Rule
Tool: web
Author: admin
Counter: 34
Registered: 2021-08-12 06:48:56
Updated: 2021-08-12 06:48:56
Expiry: 2021-08-15 20:55:36

End of list
edmi-iprules> edit --group edm --ip 109.88.52.0/25 --unexpired 
OK
edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny
    Пример перевода временного ограничивающего IP-правила в бессрочное в EDM CLI (продолжение)
    1. IP: 109.88.52.0/25
Status: block
Info: 12/08/2021 Test Blocked Rule
Tool: cli
Counter: 34
Registered: 2021-08-12 06:48:56
Updated: 2021-08-12 08:09:33

End of list
edmi-iprules>

Ограничение очереди запросов от клиентских устройств к EDM Issue

EDM Issue позволяет обрабатывать запросы нескольких клиентских устройств параллельно, обеспечивая высокую производительность системы и своевременное обслуживание запросов со стороны клиентских устройств. Однако при количестве одновременных запросов большем, чем EDM Issue может обработать параллельно, предусмотрен механизм постановки клиентских запросов в очередь. Это позволит не отказывать в обслуживании клиентам сразу, а взять их в работу чуть позже, в момент, когда одна из текущих активных сессий будет завершена.

Администратор EDM Issue может управлять размером очереди и максимальным количеством одновременно обрабатываемых сессий через конфигурацию EDM Issue.

Для изменения максимального количества одновременно обрабатываемых клиентских сессий требуется:

  • Остановить EDM Issue командой "docker-compose down", если он запущен.
  • В файле ".env" задать (или изменить при его наличии) параметр "EDM_THREAD_LIMIT".
  • Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Для изменения размера очереди клиентских запросов, ожидающих обработки, требуется:

  • Остановить EDM Issue командой "docker-compose down", если он запущен.
  • В файле ".env" задать (или изменить при его наличии) параметр "EDM_QUEUE_LIMIT".
  • Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Ограничение числа запросов к EDM Issue с одного IP-адреса

На EDM Issue существует возможность установить максимальную частоту запросов от одного клиентского устройства в секунду и максимальную задержку при обмене данными между клиентским устройством и EDM Issue. При превышении любого из этих показателей клиентская сессия будет оборвана со стороны EDM Issue.

Администратор EDM Issue может управлять максимальной частотой запросов от одного клиентского устройства в секунду и максимальной задержкой при обмене данными между клиентским устройством и EDM Issue через конфигурацию EDM Issue.

Для изменения максимальной частоты запросов от одного клиентского устройства в секунду требуется:

  • Остановить EDM Issue командой "docker-compose down", если он запущен.
  • В файле ".env" задать (или изменить при его наличии) параметр "EDM_DOS_FILTER_MAX_REQUESTS_PER_SECOND".
  • Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Для изменения максимальной задержки при обмене данными между клиентским устройством и EDM Issue требуется:

  • Остановить EDM Issue командой "docker-compose down", если он запущен.
  • В файле ".env" задать (или изменить при его наличии) параметр "EDM_DOS_FILTER_DELAY_MS".
  • Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Настройка параметров автоматической блокировки клиентских устройств при нарушении процедуры аутентификации

На EDM Issue IP-адрес автоматически блокируется в случае фиксации с этого IP-адреса большого количества обращений за отведённый интервал времени, в которых:

  • указаны неизвестные параметры клиентского устройства;
  • нарушен порядок процедуры аутентификации.

Администратор EDM Issue может управлять как лимитами на некорректные обращения клиентских устройств на EDM Issue обоих типов, так и интервалом времени отслеживания некорректных обращений (т.е. будут считаться некорректные обращения за последние N часов).

Для изменения интервала отслеживания некорректных обращений требуется:

  • Остановить EDM Issue командой "docker-compose down", если он запущен.
  • В файле ".env" задать (или изменить при его наличии) параметр "EDM_SECURITY_CHECK_PERIOD_HOURS".
  • Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Для изменения лимита обращений клиентского устройства на EDM Issue с неизвестными параметрами устройства требуется:

  • Остановить EDM Issue командой "docker-compose down", если он запущен.
  • В файле ".env" задать (или изменить при его наличии) параметр "EDM_SOURCE_UNKNOWN_REQUEST_LIMIT".
  • Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Для изменения лимита обращений клиентского устройства на EDM Issue с некорректной процедурой аутентификации требуется:

  • Остановить EDM Issue командой "docker-compose down", если он запущен.
  • В файле ".env" задать (или изменить при его наличии) параметр "EDM_BAD_AUTH_LIMIT".
  • Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.


  • Нет меток