Eltex Documentation
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Клиентские устройства ESR получают информацию и загружаемый контент от EDM Issue. Для того чтобы контролировать подключающиеся клиентские устройства, в EDM Issue существуют несколько механизмов:

  • IP-правила – списки доступа, ограничивающие доступ клиентских устройств по IP-адресу;
  • Очередь запросов к EDM Issue – ограничение на обработку запросов нескольких клиентов и очередь запросов при перегрузке EDM Issue параллельными запросами;
  • Защита от DOS-атаки на EDM Issue – ограничение на количество запросов и задержки при обмене сообщениями с одного IP-адреса в секунду, превышение любого из параметров приведет к обрыву сессии со стороны EDM Root;
  • Защита от превышения попыток некорректной аутентификации – ограничение на максимальное количество попыток некорректной аутентификации с одного IP-адреса за отведенный интервал времени, превышение которого приведет к созданию IP-правила, ограничивающего доступ с данного IP-адреса на EDM Root, с определенным сроком действия. По истечению срока действия ограничивающее IP-правило перестанет действовать и будет автоматически удалено.

Таким образом, администратор EDM Issue со своей стороны может:

  • просматривать информацию о группах IP-правил;
  • просматривать информацию о существующих IP-правилах в группе IP-правил;
  • создавать IP-правило;
  • редактировать IP-правило;
  • удалять IP-правило;
  • очищать счетчик для ограничивающего IP-правила;
  • переводить временное ограничивающее IP-правило в бессрочное;
  • ограничить очереди запросов от клиентских устройств к EDM Issue;
  • ограничить число запросов к EDM Issue с одного IP-адреса;
  • настроить параметры автоматической блокировки клиентских устройств при нарушении процедуры аутентификации.

Просмотр информации о группах IP-правил

В EDM Issue существует две служебных группы IP-правил:

  • edm – группа IP-правил для подключающихся к EDM Issue клиентских устройств;
  • web – группа IP-правил для web-интерфейса.


IP-правила в группе "web" заполняются автоматически и доступны для просмотра и редактирования в CLI исключительно в целях диагностики возможных ошибок. При обычной эксплуатации администратор EDM Issue должен работать только с IP-правилами группы "edm".


Также у групп IP-правил есть два режима работы:

  1. trust – режим белого списка, при котором по умолчанию все запросы с любых IP-адресов запрещены. IP-правила в таком режиме используются для обозначения IP-адресов, которым разрешен доступ к EDM Issue.
  2. deny – режим черного списка, при котором по умолчанию все запросы с любых IP-адресов разрешены. IP-правила в таком режиме используются для обозначения IP-адресов, которым запрещен доступ к EDM Issue.

Служебная группа IP-правил "web" работает в режиме "trust" без возможности смены режима.  Служебная группа IP-правил "edm" работает по умолчанию в режиме "deny", при этом режим работы можно сменить в настройках EDM.

Для просмотра информации о группах IP-правил через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".

  3. Ввести команду "show groups".

    Пример вывода информации о группах IP-правил в EDM CLI
    edmi-iprules> show groups 
1. IP group: edm
Mode: deny

2. IP group: web
Mode: trust

edmi-iprules>

Просмотр существующих IP-правил в группе IP-правил

Для просмотра информации об IP-правилах в группе IP-правил через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".

  3. Ввести команду "show iprules" с указанием группы IP-правил, IP-правила из которой требуется отобразить.

    Пример вывода информации об IP-правилах в группе IP-правил в EDM CLI
    edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny


1. Group: edm
IP: 97.38.145.32/29
Status: block
Info: "08/06/2022 API DDoS"
Counter: 0
Registered: 2022-11-30 15:24:34
Updated: 2022-11-30 15:24:34

2. Group: edm
IP: 97.38.145.36
Status: allow
Info: "10/10/2022 Whitelisted from rule 97.38.145.32/29"
Registered: 2022-11-30 15:25:32
Updated: 2022-11-30 15:25:32

End of list
edmi-iprules>

Для просмотра информации об IP-правилах через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Ограничение доступа".


В web-интерфейсе EDM Issue все взаимодействие с IP-правилами представлено только для служебной группы IP-правил "edm".

Рисунок 17 – Получение информации об IP-правилах в web-интерфейсе EDM Issue

Для просмотра более подробной информации об IP-правиле через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Ограничение доступа".
  3. В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Информация".


Рисунок 18 – Получение подробной информации об IP-правиле в web-интерфейсе EDM Issue

Создание IP-правила

IP-правила в EDM Issue бывают двух видов:

  • allow – правила, разрешающие доступ к EDM Issue;
  • block – правила, ограничивающие доступ к EDM Issue.

Соответственно при создании IP-правила нужно в параметре --action указать вид правила: для разрешающего IP-правила – "allow", а для ограничивающего IP-правила – "block".

Таким образом для создания IP-правила через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".
  3. Ввести команду "add iprule".
Пример создания IP-правила в EDM CLI
edmi-iprules> add iprule --group edm --action block --ip 97.38.145.32/29 --info "08/06/2022 API DDoS"
OK
edmi-iprules> 

edmi-iprules> add iprule --action allow --group edm --ip 97.38.145.36/32 --info "10/10/2022 Whitelisted from rule 97.38.145.32/29"
OK
edmi-iprules>

Для создания IP-правила через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Ограничение доступа".
  3. Нажать на кнопку  слева от поля фильтрации таблицы с IP-правилами.
  4. Заполнить в появившемся окне информацию о новом IP-правиле, после чего нажать кнопку "Создать".

В web-интерфейсе EDM Issue все взаимодействие с IP-правилами представленного только для служебной группы IP-правил "edm".

Рисунок 19 – Заполнение формы создания IP-правила в web-интерфейсе EDM Issue

Редактирование IP-правила

Для редактирования IP-правила через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".

  3. Ввести команду "edit iprule" для редактирования IP-правила.

    Пример редактирования IP-правила в EDM CLI
    edmi-iprules> edit iprule --group edm --ip 97.38.145.32/29 --info "02/07/2021 API DDoS"
OK
edmi-iprules>

Для редактирования IP-правила через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Ограничение доступа".
  3. В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Редактировать".
  4. В открывшемся окне произвести требуемые изменения IP-правила и нажать кнопку "Редактировать".

Рисунок 20 – Заполнение формы редактирования IP-правила в web-интерфейсе EDM Issue

Удаление IP-правила

Для удаления IP-правила через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".
  3. Ввести команду "delete iprule" для удаления IP-правила.
Пример удаления IP-правила в EDM CLI
edmi-iprules> delete iprule  --group edm --ip 97.38.145.32/29
You will delete rule for IP 97.38.145.32/29. Are you sure? (y/N) y
OK
edmi-iprules>

Для удаления IP-правила через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Ограничение доступа".
  3. В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Удалить".
  4. В открывшемся окне подтвердить удаление IP-правила нажатием кнопки "Удалить".

Рисунок 21 – Удаление IP-правила в web-интерфейсе EDM Issue

Очистка счетчика ограничивающего IP-правила

Для ограничивающих IP-правил на EDM Issue реализован счетчик срабатываний. Его значение можно посмотреть при выводе информации об IP-правилах как в CLI, так и в web. Помимо просмотра значения счетчика, его можно очистить.

Для очистки счетчика ограничивающего IP-правила через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".
  3. Ввести команду "reset counter".
Пример очистки счетчика ограничивающего IP-правила в EDM CLI
edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny


1. Group: edm
IP: 192.168.35.82
Status: block
Info: Block rule
Counter: 2
Registered: 2022-11-30 15:40:47
Updated: 2022-11-30 15:40:47

End of list
edmi-iprules> reset counter --group edm --ip 192.168.35.82
OK: Reset counter for rule with IP: 192.168.35.82
edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny


1. Group: edm
IP: 192.168.35.82
Status: block
Info: Block rule
Counter: 0
Registered: 2022-11-30 15:40:47
Updated: 2022-11-30 15:40:47

End of list
edmi-iprules>


Если не указать параметр --ip, счетчики будут сброшены у всех правил в данной группе.

Для очистки счетчика ограничивающего IP-правила через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Ограничение доступа".
  3. В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Обнулить все счетчики".
  4. В открывшемся окне подтвердить обнуление счетчиков нажатием кнопки "OK".

Рисунок 22 – Очистка счетчика ограничивающего IP-правила в web-интерфейсе EDM Issue


Для очистки всех счетчиков в группе edm ограничивающих IP-правил через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Ограничение доступа".
  3. Нажать на кнопку  слева от поля фильтрации таблицы с IP-правилами.
  4. В открывшемся окне подтвердить обнуление счетчиков нажатием кнопки "OK".

Перевод временного ограничивающего IP-правила в бессрочное

Системы ограничения доступа могут автоматически создавать ограничивающие IP-правила с определенным сроком действия. Администратор EDM Issue может переводить такие правила в бессрочный режим вручную.

Для перевода временного ограничивающего IP-правила в бессрочное через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "iprules".

  3. Ввести команду "edit iprule" для требуемого правила с флагом "--unexpired".

    Пример перевода временного ограничивающего IP-правила в бессрочное в EDM CLI
    edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny


1. IP: 109.88.52.0/25
Status: block
Info: 12/08/2022 Test Blocked Rule
Tool: web
Author: admin
Counter: 34
Registered: 2022-08-12 06:48:56
Updated: 2022-08-12 06:48:56
Expiry: 2022-08-15 20:55:36

End of list
edmi-iprules> edit iprule --group edm --ip 109.88.52.0/25 --unexpired 
OK
edmi-iprules> show iprules --group edm
IP group: edm
Mode: deny


1. IP: 109.88.52.0/25
Status: block
Info: 12/08/2022 Test Blocked Rule
Tool: cli
Counter: 34
Registered: 2022-08-12 06:48:56
Updated: 2022-08-12 08:09:33

End of list
edmi-iprules>

Ограничение очереди запросов от клиентских устройств к EDM Issue

EDM Issue позволяет обрабатывать запросы нескольких клиентских устройств параллельно, обеспечивая высокую производительность системы и своевременное обслуживание запросов со стороны клиентских устройств. Однако при количестве одновременных запросов большем, чем EDM Issue может обработать параллельно, предусмотрен механизм постановки клиентских запросов в очередь. Это позволит не отказывать в обслуживании клиентам сразу, а взять их в работу позже, в момент, когда одна из текущих активных сессий будет завершена.

Администратор EDM Issue может управлять размером очереди и максимальным количеством одновременно обрабатываемых сессий через конфигурацию EDM Issue.

Для изменения максимального количества одновременно обрабатываемых клиентских сессий требуется:

  1. Остановить EDM Issue командой "docker compose down", если он запущен.
  2. В файле ".env" задать (или изменить при его наличии) параметр "EDM_THREAD_LIMIT".
  3. Запустить EDM Issue командой "docker compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Для изменения размера очереди клиентских запросов, ожидающих обработки, требуется:

  1. Остановить EDM Issue командой "docker compose down", если он запущен.
  2. В файле ".env" задать (или изменить при его наличии) параметр "EDM_QUEUE_LIMIT".
  3. Запустить EDM Issue командой "docker compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Ограничение числа запросов к EDM Issue с одного IP-адреса

На EDM Issue существует возможность установить максимальную частоту запросов от одного клиентского устройства в секунду и максимальную задержку при обмене данными между клиентским устройством и EDM Issue. При превышении любого из этих показателей клиентская сессия будет оборвана со стороны EDM Issue.

Администратор EDM Issue может управлять максимальной частотой запросов от одного клиентского устройства в секунду и максимальной задержкой при обмене данными между клиентским устройством и EDM Issue через конфигурацию EDM Issue.

Для изменения максимальной частоты запросов от одного клиентского устройства в секунду требуется:

  1. Остановить EDM Issue командой "docker compose down", если он запущен.
  2. В файле ".env" задать (или изменить при его наличии) параметр "EDM_DOS_FILTER_MAX_REQUESTS_PER_SECOND".
  3. Запустить EDM Issue командой "docker compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Для изменения максимальной задержки при обмене данными между клиентским устройством и EDM Issue требуется:

  1. Остановить EDM Issue командой "docker compose down", если он запущен.
  2. В файле ".env" задать (или изменить при его наличии) параметр "EDM_DOS_FILTER_DELAY_MS".
  3. Запустить EDM Issue командой "docker compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.

Настройка параметров автоматической блокировки клиентских устройств при нарушении процедуры аутентификации

На EDM Issue IP-адрес автоматически блокируется в случае фиксации с этого IP-адреса большого количества обращений за отведённый интервал времени, в которых:

  • указаны неизвестные параметры клиентского устройства;
  • нарушен порядок процедуры аутентификации.

Администратор EDM Issue может управлять как лимитами на некорректные обращения клиентских устройств на EDM Issue обоих типов, так и интервалом времени отслеживания некорректных обращений (т.е. будут считаться некорректные обращения за последние N часов).

Для изменения интервала отслеживания некорректных обращений через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "settings".
  3. Установить новое значение параметра "securityCheckPeriodHours" командой "set".
edmi-settings> set --param securityCheckPeriodHours --value 2
OK
edmi-settings>

Для изменения интервала отслеживания некорректных обращений через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Настройки".
  3. Перейти к категории настроек "Контроль подозрительной активности".
  4. Установить новое значение параметра "Период учёта подозрительных событий".

Для изменения лимита обращений клиентского устройства на EDM Issue с неизвестными параметрами устройства через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "settings".
  3. Установить новое значение параметра "sourceUnknownRequestLimit" командой "set".
edmi-settings> set --param sourceUnknownRequestLimit --value 15
OK
edmi-settings>

Для изменения интервала отслеживания некорректных обращений через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Настройки".
  3. Перейти к категории настроек "Контроль подозрительной активности".
  4. Установить новое значение параметра "Лимит запросов с неизвестными параметрами от одного и того же IP-адреса за период".

Для лимита обращений клиентского устройства на EDM Issue с некорректной процедурой аутентификации через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "settings".
  3. Установить новое значение параметра "badAuthLimit" командой "set".
edmi-settings> set --param badAuthLimit --value 15
OK
edmi-settings>


Для изменения интервала отслеживания некорректных обращений через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Настройки".
  3. Перейти к категории настроек "Контроль подозрительной активности".
  4. Установить новое значение параметра "Лимит неуспешных аутентификаций с одного и того же IP-адреса за период".
  • Нет меток