Клиентские устройства ESR получают информацию и загружаемый контент от EDM Issue. Для того чтобы контролировать подключающиеся клиентские устройства, в EDM Issue существуют несколько механизмов:
- IP-правила – списки доступа, ограничивающие доступ клиентских устройств по IP-адресу;
- Очередь запросов к EDM Issue – ограничение на обработку запросов нескольких клиентов и очередь запросов при перегрузке EDM Issue параллельными запросами;
- Защита от DOS-атаки на EDM Issue – ограничение на количество запросов и задержки при обмене сообщениями с одного IP-адреса в секунду, превышение любого из параметров приведет к обрыву сессии со стороны EDM Root;
- Защита от превышения попыток некорректной аутентификации – ограничение на максимальное количество попыток некорректной аутентификации с одного IP-адреса за отведенный интервал времени, превышение которого приведет к созданию IP-правила, ограничивающего доступ с данного IP-адреса на EDM Root, с определенным сроком действия. По истечению срока действия ограничивающее IP-правило перестанет действовать и будет автоматически удалено.
Таким образом, администратор EDM Issue со своей стороны может:
- просматривать информацию о группах IP-правил;
- просматривать информацию о существующих IP-правилах в группе IP-правил;
- создавать IP-правило;
- редактировать IP-правило;
- удалять IP-правило;
- очищать счетчик для ограничивающего IP-правила;
- переводить временное ограничивающее IP-правило в бессрочное;
- ограничить очереди запросов от клиентских устройств к EDM Issue;
- ограничить число запросов к EDM Issue с одного IP-адреса;
- настроить параметры автоматической блокировки клиентских устройств при нарушении процедуры аутентификации.
Просмотр информации о группах IP-правил
В EDM Issue существует две служебных группы IP-правил:
- edm – группа IP-правил для подключающихся к EDM Issue клиентских устройств;
- web – группа IP-правил для web-интерфейса.
IP-правила в группе "web" заполняются автоматически и доступны для просмотра и редактирования в CLI исключительно в целях диагностики возможных ошибок. При обычной эксплуатации администратор EDM Issue должен работать только с IP-правилами группы "edm".
Также у групп IP-правил есть два режима работы:
- trust – режим белого списка, при котором по умолчанию все запросы с любых IP-адресов запрещены. IP-правила в таком режиме используются для обозначения IP-адресов, которым разрешен доступ к EDM Issue.
- deny – режим черного списка, при котором по умолчанию все запросы с любых IP-адресов разрешены. IP-правила в таком режиме используются для обозначения IP-адресов, которым запрещен доступ к EDM Issue.
Служебная группа IP-правил "web" работает в режиме "trust" без возможности смены режима. Служебная группа IP-правил "edm" работает по умолчанию в режиме "deny", при этом режим работы можно сменить в настройках EDM.
Для просмотра информации о группах IP-правил через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
Ввести команду "show groups".
Пример вывода информации о группах IP-правил в EDM CLIedmi-iprules> show groups 1. IP group: edm Mode: deny 2. IP group: web Mode: trust edmi-iprules>
Просмотр существующих IP-правил в группе IP-правил
Для просмотра информации об IP-правилах в группе IP-правил через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
Ввести команду "show iprules" с указанием группы IP-правил, IP-правила из которой требуется отобразить.
Пример вывода информации об IP-правилах в группе IP-правил в EDM CLIedmi-iprules> show iprules --group edm IP group: edm Mode: deny 1. IP: 97.38.145.32/29 Status: block Info: "02/07/2021 API DDoS" Tool: cli Counter: 0 Registered: 2021-08-12 04:51:34 Updated: 2021-08-12 04:52:08 2. IP: 97.38.145.36 Status: allow Info: "03/07/2021 Whitelisted from rule 97.38.145.32/29" Tool: cli Registered: 2021-08-12 04:52:51 Updated: 2021-08-12 04:52:51 End of list edmi-iprules>
Для просмотра информации об IP-правилах через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Настройки".
- Перейти в подраздел "IP правила".
В web-интерфейсе EDM Issue все взаимодействие с IP-правилами представлено только для служебной группы IP-правил "edm".
Рисунок 14 – Получение информации об IP-правилах в web-интерфейсе EDM Issue
Для просмотра более подробной информации об IP-правиле через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в раздел меню "Настройки".
- Перейти в подраздел "IP правила".
- В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Информация".
Рисунок 15 – Получение подробной информации об IP-правиле в web-интерфейсе EDM Issue
Создание IP-правила
IP-правила в EDM Issue бывают двух видов:
- allow – правила, разрешающие доступ к EDM Issue;
- block – правила, ограничивающие доступ к EDM Issue.
Соответственно при создании разрешающего IP-правила нужно использовать команду "add allow", а для ограничивающего IP-правила – "add block".
Таким образом для создания IP-правила через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
- Ввести команду "add allow" для разрешающего IP-правила или "add block" для блокирующего IP-правила.
edmi-iprules> add block --group edm --ip 97.38.145.32/29 --info "02/07/2021 API DDoS" OK edmi-iprules> add allow --group edm --ip 97.38.145.36/32 --info "03/07/2021 Whitelisted from rule 97.38.145.32/29" OK edmi-iprules>
Для создания IP-правила через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в раздел меню "Настройки".
- Перейти в подраздел "IP правила".
- Нажать на кнопку слева от поля фильтрации таблицы с IP-правилами.
- Заполнить в появившемся окне информацию о новом IP-правиле, после чего нажать кнопку "Создать".
В web-интерфейсе EDM Issue все взаимодействие с IP-правилами представленного только для служебной группы IP-правил "edm".
Рисунок 16 – Заполнение формы создания IP-правила в web-интерфейсе EDM Issue
Редактирование IP-правила
Для редактирования IP-правила через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
Ввести команду "edit" для редактирования IP-правила.
Пример редактирования IP-правила в EDM CLIedmi-iprules> edit --group edm --ip 97.38.145.32/29 --info "02/07/2021 API DDoS" OK edmi-iprules>
Для редактирования IP-правила через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в раздел меню "Настройки".
- Перейти в подраздел "IP-правила".
- В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Редактировать".
- В открывшемся окне произвести требуемые изменения IP-правила и нажать кнопку "Редактировать".
Рисунок 17 – Заполнение формы редактирования IP-правила в web-интерфейсе EDM Issue
Удаление IP-правила
Для удаления IP-правила через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
- Ввести команду "delete" для удаления IP-правила.
edmi-iprules> delete --group edm --ip 97.38.145.32/29 You will delete rule for IP 97.38.145.32/29. Are you sure? (y/N) y OK edmi-iprules>
Для удаления IP-правила через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Настройки".
- Перейти в подраздел "IP-правила".
- В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Удалить".
- В открывшемся окне подтвердить удаление IP-правила нажатием кнопки "Удалить".
Рисунок 18 – Удаление IP-правила в web-интерфейсе EDM Issue
Очистка счетчика ограничивающего IP-правила
Для ограничивающих IP-правил на EDM Issue реализован счетчик срабатываний. Его значение можно посмотреть при выводе информации об IP-правилах как в CLI, так и в web. Помимо просмотра значения счетчика его можно очистить.
Для очистки счетчика ограничивающего IP-правила через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
Ввести команду "edit" для требуемого правила с флагом "--reset" .
Пример очистки счетчика ограничивающего IP-правила в EDM CLIedmi-iprules> show iprules --group edm IP group: edm Mode: deny 1. IP: 109.88.52.0/25 Status: block Info: 12/08/2021 Test Blocked Rule Tool: web Author: admin Counter: 34 Registered: 2021-08-12 06:48:56 Updated: 2021-08-12 06:48:56 End of list edmi-iprules> edit --group edm --ip 109.88.52.0/25 --reset OK edmi-iprules> show iprules --group edm IP group: edm Mode: deny
Пример очистки счетчика ограничивающего IP-правила в EDM CLI1. IP: 109.88.52.0/25 Status: block Info: 12/08/2021 Test Blocked Rule Tool: web Author: admin Counter: 0 Registered: 2021-08-12 06:48:56 Updated: 2021-08-12 06:48:56 End of list edmi-iprules>
Перевод временного ограничивающего IP-правила в бессрочное
Системы ограничения доступа могут автоматически создавать ограничивающие IP-правила с определенным сроком действия. Администратор EDM Issue может переводить такие правила в бессрочный режим вручную.
Для перевода временного ограничивающего IP-правила в бессрочное через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
Ввести команду "edit" для требуемого правила с флагом "--unexpired" .
Пример перевода временного ограничивающего IP-правила в бессрочное в EDM CLIedmi-iprules> show iprules --group edm IP group: edm Mode: deny 1. IP: 109.88.52.0/25 Status: block Info: 12/08/2021 Test Blocked Rule Tool: web Author: admin Counter: 34 Registered: 2021-08-12 06:48:56 Updated: 2021-08-12 06:48:56 Expiry: 2021-08-15 20:55:36 End of list edmi-iprules> edit --group edm --ip 109.88.52.0/25 --unexpired OK edmi-iprules> show iprules --group edm IP group: edm Mode: deny
Пример перевода временного ограничивающего IP-правила в бессрочное в EDM CLI (продолжение)1. IP: 109.88.52.0/25 Status: block Info: 12/08/2021 Test Blocked Rule Tool: cli Counter: 34 Registered: 2021-08-12 06:48:56 Updated: 2021-08-12 08:09:33 End of list edmi-iprules>
Ограничение очереди запросов от клиентских устройств к EDM Issue
EDM Issue позволяет обрабатывать запросы нескольких клиентских устройств параллельно, обеспечивая высокую производительность системы и своевременное обслуживание запросов со стороны клиентских устройств. Однако при количестве одновременных запросов большем, чем EDM Issue может обработать параллельно, предусмотрен механизм постановки клиентских запросов в очередь. Это позволит не отказывать в обслуживании клиентам сразу, а взять их в работу позже, в момент, когда одна из текущих активных сессий будет завершена.
Администратор EDM Issue может управлять размером очереди и максимальным количеством одновременно обрабатываемых сессий через конфигурацию EDM Issue.
Для изменения максимального количества одновременно обрабатываемых клиентских сессий требуется:
- Остановить EDM Issue командой "docker-compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_THREAD_LIMIT".
- Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Для изменения размера очереди клиентских запросов, ожидающих обработки, требуется:
- Остановить EDM Issue командой "docker-compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_QUEUE_LIMIT".
- Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Ограничение числа запросов к EDM Issue с одного IP-адреса
На EDM Issue существует возможность установить максимальную частоту запросов от одного клиентского устройства в секунду и максимальную задержку при обмене данными между клиентским устройством и EDM Issue. При превышении любого из этих показателей клиентская сессия будет оборвана со стороны EDM Issue.
Администратор EDM Issue может управлять максимальной частотой запросов от одного клиентского устройства в секунду и максимальной задержкой при обмене данными между клиентским устройством и EDM Issue через конфигурацию EDM Issue.
Для изменения максимальной частоты запросов от одного клиентского устройства в секунду требуется:
- Остановить EDM Issue командой "docker-compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_DOS_FILTER_MAX_REQUESTS_PER_SECOND".
- Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Для изменения максимальной задержки при обмене данными между клиентским устройством и EDM Issue требуется:
- Остановить EDM Issue командой "docker-compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_DOS_FILTER_DELAY_MS".
- Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Настройка параметров автоматической блокировки клиентских устройств при нарушении процедуры аутентификации
На EDM Issue IP-адрес автоматически блокируется в случае фиксации с этого IP-адреса большого количества обращений за отведённый интервал времени, в которых:
- указаны неизвестные параметры клиентского устройства;
- нарушен порядок процедуры аутентификации.
Администратор EDM Issue может управлять как лимитами на некорректные обращения клиентских устройств на EDM Issue обоих типов, так и интервалом времени отслеживания некорректных обращений (т.е. будут считаться некорректные обращения за последние N часов).
Для изменения интервала отслеживания некорректных обращений требуется:
- Остановить EDM Issue командой "docker-compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_SECURITY_CHECK_PERIOD_HOURS".
- Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Для изменения лимита обращений клиентского устройства на EDM Issue с неизвестными параметрами устройства требуется:
- Остановить EDM Issue командой "docker-compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_SOURCE_UNKNOWN_REQUEST_LIMIT".
- Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Для изменения лимита обращений клиентского устройства на EDM Issue с некорректной процедурой аутентификации требуется:
- Остановить EDM Issue командой "docker-compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_BAD_AUTH_LIMIT".
- Запустить EDM Issue командой "docker-compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.