Клиентские устройства ESR получают информацию и загружаемый контент от EDM Issue. Для того чтобы контролировать подключающиеся клиентские устройства, в EDM Issue существуют несколько механизмов:
- IP-правила – списки доступа, ограничивающие доступ клиентских устройств по IP-адресу;
- Очередь запросов к EDM Issue – ограничение на обработку запросов нескольких клиентов и очередь запросов при перегрузке EDM Issue параллельными запросами;
- Защита от DOS-атаки на EDM Issue – ограничение на количество запросов и задержки при обмене сообщениями с одного IP-адреса в секунду, превышение любого из параметров приведет к обрыву сессии со стороны EDM Root;
- Защита от превышения попыток некорректной аутентификации – ограничение на максимальное количество попыток некорректной аутентификации с одного IP-адреса за отведенный интервал времени, превышение которого приведет к созданию IP-правила, ограничивающего доступ с данного IP-адреса на EDM Root, с определенным сроком действия. По истечению срока действия ограничивающее IP-правило перестанет действовать и будет автоматически удалено.
Таким образом, администратор EDM Issue со своей стороны может:
- просматривать информацию о группах IP-правил;
- просматривать информацию о существующих IP-правилах в группе IP-правил;
- создавать IP-правило;
- редактировать IP-правило;
- удалять IP-правило;
- очищать счетчик для ограничивающего IP-правила;
- переводить временное ограничивающее IP-правило в бессрочное;
- ограничить очереди запросов от клиентских устройств к EDM Issue;
- ограничить число запросов к EDM Issue с одного IP-адреса;
- настроить параметры автоматической блокировки клиентских устройств при нарушении процедуры аутентификации.
Просмотр информации о группах IP-правил
В EDM Issue существует две служебных группы IP-правил:
- edm – группа IP-правил для подключающихся к EDM Issue клиентских устройств;
- web – группа IP-правил для web-интерфейса.
IP-правила в группе "web" заполняются автоматически и доступны для просмотра и редактирования в CLI исключительно в целях диагностики возможных ошибок. При обычной эксплуатации администратор EDM Issue должен работать только с IP-правилами группы "edm".
Также у групп IP-правил есть два режима работы:
- trust – режим белого списка, при котором по умолчанию все запросы с любых IP-адресов запрещены. IP-правила в таком режиме используются для обозначения IP-адресов, которым разрешен доступ к EDM Issue.
- deny – режим черного списка, при котором по умолчанию все запросы с любых IP-адресов разрешены. IP-правила в таком режиме используются для обозначения IP-адресов, которым запрещен доступ к EDM Issue.
Служебная группа IP-правил "web" работает в режиме "trust" без возможности смены режима. Служебная группа IP-правил "edm" работает по умолчанию в режиме "deny", при этом режим работы можно сменить в настройках EDM.
Для просмотра информации о группах IP-правил через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
Ввести команду "show groups".
Пример вывода информации о группах IP-правил в EDM CLIedmi-iprules> show groups 1. IP group: edm Mode: deny 2. IP group: web Mode: trust edmi-iprules>
Просмотр существующих IP-правил в группе IP-правил
Для просмотра информации об IP-правилах в группе IP-правил через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
Ввести команду "show iprules" с указанием группы IP-правил, IP-правила из которой требуется отобразить.
Пример вывода информации об IP-правилах в группе IP-правил в EDM CLIedmi-iprules> show iprules --group edm IP group: edm Mode: deny 1. Group: edm IP: 97.38.145.32/29 Status: block Info: "08/06/2022 API DDoS" Counter: 0 Registered: 2022-11-30 15:24:34 Updated: 2022-11-30 15:24:34 2. Group: edm IP: 97.38.145.36 Status: allow Info: "10/10/2022 Whitelisted from rule 97.38.145.32/29" Registered: 2022-11-30 15:25:32 Updated: 2022-11-30 15:25:32 End of list edmi-iprules>
Для просмотра информации об IP-правилах через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Ограничение доступа".
В web-интерфейсе EDM Issue все взаимодействие с IP-правилами представлено только для служебной группы IP-правил "edm".
Рисунок 17 – Получение информации об IP-правилах в web-интерфейсе EDM Issue
Для просмотра более подробной информации об IP-правиле через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Ограничение доступа".
- В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Информация".
Рисунок 18 – Получение подробной информации об IP-правиле в web-интерфейсе EDM Issue
Создание IP-правила
IP-правила в EDM Issue бывают двух видов:
- allow – правила, разрешающие доступ к EDM Issue;
- block – правила, ограничивающие доступ к EDM Issue.
Соответственно при создании IP-правила нужно в параметре --action указать вид правила: для разрешающего IP-правила – "allow", а для ограничивающего IP-правила – "block".
Таким образом для создания IP-правила через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
- Ввести команду "add iprule".
edmi-iprules> add iprule --group edm --action block --ip 97.38.145.32/29 --info "08/06/2022 API DDoS" OK edmi-iprules> edmi-iprules> add iprule --action allow --group edm --ip 97.38.145.36/32 --info "10/10/2022 Whitelisted from rule 97.38.145.32/29" OK edmi-iprules>
Для создания IP-правила через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Ограничение доступа".
- Нажать на кнопку слева от поля фильтрации таблицы с IP-правилами.
- Заполнить в появившемся окне информацию о новом IP-правиле, после чего нажать кнопку "Создать".
В web-интерфейсе EDM Issue все взаимодействие с IP-правилами представленного только для служебной группы IP-правил "edm".
Рисунок 19 – Заполнение формы создания IP-правила в web-интерфейсе EDM Issue
Редактирование IP-правила
Для редактирования IP-правила через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
Ввести команду "edit iprule" для редактирования IP-правила.
Пример редактирования IP-правила в EDM CLIedmi-iprules> edit iprule --group edm --ip 97.38.145.32/29 --info "02/07/2021 API DDoS" OK edmi-iprules>
Для редактирования IP-правила через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Ограничение доступа".
- В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Редактировать".
- В открывшемся окне произвести требуемые изменения IP-правила и нажать кнопку "Редактировать".
Рисунок 20 – Заполнение формы редактирования IP-правила в web-интерфейсе EDM Issue
Удаление IP-правила
Для удаления IP-правила через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
- Ввести команду "delete iprule" для удаления IP-правила.
edmi-iprules> delete iprule --group edm --ip 97.38.145.32/29 You will delete rule for IP 97.38.145.32/29. Are you sure? (y/N) y OK edmi-iprules>
Для удаления IP-правила через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Ограничение доступа".
- В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Удалить".
- В открывшемся окне подтвердить удаление IP-правила нажатием кнопки "Удалить".
Рисунок 21 – Удаление IP-правила в web-интерфейсе EDM Issue
Очистка счетчика ограничивающего IP-правила
Для ограничивающих IP-правил на EDM Issue реализован счетчик срабатываний. Его значение можно посмотреть при выводе информации об IP-правилах как в CLI, так и в web. Помимо просмотра значения счетчика, его можно очистить.
Для очистки счетчика ограничивающего IP-правила через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
- Ввести команду "reset counter".
edmi-iprules> show iprules --group edm IP group: edm Mode: deny 1. Group: edm IP: 192.168.35.82 Status: block Info: Block rule Counter: 2 Registered: 2022-11-30 15:40:47 Updated: 2022-11-30 15:40:47 End of list edmi-iprules> reset counter --group edm --ip 192.168.35.82 OK: Reset counter for rule with IP: 192.168.35.82 edmi-iprules> show iprules --group edm IP group: edm Mode: deny 1. Group: edm IP: 192.168.35.82 Status: block Info: Block rule Counter: 0 Registered: 2022-11-30 15:40:47 Updated: 2022-11-30 15:40:47 End of list edmi-iprules>
Если не указать параметр --ip, счетчики будут сброшены у всех правил в данной группе.
Для очистки счетчика ограничивающего IP-правила через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Ограничение доступа".
- В крайней правой колонке для требуемого IP-правила вызвать контекстное меню и в нем выбрать пункт "Обнулить все счетчики".
- В открывшемся окне подтвердить обнуление счетчиков нажатием кнопки "OK".
Рисунок 22 – Очистка счетчика ограничивающего IP-правила в web-интерфейсе EDM Issue
Для очистки всех счетчиков в группе edm ограничивающих IP-правил через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Ограничение доступа".
- Нажать на кнопку слева от поля фильтрации таблицы с IP-правилами.
- В открывшемся окне подтвердить обнуление счетчиков нажатием кнопки "OK".
Перевод временного ограничивающего IP-правила в бессрочное
Системы ограничения доступа могут автоматически создавать ограничивающие IP-правила с определенным сроком действия. Администратор EDM Issue может переводить такие правила в бессрочный режим вручную.
Для перевода временного ограничивающего IP-правила в бессрочное через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "iprules".
Ввести команду "edit iprule" для требуемого правила с флагом "--unexpired".
Пример перевода временного ограничивающего IP-правила в бессрочное в EDM CLIedmi-iprules> show iprules --group edm IP group: edm Mode: deny 1. IP: 109.88.52.0/25 Status: block Info: 12/08/2022 Test Blocked Rule Tool: web Author: admin Counter: 34 Registered: 2022-08-12 06:48:56 Updated: 2022-08-12 06:48:56 Expiry: 2022-08-15 20:55:36 End of list edmi-iprules> edit iprule --group edm --ip 109.88.52.0/25 --unexpired OK edmi-iprules> show iprules --group edm IP group: edm Mode: deny 1. IP: 109.88.52.0/25 Status: block Info: 12/08/2022 Test Blocked Rule Tool: cli Counter: 34 Registered: 2022-08-12 06:48:56 Updated: 2022-08-12 08:09:33 End of list edmi-iprules>
Ограничение очереди запросов от клиентских устройств к EDM Issue
EDM Issue позволяет обрабатывать запросы нескольких клиентских устройств параллельно, обеспечивая высокую производительность системы и своевременное обслуживание запросов со стороны клиентских устройств. Однако при количестве одновременных запросов большем, чем EDM Issue может обработать параллельно, предусмотрен механизм постановки клиентских запросов в очередь. Это позволит не отказывать в обслуживании клиентам сразу, а взять их в работу позже, в момент, когда одна из текущих активных сессий будет завершена.
Администратор EDM Issue может управлять размером очереди и максимальным количеством одновременно обрабатываемых сессий через конфигурацию EDM Issue.
Для изменения максимального количества одновременно обрабатываемых клиентских сессий требуется:
- Остановить EDM Issue командой "docker compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_THREAD_LIMIT".
- Запустить EDM Issue командой "docker compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Для изменения размера очереди клиентских запросов, ожидающих обработки, требуется:
- Остановить EDM Issue командой "docker compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_QUEUE_LIMIT".
- Запустить EDM Issue командой "docker compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Ограничение числа запросов к EDM Issue с одного IP-адреса
На EDM Issue существует возможность установить максимальную частоту запросов от одного клиентского устройства в секунду и максимальную задержку при обмене данными между клиентским устройством и EDM Issue. При превышении любого из этих показателей клиентская сессия будет оборвана со стороны EDM Issue.
Администратор EDM Issue может управлять максимальной частотой запросов от одного клиентского устройства в секунду и максимальной задержкой при обмене данными между клиентским устройством и EDM Issue через конфигурацию EDM Issue.
Для изменения максимальной частоты запросов от одного клиентского устройства в секунду требуется:
- Остановить EDM Issue командой "docker compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_DOS_FILTER_MAX_REQUESTS_PER_SECOND".
- Запустить EDM Issue командой "docker compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Для изменения максимальной задержки при обмене данными между клиентским устройством и EDM Issue требуется:
- Остановить EDM Issue командой "docker compose down", если он запущен.
- В файле ".env" задать (или изменить при его наличии) параметр "EDM_DOS_FILTER_DELAY_MS".
- Запустить EDM Issue командой "docker compose up -d". После запуска EDM Issue новое значение параметра вступит в силу.
Настройка параметров автоматической блокировки клиентских устройств при нарушении процедуры аутентификации
На EDM Issue IP-адрес автоматически блокируется в случае фиксации с этого IP-адреса большого количества обращений за отведённый интервал времени, в которых:
- указаны неизвестные параметры клиентского устройства;
- нарушен порядок процедуры аутентификации.
Администратор EDM Issue может управлять как лимитами на некорректные обращения клиентских устройств на EDM Issue обоих типов, так и интервалом времени отслеживания некорректных обращений (т.е. будут считаться некорректные обращения за последние N часов).
Для изменения интервала отслеживания некорректных обращений через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
- Установить новое значение параметра "securityCheckPeriodHours" командой "set".
edmi-settings> set --param securityCheckPeriodHours --value 2 OK edmi-settings>
Для изменения интервала отслеживания некорректных обращений через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Настройки".
- Перейти к категории настроек "Контроль подозрительной активности".
- Установить новое значение параметра "Период учёта подозрительных событий".
Для изменения лимита обращений клиентского устройства на EDM Issue с неизвестными параметрами устройства через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
- Установить новое значение параметра "sourceUnknownRequestLimit" командой "set".
edmi-settings> set --param sourceUnknownRequestLimit --value 15 OK edmi-settings>
Для изменения интервала отслеживания некорректных обращений через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Настройки".
- Перейти к категории настроек "Контроль подозрительной активности".
- Установить новое значение параметра "Лимит запросов с неизвестными параметрами от одного и того же IP-адреса за период".
Для лимита обращений клиентского устройства на EDM Issue с некорректной процедурой аутентификации через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
- Установить новое значение параметра "badAuthLimit" командой "set".
edmi-settings> set --param badAuthLimit --value 15 OK edmi-settings>
Для изменения интервала отслеживания некорректных обращений через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Настройки".
- Перейти к категории настроек "Контроль подозрительной активности".
- Установить новое значение параметра "Лимит неуспешных аутентификаций с одного и того же IP-адреса за период".