Autoriser l'accès de l'interface utilisateur périphérique aux adresses IP locales

Edge pour le cloud privé v4.18.01

L'interface utilisateur Edge peut tenter d'accéder à une adresse IP locale à plusieurs endroits. Ces adresses IP locales peuvent correspondre à des ressources privées ou protégées d'une autre manière qui ne doivent pas être exposées à des utilisateurs externes:

  • L'outil Trace de l'interface utilisateur Edge permet d'envoyer et de recevoir des requêtes API à n'importe quelle URL spécifiée. Dans certains scénarios de déploiement où les composants Edge sont co-hébergés avec d'autres services internes, un utilisateur malveillant peut faire un usage abusif de la puissance de l'outil Trace en envoyant des requêtes à des adresses IP privées.
  • Lors de la création d'un proxy d'API à partir d'une spécification OpenAPI, cette spécification décrit ces éléments comme leur chemin de base, leurs chemins, leurs verbes, leurs en-têtes, etc. Dans le cadre de la spécification, un utilisateur malveillant peut spécifier un chemin de base du proxy faisant référence à une adresse IP privée.
  • Lorsque vous créez un proxy d'API à partir d'un fichier WSDL situé sur votre système de fichiers local.

Pour des raisons de sécurité, l'interface utilisateur périphérique ne peut pas référencer des adresses IP privées par défaut. La liste des adresses IP privées comprend:

  • Adresse de rebouclage (127.0.0.1 ou localhost)
  • Adresses locales du site (pour IPv4 : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  • Toute adresse locale (toute adresse résolue sur localhost).

Si vous souhaitez autoriser l'interface utilisateur Edge à accéder aux adresses IP privées, définissez les jetons suivants:

  • Pour l'outil Trace, la propriété conf_apigee-base_apigee.feature.enabletraceforinternaladdresses est désactivée par défaut. Définissez cette valeur sur "true" pour permettre à l'outil Trace d'accéder aux adresses IP privées.
  • Pour les spécifications OpenAPI, la propriété conf_apigee-base_apigee.feature.enablebigtableforinternaladdresses est désactivée par défaut. Définissez cette valeur sur "true" pour activer un accès OpenAPI aux adresses IP privées.
  • Pour les fichiers WSDL, la propriété conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses est désactivée par défaut. Définissez cette valeur sur "true" pour permettre l'importation d'un fichier WSDL à partir d'adresses IP privées.

Pour définir ces propriétés sur "true" :

  1. Ouvrez le fichier ui.properties dans un éditeur. Si le fichier n'existe pas, créez-le.
    > vi /opt/apigee/customer/application/ui.properties
  2. Définissez les propriétés suivantes sur true:
    conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true"
    conf_apigee-base_apigee.feature.enable\">forinternaladdresses="true"
    conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
  3. Enregistrez les modifications apportées à ui.properties.
  4. Assurez-vous que le fichier de propriétés appartient à l'utilisateur "apigee" :
    > chown apigee:apigee /opt/apigee/customer/application/ui.properties
  5. Redémarrez l'interface utilisateur Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui restart

L'interface utilisateur Edge peut désormais accéder aux adresses IP locales.