Edge for Private Cloud v4.19.01
Hay varios lugares en los que la IU de Edge podría intentar acceder a una dirección IP local. Estos dirección IP local puede corresponder a recursos privados o protegidos expuestos a usuarios externos:
- La herramienta Trace de la IU de Edge puede enviar y recibir solicitudes a la API a cualquier la URL especificada. En ciertas situaciones de implementación en las que los componentes de Edge se alojan en conjunto con otros servicios internos, un usuario malicioso puede hacer uso inadecuado de la herramienta Trace al realizar solicitudes a direcciones IP privadas.
- Cuando se crea un proxy de API a partir de una especificación de OpenAPI, la especificación describe las elementos de una API como su ruta base, rutas y verbos, encabezados y mucho más. Como parte de la especificación, un un usuario malicioso puede especificar una ruta base del proxy que haga referencia a una IP privada web.
- Cuando crees un proxy de API a partir de un archivo WSDL ubicado en tu sistema de archivos local,
Por motivos de seguridad, de forma predeterminada, la IU de Edge no puede hacer referencia a IP privadas direcciones IP del proveedor. La lista de direcciones IP privadas incluye lo siguiente:
- Dirección de bucle invertido (127.0.0.1 o localhost)
- Direcciones locales del sitio (para IPv4 - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- Cualquier dirección local (cualquier dirección que se resuelva en localhost).
Si quieres habilitar la IU de Edge para acceder a direcciones IP privadas, establece los siguientes parámetros: tokens:
- Para la herramienta Trace,
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses
está inhabilitada de forma predeterminada. Configúralo como verdadero para permitir que la herramienta de seguimiento acceda a la IP privada. direcciones IP del proveedor. - Para las especificaciones de OpenAPI,
conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses
está inhabilitada de forma predeterminada. Configúralo como verdadero para habilitar el acceso de OpenAPI a direcciones IP privadas. - En el caso de los archivos WSDL, el
conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses
está inhabilitada de forma predeterminada. Configúralo como verdadero para habilitar la carga de un archivo WSDL desde direcciones IP privadas.
Para establecer estas propiedades como verdaderas, sigue estos pasos:
- Abre el archivo
ui.properties
en un editor. Si el archivo no existe, créalo.vi /opt/apigee/customer/application/ui.properties
- Configura las siguientes propiedades como verdaderas:
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true" conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true" conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
- Guarda los cambios en
ui.properties
. - Asegúrate de que el archivo de propiedades sea propiedad de “apigee” usuario:
chown apigee:apigee /opt/apigee/customer/application/ui.properties
- Reinicia la IU de Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
La IU de Edge ahora puede acceder a las direcciones IP locales.