Es gibt mehrere Orte, an denen die Edge-UI möglicherweise versucht, auf eine lokale IP-Adresse zuzugreifen. Diese lokalen IP-Adressen können privaten oder anderweitig geschützten Ressourcen entsprechen, die externen Nutzern nicht zugänglich sein sollen:
- Das Trace-Tool in der Edge-Benutzeroberfläche kann API-Anfragen an jede angegebene URL senden und empfangen. In bestimmten Bereitstellungsszenarien, in denen Edge-Komponenten zusammen mit anderen internen Diensten gehostet werden, kann ein böswilliger Nutzer die Leistung des Trace-Tools missbrauchen, indem er Anfragen an private IP-Adressen sendet.
- Beim Erstellen eines API-Proxys aus einer OpenAPI-Spezifikation werden u. a. die entsprechenden Elemente einer API als Basispfad, Pfade und Verben sowie Header beschrieben. Im Rahmen der Spezifikation kann ein schädlicher Nutzer einen Basispfad des Proxys angeben, der auf eine private IP-Adresse verweist.
- Wenn Sie einen API-Proxy aus einer WSDL-Datei erstellen, die sich auf Ihrem lokalen Dateisystem befindet.
Aus Sicherheitsgründen wird standardmäßig verhindert, dass die Edge-UI auf private IP-Adressen verweist. Die Liste der privaten IP-Adressen enthält:
- Loopback-Adresse (127.0.0.1 oder localhost)
- Standort-lokale Adressen (für IPv4 – 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- Alle lokalen Adressen (Adressen, die zu „localhost“ aufgelöst werden).
Wenn Sie die Edge-UI für den Zugriff auf private IP-Adressen aktivieren möchten, legen Sie die folgenden Tokens fest:
- Für das Trace-Tool ist die Eigenschaft
conf_apigee-base_apigee.feature.enabletraceforinternaladdressesstandardmäßig deaktiviert. Setzen Sie die Einstellung auf „wahr“, um dem Trace-Tool Zugriff auf private IP-Adressen zu ermöglichen. - Bei OpenAPI-Spezifikationen ist das Attribut
conf_apigee-base_apigee.feature.enableopenapiforinternaladdressesstandardmäßig deaktiviert. Setzen Sie die Richtlinie auf „wahr“, um den OpenAPI-Zugriff auf private IP-Adressen zu aktivieren. - Bei WSDL-Dateien ist das Attribut
conf_apigee-base_apigee.feature.enablewsdlforinternaladdressesstandardmäßig deaktiviert. Setzen Sie den Wert auf „true“, um das Hochladen einer WSDL-Datei von privaten IP-Adressen zu ermöglichen.
So legen Sie die Eigenschaften auf „wahr“ fest:
- Öffnen Sie die Datei
ui.propertiesin einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.vi /opt/apigee/customer/application/ui.properties
- Legen Sie die folgenden Properties auf „true“ fest:
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true" conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true" conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
- Speichern Sie die Änderungen in
ui.properties. - Achten Sie darauf, dass die Datei „properties“ dem Nutzer „apigee“ gehört:
chown apigee:apigee /opt/apigee/customer/application/ui.properties
- Starten Sie die Edge-UI neu:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Die Edge-UI kann jetzt auf lokale IP-Adressen zugreifen.