Существует несколько мест, где пользовательский интерфейс Edge может попытаться получить доступ к локальному IP-адресу. Эти локальные IP-адреса могут соответствовать частным или иным образом защищенным ресурсам, которые не должны быть доступны внешним пользователям:
- Инструмент Trace в пользовательском интерфейсе Edge имеет возможность отправлять и получать запросы API на любой указанный URL-адрес. В некоторых сценариях развертывания, когда компоненты Edge размещаются совместно с другими внутренними службами, злоумышленник может злоупотребить возможностями инструмента трассировки, отправляя запросы на частные IP-адреса.
- При создании прокси-сервера API на основе спецификации OpenAPI спецификация описывает такие элементы API, как его базовый путь, пути и команды, заголовки и многое другое. В рамках спецификации злоумышленник может указать базовый путь прокси-сервера, который ссылается на частный IP-адрес.
- При создании прокси-сервера API из файла WSDL, расположенного в вашей локальной файловой системе.
По соображениям безопасности по умолчанию пользовательскому интерфейсу Edge запрещено ссылаться на частные IP-адреса. В список частных IP-адресов входят:
- Адрес обратной связи (127.0.0.1 или локальный хост)
- Локальные адреса сайта (для IPv4 — 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- Любой локальный адрес (любой адрес, разрешающийся в localhost).
Если вы хотите разрешить пользовательскому интерфейсу Edge получать доступ к частным IP-адресам, установите следующие токены:
- Для инструмента трассировки свойство
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses
отключено по умолчанию. Установите для него значение true, чтобы разрешить инструменту трассировки доступ к частным IP-адресам. - В спецификациях OpenAPI свойство
conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses
отключено по умолчанию. Установите для него значение true, чтобы включить доступ OpenAPI к частным IP-адресам. - Для файлов WSDL свойство
conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses
отключено по умолчанию. Установите для него значение true, чтобы разрешить загрузку файла WSDL с частных IP-адресов.
Чтобы установить для этих свойств значение true:
- Откройте файл
ui.properties
в редакторе. Если файл не существует, создайте его.vi /opt/apigee/customer/application/ui.properties
- Установите для следующих свойств значение true:
conf_apigee-base_apigee.feature.enabletraceforinternaladdresses="true" conf_apigee-base_apigee.feature.enableopenapiforinternaladdresses="true" conf_apigee-base_apigee.feature.enablewsdlforinternaladdresses="true"
- Сохраните изменения в
ui.properties
. - Убедитесь, что файл свойств принадлежит пользователю apigee:
chown apigee:apigee /opt/apigee/customer/application/ui.properties
- Перезапустите пользовательский интерфейс Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Пользовательский интерфейс Edge теперь может получать доступ к локальным IP-адресам.