В системе можно настроить блокировку IP-адресов при многократном неудачном входе. Блокировка по IP дополняет политики учетных записей и усиливает защиту системы от взлома или неправомерного доступа.

Блокировка по IP-адресу действует, когда с одного компьютера превышено максимальное количество неудачных попыток входа с указанием пароля. В этом случае система на время, указанное в параметрах настройки, блокирует вход в систему с IP-адреса компьютера. Также блокировка действует при аутентификации в сервисе интеграции. Блокировка срабатывает после превышения количества неудачных попыток обращения к сервису.

Информация о заблокированных IP-адресах хранится в отдельной базе данных MongoDB.

По умолчанию настройки блокировки по IP-адресу отключены. Чтобы их включить:

1.Запустите Directum Launcher и установите переключатель Настройка. В секциях Веб-сервер (SungeroWebServer) и Сервис интеграции (IntegrationService) проверьте, что указан параметр MONGODB_CONNECTION_STRING – строка подключения к MongoDB.

Пример в config.yml:

MONGODB_CONNECTION_STRING: 'mongodb://admin:11111@192.168.23.58:27017'

2.В секциях с настройками веб-сервера и сервиса интеграции добавьте параметры:

•IP_BLOCKING_MONGO_DATABASE_NAME – имя базы данных MongoDB, в которой хранятся таблицы со списком заблокированных IP-адресов. Рекомендуется указывать уникальное имя;

•IP_BLOCKING_MAX_FAILED_ATTEMPTS – максимальное количество попыток неудачного входа, после которого IP-адрес компьютера заблокируется и вход в систему станет недоступен;

•IP_BLOCKING_LOCKOUT_DURATION_MINS – время блокировки IP-адреса (в минутах), на которое IP-адрес заблокируется после неудачной попытки входа;

•IP_BLOCKING_FAILED_ATTEMPTS_RESET_AFTER_MINS – время, через которое веб-сервер сбросит количество попыток неудачного входа (в минутах).

Пример в config.yml:

IP_BLOCKING_MONGO_DATABASE_NAME: 'sungero_ip_blocking'

IP_BLOCKING_MAX_FAILED_ATTEMPTS: '15'
IP_BLOCKING_LOCKOUT_DURATION_MINS: '10'
IP_BLOCKING_FAILED_ATTEMPTS_RESET_AFTER_MINS: '10'

3.При аутентификации в системе в цепочке между клиентом и сервером могут быть промежуточные узлы, например прокси-серверы и балансировщики нагрузки. Чтобы исключить подмену IP-адреса клиента в этой цепочке, перейдите во встроенный редактор YAML и в секции веб-сервера SungeroWebServer, сервиса интеграции IntegrationService, сервиса хранилищ StorageService, сервиса ключей KeyDerivation и сервиса логирования LogService добавьте параметры:

•FORWARDED_HEADERS_FORWARD_LIMIT – максимальное число прокси-серверов и балансировщиков, за которыми находится сервис. Если значение не указано или меньше 0, то ограничение не устанавливается. Укажите значение в параметре, если известен маршрут до веб-сервера. Например, если используется внешний прокси-сервер, балансировщик, IIS, то получится 3 адреса. Укажите это значение в параметре;

•FORWARDED_HEADERS_KNOWN_PROXIES – IP-адреса прокси-серверов и балансировщиков, за которыми находится сервис. Для разделения списка адресов используется «;». Для серверов с компонентами IIS в качестве адреса нужно дополнительно указать значение ::1;

•FORWARDED_HEADERS_KNOWN_NETWORKS – диапазоны IP-адресов прокси-серверов и балансировщиков, за которыми находится сервис. Для разделения диапазонов используется «;». Диапазон задается в формате «адрес/маска», например, 127.0.0.0/8.

Пример в config.yml:

FORWARDED_HEADERS_FORWARD_LIMIT: '3'

FORWARDED_HEADERS_KNOWN_PROXIES: '192.168.19.25;192.168.46.122;::1'
FORWARDED_HEADERS_KNOWN_NETWORKS: '127.0.0.0/8;172.19.0.0/24'

В результате, если будет превышено максимальное количество неудачных попыток входа с компьютера, то система временно заблокирует вход в систему с его IP-адреса. Если пользователь попытается зайти под другой учетной записью с этого адреса, доступ все равно будет заблокирован.

При необходимости администратор может разблокировать IP-адрес в справочнике Учетные записи.

СМ. ТАКЖЕ

© Компания Directum, 2024