Dobrý den,

ano, mohu potvrdit, že existuje řada pravidel, která hlídají chování uživatelů a v případě, že chování vypadá jako nějaký útok, snaží se tomu zabránit.

Můžete prosím sdělit, o jakou IP adresu se jedná?

Děkuji

Vladimír Zvolánek

Dekuji, takto me to staci, predpokladam, ze je to dusledek vikendoveho upgrade. Prosel jsem ucty s nefunkcnimi loginy a uvidim v pondeli zdali bude jiz vse v poradku. Prip bych poslal aktualni informaci.

Dobry den,

tak nyni se prihlasovani po x-tem prihlaseni zasekne. Hlasim se z IP:, prihlaovani probihalo od 4 hodin. Prosim tedy o provereni, proc jsme i po uspesnych pokusech zablokovani.

Dekuji

Abychom mohli zjistit další informace, poprosím o ID datové schránky (ID DS) které se to týká, případně metodu jakou se předmětná služba přihlašuje do WS. Kromě toho poprosím i o datum a čas.

Dobrý den,
např. jde o ID DS iueiarb, přihlášní basic autentizací, v čase 13.12.2018 04:02 a ze stejné IP v e stejném čase i další.

Děkuji

Dobrý den,

zaznamenali jsme stejný problém 9. ledna 2019, kdy došlo (soudě podle předchozích odpovědí v tomto diskusním vlákně) k zablokování IP adresy patřící aplikační proxy v síti MPSV. Postupně to zasáhlo přihlašování k 17 datovým schránkám z resortu MPSV, první chybu máme zaznamenanou ve 13:25:37.972 SEČ, poslední v 14:24:27.395 SEČ. Seznam postižených schránek je přiložený na konci textu.

Potřebovali bychom najít nějaké řešení, jak zabránit tomu, aby se podobná situace opakovala.

Dále bych prosil, zda můžete zvážit (nebo to předat České poště nebo Ministerstvu vnitra – nevím, kdo je kompetentní to rozhodnout), aby ISDS v případě takovéto blokace nevracel HTTP stavový kód 401 Unauthorized, který je v RFC 7235 specifikován pro případy, kdy klient neposkytl autentizační údaje, nebo je poskytl, ale požadavek byl odmítnut na základě těchto údajů (typicky neexistující uživatelské jméno nebo chybné heslo). Pro blokování přístupu na základě IP adresy je možné použít kód 403 Forbidden nebo případně kód 429 Too Many Requests dle RFC 6585, pokud jde o odmítnutí na základě velkého množství požadavků. Když se používá kód 401 pro chybné přihlašovací údaje i síťovou blokaci, není možné tyto situace v aplikaci odlišit a aplikace pak chybně uživatele informuje, že používá chybné přihlašovací údaje, i když je problém v blokaci IP adresy.

Seznam ID datových schránek a loginů, které byly problémem postiženy, je níže. Datum a čas chyby je okamžik, kdy aplikace obdržela stavový kód 401 (záznamy v tabulce níže nejsou vypsány chronologicky). Přihlášení pod stejným účtem už pak aplikace neopakovala, protože když ISDS vrátí stavový kód 401, aplikace dá přihlašovací údaje na interní blacklist, aby nebombardovala ISDS neplatnými pokusy o přihlášení, a přihlašovací údaje pak musíme ručně odblokovat. Ještě doplním, že přihlašovací údaje jsou uložené v databázi a uživatelé k nim nemají přístup, takže chyba nemohla nastat např. v překlepu v hesle.

Aplikace přistupuje k ISDS přes aplikační proxy server, jeho IP adresa v internetu by měla být 91.214.156.2. (Nemůžu vyloučit, že může používat i jiné IP adresy, to bych musel zkonzultovat s firmou, která má na starost síťové prostředí.) Také je možné, že přes tento proxy server přistupují k ISDS i jiné aplikace z resortu MPSV.

Pro jistotu upřesním, že charakter aplikace je takový, že by se spíš mělo používat přihlášení systémovým certifikátem – tam ale není možné nastavit přístupová oprávnění, a protože aplikace má mít k většině obsluhovaných schránek přístup pouze pro odesílání zpráv, nikoli pro čtení, bylo rozhodnuto, že se použije přihlašování jménem a heslem a účtům se nastaví příslušná oprávnění. 

Děkuji. S pozdravem

Filip Jirsák

Dobry den,

u nas blokovani stale trva. Udaje mame spravne a presto nas to zablokuje. Pokud jednotlive datovky proklikam postupne v prubehu dne, tak k veceru zjistitm, ze vsechny udaje jsou spravne. Ale jakmile zksuim hromadne stahovani po jednotlivych datovkach, to pak zablokuje nasi IP na asi hodinu a pul.

Petr Jelinek

Schránka blokována není. Je blokován jakýkoliv pokus se přihlást z IP adresy po dobu asi 1.5 hodiny a vrací se odpověď 401.

Na jine IP se do stejné schránky přihlásím.

Petr Jelinek

Dobrý den,

díky za informaci, informaci o možnosti zařazení na whitelist předám na MPSV.

Co se týče chybných přihlašovacích údajů, v naší aplikaci takové nejsou – ale přes stejný proxy server komunikují i jiné systémy a je možné, že chybné přihlašovací údaje poslal některý z nich.

S pozdravem

Filip Jirsák

Dobrý den,

k blokaci proxy serveru MPSV došlo včera znovu. Řešíme žádost o zařazení na whitelist, ale to bude nějakou dobu trvat. Kontroloval jsem přístupové údaje pro všech 5 účtů, které byly blokací zasaženy, a všechny mají správné přihlašovací údaje (vždy je to jméno a heslo). Je ale možné, že přes stejný proxy server (a IP adresu) přistupují i jiné aplikace, o kterých nevím. Je možné zjistit důvod, co bylo příčinou blokace IP adresy? Na naší straně nevidím nic, co by blokaci mohlo způsobit.

Děkuji. S pozdravem

Filip Jirsák