Znajdowanie adresów IP dla serwisów społecznościowych

14

Jak znaleźć firmę taką jak adresy IP Facebooka. Próbuję zablokować Facebooka w pracy i mam pewne problemy z HTTP i blokowaniem adresów URL. Za każdym razem, gdy blokuję adres IP na Facebooku, pojawia się więcej.

Czy jest jakiś prosty sposób na sprawdzenie wszystkich adresów IP używanych przez Facebooka, Myspace, Snapchata itp.?

pjf
źródło
Całkowicie zgadzam się z podejściem Sebastiana do blokowania adresu URL zamiast bloków adresów IP. Istnieje również wiele programów klienckich, które można wykorzystać do blokowania adresów URL serwisów społecznościowych. Ja osobiście używam do tego Mcaffee i działa to jak urok.
ahtesham quraishi

Odpowiedzi:

10

Czy jest jakiś prosty sposób na sprawdzenie wszystkich adresów IP używanych przez Facebooka, Myspace, Snapchata itp.?

Korzystając z Facebooka jako przykładu ... Kontrolujemy ich przepustowość do niewielkiej części naszej całkowitej kwoty bezpośrednio na naszej ASA (ponieważ inna grupa w firmie jest właścicielem serwera proxy).

Zwykle sprawdzam ASN firmy (Facebook to 32934), a potem szukam http://as.robtex.com/as32934.html#bgpich prefiksów.

Z tej listy tworzę grupę obiektów Cisco ASA, której mogę używać do klasyfikowania ruchu ... Właśnie tego używam teraz ... Facebook zostaje ograniczony do małej przepustowości ... Działa bardzo dobrze.

Co jakiś czas będziesz musiał wrócić i sprawdzić robtex AS-info, aby zobaczyć, czy dodali lub usunęli prefiksy. Zwykle staram się wziąć największy blok agregacyjny, jaki mają, nawet jeśli ogłaszają tylko mniejsze bloki z tego większego agregatu.

object-group AS32934_Facebook
 network-object 31.13.24.0 255.255.248.0
 network-object 31.13.64.0 255.255.192.0
 network-object 66.220.144.0 255.255.240.0
 network-object 69.63.176.0 255.255.240.0
 network-object 69.171.224.0 255.255.224.0
 network-object 74.119.76.0 255.255.252.0
 network-object 103.4.96.0 255.255.252.0
 network-object 173.252.64.0 255.255.192.0
 network-object 204.15.20.0 255.255.252.0

Kod Pythona, którego używam do generowania listy, jest trywialny ...

from ipaddr import IPv4Network, CollapseAddrList

fb_nets = list()
with open('facebook_nets.txt') as fh:
    for line in fh:
        net = IPv4Network(line.strip())
        fb_nets.append(net)

print "object-group AS32934_Facebook"
for net in sorted(CollapseAddrList(fb_nets)):
    print " network-object %s %s" % (net.network, net.netmask)

Kod zakłada, że ​​umieściłeś wszystkie ich prefiksy w pliku tekstowym o nazwie „facebook_nets.txt”, z jednym prefiksem w wierszu ...

(py26_dfl)[mpenning@Bucksnort ~]$ head facebook_nets.txt
31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
(py26_dfl)[mpenning@Bucksnort ~]$

Właściwie mój skrypt automatycznie usuwa dane z sieci co tydzień, ale jest to wersja uproszczona.

Mike Pennington
źródło
13

Istnieje kilka sposobów, aby znaleźć zakresy adresów IP głównych organizacji, takich jak Facebook. Najbardziej podstawowym z nich jest otwarcie terminalu wiersza polecenia / wybór i wydać polecenie: nslookup facebook.com.

Daje to powiązany adres IP z tą nazwą DNS; w tym przypadku 173.252.110.27była odpowiedź z mojego serwera DNS.

Następnie uruchom wyszukiwanie „Whois” dla tego adresu IP (możesz przejść do Whois.net, jeśli nie masz narzędzia Whois w linii poleceń):whois 173.252.110.27

Odpowiedni wynik w tym przypadku to:

NetRange:       173.252.64.0 - 173.252.127.255
CIDR:           173.252.64.0/18
OriginAS:       AS32934
NetName:        FACEBOOK-INC

Facebook został przypisany do całego bloku / 18 173.252.64.0/18, więc po prostu użyj tego zakresu do swojej ACL.


Uwaga: Po tym wszystkim, blokowanie przez IP może bardzo szybko stać się kłopotliwe i w wielu przypadkach jest wysoce nieskuteczne. Organizacje wielkości Facebooka będą stale dodawać nową przestrzeń IP, która będzie poza twoim przefiltrowanym zakresem.

Niektóre strony mogą zmienić się na korzystanie z nowej sieci CDN , która oczywiście będzie również wykorzystywać inną przestrzeń IP.

Jeśli masz określone problemy z HTTPS i blokowaniem adresów URL, w zależności od sprzętu, możesz poprosić o kolejne pytanie, aby uzyskać pomoc w tych konkretnych problemach. Odpowiedzi mogą lepiej pomóc w blokowaniu dostępu do tych stron.

Brett Lykins
źródło
Dzięki za odpowiedź, czy ta lista jest dokładna? bgp.he.net/AS32934#_prefixes
pjf
@pjf na pierwszy rzut oka wydaje się być dokładny. whoiswyszukiwania, dla kilku zakresów, które sprawdziłem, podaj Facebooka jako przypisaną organizację. Z mojego doświadczenia wynika, że ​​HE BGP Toolkit dobrze podaje dokładne informacje.
Brett Lykins,
5

Aby zablokować niedopuszczalną witrynę, zwykle używasz serwera proxy lub zapory sieciowej. Albo zmuszając wszystkich do korzystania z serwera proxy i blokując normalny dostęp do sieci, albo zaporę ogniową i blokuj obrażające adresy URL. Używanie adresów IP nigdy nie jest dobrą opcją dla stron internetowych, ponieważ adresy te mogą się bardzo często zmieniać w przypadku dużych witryn (kiedy przechodzą do / z CDN, kiedy dodają inny klaster, który jest bliżej twojej lokalizacji itp.).

Znalezienie wszystkich adresów IP używanych przez dużą stronę internetową jest bardzo trudne w przypadku dużych graczy, takich jak Facebook i Google. Istnieje również wiele usług, które można wykorzystać jako serwer proxy do uzyskiwania dostępu do tych witryn, pomimo blokowania adresu IP.

Sebastian Wiesinger
źródło
1

Używam NBAR do dławienia Facebooka, ale możesz go ulepszyć, aby zablokować. Działa to tylko w przypadku zwykłych żądań HTTP, które skutecznie blokują wprowadzanie adresu w przeglądarce, zanim nastąpi przekierowanie do HTTPS. Zakładki SSL (TLS) do FB zostałyby pominięte.

Możesz także spojrzeć na nowy ASA-X CX (zabezpieczenia kontekstowe), który powinien być w stanie sobie z tym poradzić, chociaż jeszcze tego nie wdrożyłem.

class-map match-any facebook-not4you
 dopasuj protokół hosta http „* facebook.com”  
 dopasuj protokół HTTP hosta „* fbcdn.net” 
!
policy-map badfacebookbad
  klasa facebook-not4you
    upuszczać
!
interfejs Gi0 / 1
  wynik polityki usługowej badfacebookbad
generalnetworkerror
źródło
1

Na twoim miejscu, gdybym miał szansę wydać trochę pieniędzy, umieściłbym skrzynkę zdolną do UTM między twoją bramą a twoją siecią LAN.

Na przykład niezwykle łatwo jest ustawić zaporę FortiGate w trybie przezroczystym (działającym jak most Ethernet) i upuścić wszystkie żądania sieciowe skierowane do kategorii witryn „Sieci społecznościowe”.

Marco Marzetti
źródło