Ricerca di indirizzi IP per siti di social network

Come faccio a scoprire un'azienda come gli indirizzi IP di Facebook. Sto cercando di bloccare Facebook sul lavoro e ho delle difficoltà con HTTPs e il blocco degli URL. Ogni volta che blocco un IP di Facebook, sembrano comparire altri.

Esiste un modo semplice per scoprire tutti gli IP utilizzati da Facebook, Myspace, Snapchat ecc.?

Esiste un modo semplice per scoprire tutti gli IP utilizzati da Facebook, Myspace, Snapchat ecc.?

Usando Facebook come esempio ... Controlliamo la loro larghezza di banda ad una piccola parte del nostro totale direttamente sul nostro ASA (perché un altro gruppo dell'azienda possiede il proxy web).

Di solito cerco l'ASN dell'azienda (Facebook è 32934), quindi vado a http://as.robtex.com/as32934.html#bgptrovare i loro prefissi.

Da quell'elenco, creo un gruppo di oggetti Cisco ASA, che posso usare per classificare il traffico ... Questo è quello che sto usando ora ... Facebook viene limitato a una piccola quantità di larghezza di banda ... Funziona molto bene.

Di tanto in tanto, dovrai tornare indietro e controllare robtex AS-info per vedere se hanno aggiunto o rimosso prefissi. Di solito cerco di prendere il blocco aggregato più grande che hanno, anche se stanno solo annunciando blocchi più piccoli da quell'aggregato più grande.

object-group AS32934_Facebook
 network-object 31.13.24.0 255.255.248.0
 network-object 31.13.64.0 255.255.192.0
 network-object 66.220.144.0 255.255.240.0
 network-object 69.63.176.0 255.255.240.0
 network-object 69.171.224.0 255.255.224.0
 network-object 74.119.76.0 255.255.252.0
 network-object 103.4.96.0 255.255.252.0
 network-object 173.252.64.0 255.255.192.0
 network-object 204.15.20.0 255.255.252.0

Il codice Python che uso per generare l'elenco è banale ...

from ipaddr import IPv4Network, CollapseAddrList

fb_nets = list()
with open('facebook_nets.txt') as fh:
    for line in fh:
        net = IPv4Network(line.strip())
        fb_nets.append(net)

print "object-group AS32934_Facebook"
for net in sorted(CollapseAddrList(fb_nets)):
    print " network-object %s %s" % (net.network, net.netmask)

Il codice presuppone che tu abbia inserito tutti i loro prefissi in un file di testo chiamato "facebook_nets.txt", con un prefisso per riga ...

(py26_dfl)[mpenning@Bucksnort ~]$ head facebook_nets.txt
31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
(py26_dfl)[mpenning@Bucksnort ~]$

In realtà il mio copione automaticamente elimina le informazioni ogni settimana, ma questa è una versione semplificata.

Esistono diversi modi per trovare gli intervalli IP delle principali organizzazioni come Facebook. Il più semplice di questi, è quello di aprire la riga di comando / terminale di scelta e lanciare il comando: nslookup facebook.com.

Questo ti dà l'indirizzo IP associato a quel nome DNS; in questo caso, è 173.252.110.27stata la risposta dal mio server DNS.

Quindi esegui una ricerca "whois" per quell'indirizzo IP (puoi andare su Whois.net se non hai uno strumento whois nella tua riga di comando):whois 173.252.110.27

L'output rilevante in questo caso è:

NetRange:       173.252.64.0 - 173.252.127.255
CIDR:           173.252.64.0/18
OriginAS:       AS32934
NetName:        FACEBOOK-INC

A Facebook è stato assegnato l'intero blocco / 18 di 173.252.64.0/18, quindi usa semplicemente quell'intervallo per il tuo ACL.

Nota: tutto ciò dichiarato, il blocco tramite IP può diventare ingombrante molto rapidamente ed è altamente inefficace in molti casi. Le organizzazioni delle dimensioni di Facebook aggiungeranno costantemente nuovo spazio IP, che sarà al di fuori della tua gamma filtrata.

Alcuni siti potrebbero passare all'utilizzo di un nuovo CDN , che ovviamente utilizzerà anche uno spazio IP diverso.

Se riscontri problemi specifici con il tuo HTTPS e il blocco degli URL, a seconda dell'attrezzatura, potresti chiedere in un'altra domanda assistenza su tali problemi specifici. Le risposte potrebbero aiutarti meglio a bloccare l'accesso a questi siti.

Per bloccare un sito Web inaccettabile, normalmente si utilizza un server proxy o un firewall con filtro Web. O costringendo tutti a utilizzare il proxy e bloccando il normale accesso al Web o utilizzare un firewall e bloccare gli URL offensivi. L'uso degli indirizzi IP non è mai una buona opzione per i siti Web poiché questi indirizzi possono cambiare molto spesso per i siti di grandi dimensioni (quando passano a / da CDN, quando aggiungono un altro cluster più vicino alla tua posizione, ecc.).

Scoprire tutti gli indirizzi IP utilizzati da un grande sito Web è molto difficile con grandi giocatori come Facebook e Google. Inoltre ci sono molti servizi che possono essere usati come proxy per accedere a questi siti nonostante tu blocchi l'IP.

Sto usando NBAR per limitare Facebook, ma puoi modificarlo per bloccare. Funzionerà solo su richieste HTTP in chiaro che bloccano efficacemente qualcuno che inserisce l'indirizzo nel browser prima che possa avvenire un reindirizzamento a HTTPS. I segnalibri SSL (TLS) su FB andrebbero persi.

Potresti anche guardare al nuovo ASA-X CX (sicurezza consapevole del contesto) che dovrebbe essere in grado di gestirlo, anche se non l'ho ancora distribuito.

class-map match-any facebook-not4you
 corrispondenza protocollo host http "* facebook.com"  
 corrispondenza protocollo host http "* fbcdn.net" 
!
mappa delle politiche badfacebookbad
  classe facebook-not4you
    far cadere
!
interfaccia Gi0 / 1
  output della politica di servizio badfacebookbad

Al tuo posto, se avessi la possibilità di spendere qualche soldo, metterei una scatola UTM tra il tuo gateway e la tua LAN.

Ad esempio, è estremamente facile impostare un firewall FortiGate in modalità trasparente (funzionando come un bridge ethernet) e eliminare tutte le richieste Web destinate alla categoria di siti "Social Networking".