Recherche d'adresses IP pour les sites de réseaux sociaux

14

Comment puis-je trouver une entreprise comme les adresses IP de Facebook? J'essaie de bloquer Facebook au travail et j'ai des difficultés avec le HTTP et le blocage d'URL. Chaque fois que je bloque une adresse IP Facebook, il semble que plus de messages apparaissent.

Existe-t-il un moyen simple de découvrir toutes les adresses IP utilisées par Facebook, Myspace, Snapchat, etc.?

pjf
la source
Je suis entièrement d'accord avec l'approche de Sebastian sur le blocage de l'URL au lieu des blocs d'adresse IP. Il existe également de nombreux logiciels clients qui pourraient être utilisés pour bloquer les URL des sites de réseaux sociaux. J'utilise personnellement Mcaffee pour ce faire et cela fonctionne comme un charme.
ahtesham quraishi

Réponses:

10

Existe-t-il un moyen simple de découvrir toutes les adresses IP utilisées par Facebook, Myspace, Snapchat, etc.?

En utilisant Facebook comme exemple ... Nous contrôlons leur bande passante à une petite fraction de notre total directement sur notre ASA (car un autre groupe de l'entreprise possède le proxy Web).

Je recherche normalement l'ASN de l'entreprise (Facebook est 32934), puis je vais http://as.robtex.com/as32934.html#bgpchercher leurs préfixes.

À partir de cette liste, je crée un groupe d'objets Cisco ASA, que je peux utiliser pour classer le trafic ... C'est ce que j'utilise maintenant ... Facebook est limité à une petite quantité de bande passante ... Cela fonctionne très bien.

De temps en temps, vous devrez revenir en arrière et vérifier robtex AS-info pour voir s'ils ont ajouté ou supprimé des préfixes. J'essaie généralement de prendre le plus grand bloc d'agrégats qu'ils ont, même s'ils n'annoncent que des blocs plus petits à partir de ce plus grand agrégat.

object-group AS32934_Facebook
 network-object 31.13.24.0 255.255.248.0
 network-object 31.13.64.0 255.255.192.0
 network-object 66.220.144.0 255.255.240.0
 network-object 69.63.176.0 255.255.240.0
 network-object 69.171.224.0 255.255.224.0
 network-object 74.119.76.0 255.255.252.0
 network-object 103.4.96.0 255.255.252.0
 network-object 173.252.64.0 255.255.192.0
 network-object 204.15.20.0 255.255.252.0

Le code python que j'utilise pour générer la liste est trivial ...

from ipaddr import IPv4Network, CollapseAddrList

fb_nets = list()
with open('facebook_nets.txt') as fh:
    for line in fh:
        net = IPv4Network(line.strip())
        fb_nets.append(net)

print "object-group AS32934_Facebook"
for net in sorted(CollapseAddrList(fb_nets)):
    print " network-object %s %s" % (net.network, net.netmask)

Le code suppose que vous mettez tous leurs préfixes dans un fichier texte appelé "facebook_nets.txt", avec un préfixe par ligne ...

(py26_dfl)[mpenning@Bucksnort ~]$ head facebook_nets.txt
31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
(py26_dfl)[mpenning@Bucksnort ~]$

En fait, mon script gratte automatiquement les informations chaque semaine, mais il s'agit d'une version simplifiée.

Mike Pennington
la source
13

Il existe plusieurs façons de trouver les plages IP des principales organisations telles que Facebook. Le plus fondamental d' entre eux, est d'ouvrir votre ligne de terminal / commande de choix et la commande: nslookup facebook.com.

Cela vous donne l'adresse IP associée à ce nom DNS; dans ce cas, 173.252.110.27était la réponse de mon serveur DNS.

Exécutez ensuite une recherche "whois" pour cette adresse IP (vous pouvez aller sur Whois.net si vous n'avez pas d'outil whois dans votre ligne de commande):whois 173.252.110.27

La sortie pertinente dans ce cas est:

NetRange:       173.252.64.0 - 173.252.127.255
CIDR:           173.252.64.0/18
OriginAS:       AS32934
NetName:        FACEBOOK-INC

Facebook a été affecté à l'ensemble du bloc / 18 173.252.64.0/18, alors utilisez simplement cette plage pour votre ACL.


Remarque: Compte tenu de tout cela, le blocage par IP peut devenir très lourd et très inefficace dans de nombreux cas. Les organisations de la taille de Facebook ajouteront constamment de nouveaux espaces IP, qui seront en dehors de votre plage filtrée.

Certains sites peuvent changer pour utiliser un nouveau CDN , qui bien sûr utilisera également un espace IP différent.

Si vous rencontrez des problèmes spécifiques avec votre HTTPS et le blocage d'URL, en fonction de l'équipement, vous pouvez demander une autre question pour obtenir de l'aide sur ces problèmes spécifiques. Les réponses pourraient mieux vous aider à bloquer l'accès à ces sites.

Brett Lykins
la source
Merci pour la réponse, cette liste est-elle exacte? bgp.he.net/AS32934#_prefixes
pjf
@pjf, en un coup d'œil, il semble être précis. whoisles recherches, pour les quelques plages que j'ai repérées, répertorient Facebook comme organisation affectée. D'après mon expérience, le BGP Toolkit de HE fait un bon travail en fournissant des informations précises.
Brett Lykins
5

Pour bloquer un site Web inacceptable, vous devez normalement utiliser un serveur proxy ou un pare-feu de filtrage Web. Soit en forçant tout le monde à utiliser le proxy et en bloquant l'accès normal au Web, soit en utilisant un pare-feu et en bloquant les URL incriminées. L'utilisation d'adresses IP n'est jamais une bonne option pour les sites Web, car ces adresses peuvent changer très souvent pour les grands sites (lorsqu'ils basculent vers / depuis les CDN, lorsqu'ils ajoutent un autre cluster plus proche de votre emplacement, etc.).

Trouver toutes les adresses IP utilisées par un grand site Web est très difficile avec de grands acteurs comme Facebook et Google. Il existe également de nombreux services qui peuvent être utilisés comme proxy pour accéder à ces sites malgré le blocage de l'adresse IP.

Sebastian Wiesinger
la source
1

J'ai utilisé NBAR pour limiter Facebook, mais vous pouvez le modifier pour le bloquer. Cela ne fonctionnera que sur les requêtes HTTP en texte brut qui bloquent efficacement quelqu'un entrant l'adresse dans le navigateur avant qu'une redirection vers HTTPS puisse avoir lieu. Les signets SSL (TLS) vers FB seraient manqués.

Vous pouvez également regarder le nouvel ASA-X CX (sécurité contextuelle) qui devrait être en mesure de gérer cela, bien que je ne l'ai pas encore déployé.

class-map match-any facebook-not4you
 protocole de correspondance hôte http "* facebook.com"  
 protocole de correspondance hôte http "* fbcdn.net" 
!
carte-politique badfacebookbad
  classe facebook-not4you
    laissez tomber
!
interface Gi0 / 1
  sortie de la politique de service badfacebookbad
erreur générale de réseau
la source
1

À votre place, si j'avais la chance de dépenser de l'argent, je mettrais une boîte compatible UTM entre votre passerelle et votre LAN.

Par exemple, il est extrêmement facile de mettre un pare-feu FortiGate en mode transparent (fonctionnant comme un pont Ethernet) et de supprimer toutes les demandes Web destinées à la catégorie de sites "Réseaux sociaux".

Marco Marzetti
la source