Como descubro uma empresa como os endereços IP do facebook. Estou tentando bloquear o facebook no trabalho e estou tendo algumas dificuldades com HTTPs e bloqueio de URL. Toda vez que eu bloqueio um IP do Facebook, mais parecem aparecer.
Existe alguma maneira fácil de descobrir todos os IPs que o Facebook, Myspace, Snapchat etc. usam?
Respostas:
Usando o Facebook como exemplo ... Nós policiamos a largura de banda de uma pequena fração do total diretamente no nosso ASA (porque outro grupo da empresa possui o proxy da Web).
Eu normalmente procuro o ASN da empresa (o Facebook é 32934), depois vou
http://as.robtex.com/as32934.html#bgp
e encontro seus prefixos.A partir dessa lista, construo um grupo de objetos Cisco ASA, que posso usar para classificar o tráfego ... É isso que estou usando agora ... O Facebook é acelerado para uma pequena quantidade de largura de banda ... Funciona muito bem.
De vez em quando, você precisa voltar e verificar as informações AS do robtex para ver se adicionaram ou removeram prefixos. Eu geralmente tento pegar o maior bloco agregado que eles têm, mesmo que eles estejam apenas anunciando blocos menores desse agregado maior.
O código python que eu uso para gerar a lista é trivial ...
O código pressupõe que você coloque todos os seus prefixos em um arquivo de texto chamado "facebook_nets.txt", com um prefixo por linha ...
Na verdade, meu script raspa automaticamente as informações todas as semanas, mas essa é uma versão simplificada.
fonte
Existem várias maneiras de encontrar os intervalos de IP de grandes organizações como o Facebook. O mais básico destes, é abrir a linha de comandos / terminal da escolha e emitir o comando:
nslookup facebook.com
.Isso fornece o endereço IP associado a esse nome DNS; nesse caso,
173.252.110.27
foi a resposta do meu servidor DNS.Em seguida, execute uma pesquisa "whois" para esse endereço IP (você pode acessar o Whois.net se não tiver uma ferramenta whois em sua linha de comando):
whois 173.252.110.27
A saída relevante neste caso é:
O Facebook recebeu o bloco inteiro / 18
173.252.64.0/18
, portanto, basta usar esse intervalo para sua ACL.Nota: Com tudo isso declarado, o bloqueio por IP pode se tornar complicado muito rapidamente e, em muitos casos, é altamente ineficaz. As organizações do tamanho do Facebook constantemente adicionam novo espaço IP, que estará fora do seu alcance filtrado.
Alguns sites podem mudar para o uso de uma nova CDN , que obviamente também usará um espaço IP diferente.
Se estiver tendo problemas específicos com o bloqueio de HTTPS e URL, dependendo do equipamento, você poderá fazer outra pergunta para obter ajuda sobre esses problemas específicos. As respostas podem ajudá-lo melhor a bloquear o acesso a esses sites.
fonte
whois
as pesquisas, para os poucos intervalos que localizo, listam o Facebook como a organização designada. Na minha experiência, o BGP Toolkit da HE faz um bom trabalho em fornecer informações precisas.Para bloquear um site inaceitável, você normalmente usaria um servidor proxy ou um firewall de filtragem da web. Forçando todos a usar o proxy e bloqueando o acesso normal à Web ou usando um firewall e bloqueando os URLs ofensivos. O uso de endereços IP nunca é uma boa opção para sites, pois esses endereços podem ser alterados frequentemente para sites grandes (quando alternam para / de CDNs, quando adicionam outro cluster mais próximo da sua localização, etc.).
Descobrir todos os endereços IP que um grande site usa é muito difícil para grandes players como o Facebook e o Google. Além disso, existem muitos serviços que podem ser usados como proxy para acessar esses sites, apesar de você bloquear o IP.
fonte
Estou usando o NBAR para acelerar o Facebook, mas você pode ajustá-lo para bloquear. Isso funcionará apenas em solicitações HTTP em texto sem formatação que bloqueiam efetivamente alguém digitando o endereço no navegador antes que um redirecionamento para HTTPS possa ocorrer. Os marcadores SSL (TLS) para FB seriam perdidos.
Você também pode examinar o novo ASA-X CX (segurança com conhecimento de contexto) que deve ser capaz de lidar com isso, embora eu ainda não o tenha implantado.
fonte
Em seu lugar, se eu tivesse a chance de gastar alguns dinheiros, colocaria uma caixa compatível com UTM entre seu gateway e sua LAN.
Por exemplo, é extremamente fácil colocar um firewall FortiGate no modo transparente (funcionando como uma ponte ethernet) e eliminar todas as solicitações da Web destinadas à categoria de sites "Redes sociais".
fonte