Localizando endereços IP para sites de redes sociais

14

Como descubro uma empresa como os endereços IP do facebook. Estou tentando bloquear o facebook no trabalho e estou tendo algumas dificuldades com HTTPs e bloqueio de URL. Toda vez que eu bloqueio um IP do Facebook, mais parecem aparecer.

Existe alguma maneira fácil de descobrir todos os IPs que o Facebook, Myspace, Snapchat etc. usam?

pjf
fonte
Concordo plenamente com a abordagem de Sebastian em bloquear a URL em vez dos blocos de endereços IP. Também existem muitos softwares clientes que podem ser usados ​​para bloquear os URLs dos sites de redes sociais. Eu pessoalmente uso o Mcaffee para fazer isso e funciona como um encanto.
ahtesham Quraishi

Respostas:

10

Existe alguma maneira fácil de descobrir todos os IPs que o Facebook, Myspace, Snapchat etc. usam?

Usando o Facebook como exemplo ... Nós policiamos a largura de banda de uma pequena fração do total diretamente no nosso ASA (porque outro grupo da empresa possui o proxy da Web).

Eu normalmente procuro o ASN da empresa (o Facebook é 32934), depois vou http://as.robtex.com/as32934.html#bgpe encontro seus prefixos.

A partir dessa lista, construo um grupo de objetos Cisco ASA, que posso usar para classificar o tráfego ... É isso que estou usando agora ... O Facebook é acelerado para uma pequena quantidade de largura de banda ... Funciona muito bem.

De vez em quando, você precisa voltar e verificar as informações AS do robtex para ver se adicionaram ou removeram prefixos. Eu geralmente tento pegar o maior bloco agregado que eles têm, mesmo que eles estejam apenas anunciando blocos menores desse agregado maior.

object-group AS32934_Facebook
 network-object 31.13.24.0 255.255.248.0
 network-object 31.13.64.0 255.255.192.0
 network-object 66.220.144.0 255.255.240.0
 network-object 69.63.176.0 255.255.240.0
 network-object 69.171.224.0 255.255.224.0
 network-object 74.119.76.0 255.255.252.0
 network-object 103.4.96.0 255.255.252.0
 network-object 173.252.64.0 255.255.192.0
 network-object 204.15.20.0 255.255.252.0

O código python que eu uso para gerar a lista é trivial ...

from ipaddr import IPv4Network, CollapseAddrList

fb_nets = list()
with open('facebook_nets.txt') as fh:
    for line in fh:
        net = IPv4Network(line.strip())
        fb_nets.append(net)

print "object-group AS32934_Facebook"
for net in sorted(CollapseAddrList(fb_nets)):
    print " network-object %s %s" % (net.network, net.netmask)

O código pressupõe que você coloque todos os seus prefixos em um arquivo de texto chamado "facebook_nets.txt", com um prefixo por linha ...

(py26_dfl)[mpenning@Bucksnort ~]$ head facebook_nets.txt
31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
(py26_dfl)[mpenning@Bucksnort ~]$

Na verdade, meu script raspa automaticamente as informações todas as semanas, mas essa é uma versão simplificada.

Mike Pennington
fonte
13

Existem várias maneiras de encontrar os intervalos de IP de grandes organizações como o Facebook. O mais básico destes, é abrir a linha de comandos / terminal da escolha e emitir o comando: nslookup facebook.com.

Isso fornece o endereço IP associado a esse nome DNS; nesse caso, 173.252.110.27foi a resposta do meu servidor DNS.

Em seguida, execute uma pesquisa "whois" para esse endereço IP (você pode acessar o Whois.net se não tiver uma ferramenta whois em sua linha de comando):whois 173.252.110.27

A saída relevante neste caso é:

NetRange:       173.252.64.0 - 173.252.127.255
CIDR:           173.252.64.0/18
OriginAS:       AS32934
NetName:        FACEBOOK-INC

O Facebook recebeu o bloco inteiro / 18 173.252.64.0/18, portanto, basta usar esse intervalo para sua ACL.


Nota: Com tudo isso declarado, o bloqueio por IP pode se tornar complicado muito rapidamente e, em muitos casos, é altamente ineficaz. As organizações do tamanho do Facebook constantemente adicionam novo espaço IP, que estará fora do seu alcance filtrado.

Alguns sites podem mudar para o uso de uma nova CDN , que obviamente também usará um espaço IP diferente.

Se estiver tendo problemas específicos com o bloqueio de HTTPS e URL, dependendo do equipamento, você poderá fazer outra pergunta para obter ajuda sobre esses problemas específicos. As respostas podem ajudá-lo melhor a bloquear o acesso a esses sites.

Brett Lykins
fonte
Obrigado pela revisão, esta lista é precisa? bgp.he.net/AS32934#_prefixes
pjf
@pjf, à primeira vista, parece ser preciso. whoisas pesquisas, para os poucos intervalos que localizo, listam o Facebook como a organização designada. Na minha experiência, o BGP Toolkit da HE faz um bom trabalho em fornecer informações precisas.
Brett Lykins
5

Para bloquear um site inaceitável, você normalmente usaria um servidor proxy ou um firewall de filtragem da web. Forçando todos a usar o proxy e bloqueando o acesso normal à Web ou usando um firewall e bloqueando os URLs ofensivos. O uso de endereços IP nunca é uma boa opção para sites, pois esses endereços podem ser alterados frequentemente para sites grandes (quando alternam para / de CDNs, quando adicionam outro cluster mais próximo da sua localização, etc.).

Descobrir todos os endereços IP que um grande site usa é muito difícil para grandes players como o Facebook e o Google. Além disso, existem muitos serviços que podem ser usados ​​como proxy para acessar esses sites, apesar de você bloquear o IP.

Sebastian Wiesinger
fonte
1

Estou usando o NBAR para acelerar o Facebook, mas você pode ajustá-lo para bloquear. Isso funcionará apenas em solicitações HTTP em texto sem formatação que bloqueiam efetivamente alguém digitando o endereço no navegador antes que um redirecionamento para HTTPS possa ocorrer. Os marcadores SSL (TLS) para FB seriam perdidos.

Você também pode examinar o novo ASA-X CX (segurança com conhecimento de contexto) que deve ser capaz de lidar com isso, embora eu ainda não o tenha implantado.

mapa da classe corresponde a qualquer facebook-not4you
 protocolo de correspondência http host "* facebook.com"  
 protocolo de correspondência http host "* fbcdn.net" 
!
policy-map badfacebookbad
  classe facebook-not4you
    solta
!
interface Gi0 / 1
  saída da política de serviço badfacebookbad
generalnetworkerror
fonte
1

Em seu lugar, se eu tivesse a chance de gastar alguns dinheiros, colocaria uma caixa compatível com UTM entre seu gateway e sua LAN.

Por exemplo, é extremamente fácil colocar um firewall FortiGate no modo transparente (funcionando como uma ponte ethernet) e eliminar todas as solicitações da Web destinadas à categoria de sites "Redes sociais".

Marco Marzetti
fonte