Encontrar direcciones IP para sitios de redes sociales

¿Cómo puedo encontrar una empresa como las direcciones IP de Facebook? Estoy tratando de bloquear Facebook en el trabajo y tengo algunas dificultades con HTTPs y el bloqueo de URL. Cada vez que bloqueo una IP de Facebook, parecen aparecer más.

¿Hay alguna manera fácil de averiguar todas las IP que usa Facebook, Myspace, Snapchat, etc.?

¿Hay alguna manera fácil de averiguar todas las IP que usa Facebook, Myspace, Snapchat, etc.?

Usando Facebook como ejemplo ... Controlamos su ancho de banda a una pequeña fracción de nuestro total directamente en nuestro ASA (porque otro grupo de la compañía posee el proxy web).

Normalmente busco el ASN de la empresa (Facebook es 32934), luego voy http://as.robtex.com/as32934.html#bgpy encuentro sus prefijos.

A partir de esa lista, construyo un grupo de objetos ASA de Cisco, que puedo usar para clasificar el tráfico ... Esto es lo que estoy usando ahora ... Facebook se limita a una pequeña cantidad de ancho de banda ... Funciona muy bien.

De vez en cuando, tendrá que regresar y verificar la información AS de robtex para ver si han agregado o eliminado prefijos. Por lo general, trato de tomar el bloque agregado más grande que tienen, incluso si solo anuncian bloques más pequeños de ese agregado más grande.

object-group AS32934_Facebook
 network-object 31.13.24.0 255.255.248.0
 network-object 31.13.64.0 255.255.192.0
 network-object 66.220.144.0 255.255.240.0
 network-object 69.63.176.0 255.255.240.0
 network-object 69.171.224.0 255.255.224.0
 network-object 74.119.76.0 255.255.252.0
 network-object 103.4.96.0 255.255.252.0
 network-object 173.252.64.0 255.255.192.0
 network-object 204.15.20.0 255.255.252.0

El código de Python que uso para generar la lista es trivial ...

from ipaddr import IPv4Network, CollapseAddrList

fb_nets = list()
with open('facebook_nets.txt') as fh:
    for line in fh:
        net = IPv4Network(line.strip())
        fb_nets.append(net)

print "object-group AS32934_Facebook"
for net in sorted(CollapseAddrList(fb_nets)):
    print " network-object %s %s" % (net.network, net.netmask)

El código asume que coloca todos sus prefijos en un archivo de texto llamado "facebook_nets.txt", con un prefijo por línea ...

(py26_dfl)[mpenning@Bucksnort ~]$ head facebook_nets.txt
31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
(py26_dfl)[mpenning@Bucksnort ~]$

En realidad, mi script raspa automáticamente la información cada semana, pero esta es una versión simplificada.

Hay varias formas de encontrar los rangos de IP de las principales organizaciones, como Facebook. El más básico de estos, es abrir la línea de comandos / Terminal de elección y emitir el comando: nslookup facebook.com.

Esto le proporciona la dirección IP asociada a ese nombre DNS; en este caso, 173.252.110.27fue la respuesta de mi servidor DNS.

Luego ejecute una búsqueda "whois" para esa dirección IP (puede ir a Whois.net si no tiene una herramienta whois en su línea de comando):whois 173.252.110.27

El resultado relevante en este caso es:

NetRange:       173.252.64.0 - 173.252.127.255
CIDR:           173.252.64.0/18
OriginAS:       AS32934
NetName:        FACEBOOK-INC

A Facebook se le ha asignado todo el bloque / 18 173.252.64.0/18, así que simplemente use ese rango para su ACL.

Nota: Con todo lo dicho, el bloqueo por IP puede volverse engorroso muy rápidamente y en muchos casos es altamente ineficaz. Las organizaciones del tamaño de Facebook constantemente agregarán nuevo espacio de IP, que estará fuera de su rango filtrado.

Algunos sitios pueden cambiar para usar un nuevo CDN , que por supuesto también usará un espacio IP diferente.

Si tiene problemas específicos con su HTTPS y el bloqueo de URL, dependiendo del equipo, puede pedir en otra pregunta asistencia sobre esos problemas específicos. Las respuestas podrían ayudarlo a bloquear el acceso a estos sitios.

Para bloquear un sitio web inaceptable, normalmente usaría un servidor proxy o un firewall de filtrado web. O forzando a todos a usar el proxy y bloqueando el acceso normal a la web o usando un firewall y bloqueando las URL ofensivas. El uso de direcciones IP nunca es una buena opción para los sitios web, ya que estas direcciones pueden cambiar muy a menudo para sitios grandes (cuando cambian a / desde CDN, cuando agregan otro clúster que está más cerca de su ubicación, etc.).

Encontrar todas las direcciones IP que usa un gran sitio web es muy difícil con grandes jugadores como Facebook y Google. También hay muchos servicios que se pueden usar como proxy para acceder a estos sitios a pesar de que bloquee la IP.

He estado usando NBAR para estrangular Facebook, pero puedes modificarlo para bloquear. Esto solo funcionará en solicitudes HTTP de texto sin formato que efectivamente bloquea a alguien que ingresa la dirección en el navegador antes de que se pueda redirigir a HTTPS. Se perderían los marcadores SSL (TLS) para FB.

También podría mirar el nuevo ASA-X CX (seguridad consciente del contexto) que debería ser capaz de manejar esto, aunque todavía no lo he implementado.

class-map match-any facebook-not4you
 protocolo de coincidencia host http "* facebook.com"  
 protocolo de coincidencia http host "* fbcdn.net" 
!
mapa de políticas badfacebookbad
  clase facebook-not4you
    soltar
!
interfaz Gi0 / 1
  salida de política de servicio badfacebookbad

En su lugar, si tuviera la oportunidad de gastar algo de dinero, pondría una caja compatible con UTM entre su puerta de enlace y su LAN.

Por ejemplo, es extremadamente fácil poner un firewall FortiGate en modo transparente (funciona como un puente de ethernet) y descartar todas las solicitudes web destinadas a la categoría de sitios de "Redes sociales".