Как я могу узнать компанию, как IP-адреса Facebook. Я пытаюсь заблокировать Facebook на работе и испытываю трудности с HTTP и URL. Каждый раз, когда я блокирую фейсбук, IP все больше всплывает.
Есть ли простой способ узнать все IP-адреса, которые используют Facebook, Myspace, Snapchat и т. Д.?
Ответы:
Используя Facebook в качестве примера ... Мы контролируем их пропускную способность для небольшой части нашего общего количества непосредственно на нашем ASA (потому что другой группе в компании принадлежит веб-прокси).
Я обычно ищу ASN компании (Facebook - 32934), затем я иду
http://as.robtex.com/as32934.html#bgp
и нахожу их префиксы.Из этого списка я создаю группу объектов Cisco ASA, которую я могу использовать для классификации трафика ... Это то, что я использую сейчас ... Facebook ограничен небольшой пропускной способностью ... Это работает очень хорошо.
Время от времени вам придется возвращаться и проверять AS-информацию о Robtex, чтобы увидеть, добавили или удалили они префиксы. Я обычно пытаюсь взять самый большой блок агрегатов, который у них есть, даже если они объявляют только меньшие блоки из этого большего агрегата.
Код Python, который я использую для создания списка, тривиален ...
Код предполагает, что вы поместили все их префиксы в текстовый файл с именем "facebook_nets.txt", с одним префиксом на строку ...
На самом деле мой сценарий автоматически еженедельно обрабатывает информацию, но это упрощенная версия.
источник
Есть несколько способов найти диапазоны IP-адресов крупных организаций, таких как Facebook. Самый основные из них, это открыть вашу терминальную команду / строку выбора и выполнить команду:
nslookup facebook.com
.Это дает вам связанный IP-адрес с этим DNS-именем; в этом случае
173.252.110.27
был ответ от моего DNS сервера.Затем запустите поиск «whois» для этого IP-адреса (вы можете перейти на Whois.net, если у вас нет утилиты whois в командной строке):
whois 173.252.110.27
Соответствующий вывод в этом случае:
Facebook был назначен весь блок / 18
173.252.64.0/18
, поэтому просто используйте этот диапазон для своего ACL.Примечание. С учетом всего вышесказанного блокирование по IP может очень быстро обременительно и во многих случаях крайне неэффективно. Организации размером с Facebook будут постоянно добавлять новое IP-пространство, которое будет находиться за пределами вашего фильтруемого диапазона.
Некоторые сайты могут перейти на использование новой CDN , которая, конечно, также будет использовать другое пространство IP.
Если у вас есть конкретные проблемы с вашим HTTPS и блокировкой URL, в зависимости от оборудования, вы можете задать другой вопрос для помощи по этим конкретным проблемам. Ответы могут помочь вам заблокировать доступ к этим сайтам.
источник
whois
Поиски, для тех немногих диапазонов, которые я определил, отметили список Facebook в качестве назначенной организации. По моему опыту , BGP Toolkit от HE делает хорошую работу по предоставлению точной информации.Чтобы заблокировать неприемлемый веб-сайт, вы обычно используете прокси-сервер или брандмауэр веб-фильтрации. Либо заставляя всех использовать прокси-сервер и блокировать обычный доступ к Интернету, либо используйте брандмауэр и блокируйте URL-адреса, вызывающие проблемы. Использование IP-адресов никогда не является хорошим вариантом для веб-сайтов, поскольку эти адреса могут очень часто изменяться для больших сайтов (когда они переключаются на / из CDN, когда они добавляют другой кластер, который находится ближе к вашему местоположению, и т. Д.).
Выяснить все IP-адреса, которые использует большой веб-сайт, очень сложно с такими крупными игроками, как Facebook и Google. Также есть много сервисов, которые можно использовать в качестве прокси для доступа к этим сайтам, несмотря на то, что вы блокируете IP.
источник
Я использовал NBAR для регулирования Facebook, но вы можете настроить его, чтобы заблокировать. Это будет работать только с обычными текстовыми HTTP-запросами, которые эффективно блокируют ввод адреса в браузере до того, как произойдет перенаправление на HTTPS. Закладки SSL (TLS) для FB будут пропущены.
Вы также можете взглянуть на новую ASA-X CX (Context Aware Security), которая должна справиться с этим, хотя я еще не развернул ее.
источник
На вашем месте, если бы у меня была возможность потратить несколько денег, я бы поставил UTM-совместимый блок между вашим шлюзом и вашей локальной сетью.
Например, чрезвычайно легко перевести брандмауэр FortiGate в прозрачный режим (работающий как мост Ethernet) и отбросить все веб-запросы, предназначенные для категории сайтов социальных сетей.
источник