Cortafuegos definido Rango de IP de Akamai [cerrado]

Navega tus respuestas
8

Con los peligros evidentes de abrir una amplia gama de ips, ¿alguien sabe cómo puedo obtener una fuente de rangos de IP para Akamai?

Cuando hablan con Akamai, dicen "no es posible", lo que me parece sorprendente.

Necesito un rango de direcciones IP que se servirían en EE. UU. / Texas / Arlington (área)

¿Pensado en cómo hacer esto? Parece que no puedo encontrar un "rango" o respuesta en las direcciones IP de los servidores de Akamai, y nuestro equipo de seguridad simplemente no puede autorizar el tráfico saliente.

Entonces, la pregunta es, ¿alguien ha abordado esto como un problema de seguridad? Mi único pensamiento es que mitigamos el riesgo mediante el uso de un servidor proxy para nuestra conexión de salida, lo que limitaría el posible vector de ataque de salida.

    
pregunta Jakub 09.07.2013 - 16:37
fuente

1 respuesta

11

Akamai Technologies, Inc. publica actualmente sus rangos de IP bajo estas 14 ASN s (limitando la lista a operaciones basadas en EE. UU. ):

AS36183 , AS35994 , AS35993 , AS30675 , < a href="http://bgp.he.net/AS23455"> AS23455 , AS23454 , AS22207 , AS20189 , AS18717 , AS18680 , AS17334 , AS16702 , AS16625 , AS12222

La lista de rangos de IP se encuentra en miles (aproximadamente 4000), por lo que te sugiero que definas las reglas de firewall basadas en invierta las búsquedas de DNS , si eso es posible en su equipo, o compile una lista de importación utilizando el enfoque que describo en la respuesta a la pregunta " ¿Cómo obtener información sobre la compañía, los sitios que son propiedad de la compañía, etc.? " .

El problema es que estos ASN y rangos de IP pueden cambiar constantemente, y tendrás que mantener tu lista actualizada regularmente.

Alternativamente, puede extraer solo los rangos de IP (IPv4 y / o IPv6) publicados bajo el ASN al que está asignada su red, con suerte limitando esa lista a un número de rangos más manejable.

Editar para agregar : Usted dice en los comentarios a su pregunta que rDNS está fuera de la cuestión por ser inseguro. Es muy acertado con eso, ya que estos registros con los que se está verificando una búsqueda DNS inversa pueden ser fácilmente falsificados. Hay una forma de verificar esto, sin embargo, esto podría significar que también es posible automatizar los filtros de su cortafuegos sin tener que recurrir a listas de IP increíblemente largas: Búsqueda de DNS inversa confirmada hacia adelante .

No sabría si su dispositivo de firewall es realmente capaz de hacer esta verificación, por lo que podría ser un no-go, pero si lo hace, lo que hará es tomar la IP del cliente que se está conectando, hacer una reversa Busque en DNS y luego consulte el nombre DNS devuelto en los registros A o AAAA . Si la lista devuelta incluye la IP del cliente, entonces el FCrDNS tuvo éxito, de lo contrario no lo fue. Consulte esta pregunta mía para obtener una explicación más detallada sobre cómo se puede usar este FCrDNS y para qué sirve.

    
respondido por el TildalWave 09.07.2013 - 17:03
fuente

Lea otras preguntas en las etiquetas

¿Es posible regenerar mi clave privada (SSL)? ¿Por qué los sistemas integrados almacenan el certificado público del servidor en la ROM?