it-swarm-eu.dev

Gamma IP Akamai definita dal firewall

Con ovvi pericoli legati all'apertura di una vasta gamma di IP, qualcuno sa come posso ottenere una fonte di intervalli IP per Akamai?

Quando parlo con Akamai dicono "impossibile" che trovo sorprendente.

Ho bisogno di una gamma di IP che verrebbero offerti negli Stati Uniti/Texas/Arlington (area)

Hai pensato a come procedere? Non riesco a trovare un "intervallo" o una risposta sugli IP per i server Akamai e il nostro team di sicurezza non è in grado di autorizzare il traffico in uscita.

Quindi la domanda è: qualcuno ha affrontato questo problema di sicurezza? Il mio unico pensiero è mitigare il rischio utilizzando un server proxy per la nostra connessione in uscita, che limiterebbe il potenziale vettore di attacco in uscita.

11
Jakub

Akamai Technologies, Inc. attualmente pubblica i propri intervalli IP in questi 14 ASN s (limitando l'elenco alle operazioni con sede negli Stati Uniti):

AS3618 , AS35994 , AS3599 , AS30675 , AS23455 , AS23454 , AS22207 , AS20189 , AS18717 , AS1868 , AS17334 , - AS16702 , AS16625 , AS12222

L'elenco degli intervalli IP va in migliaia (circa 4000 di essi), quindi ti consiglio di definire le regole del firewall in base a ricerche DNS inverse , se possibile sulla tua attrezzatura, o compilare un elenco di importazione usando l'approccio che descrivo nella risposta alla domanda "Come ottenere informazioni sull'azienda, siti di proprietà dell'azienda ecc ...?".

Il problema è che questi ASN e intervalli IP potrebbero cambiare costantemente e dovrai mantenere aggiornato il tuo elenco su base regolare.

In alternativa, è possibile estrarre solo intervalli IP (IPv4 e/o IPv6) pubblicati sotto l'ASN a cui è assegnata la rete, sperando di limitare tale elenco a un numero più gestibile di intervalli.


Modifica per aggiungere : Nei commenti alla tua domanda dici che rDNS è fuori discussione per essere insicuro. Sei a posto con questo, poiché questi record che una ricerca DNS inversa su cui si sta verificando possono essere falsificati troppo facilmente. Esiste un modo per verificarlo, tuttavia ciò potrebbe significare che è anche possibile automatizzare i filtri del firewall senza ricorrere a elenchi di intervalli IP ridicolmente lunghi: Ricerca DNS inversa confermata in avanti .

Non saprei se la tua appliance firewall è effettivamente in grado di fare questo controllo, quindi potrebbe essere un no-go, ma se lo fa, ciò che farà sarà prendere l'IP del client che si sta connettendo, fare una ricerca DNS inversa e quindi interroga il nome DNS restituito rispetto ai record A o AAAA. Se l'elenco restituito include l'IP del client, FCrDNS ha avuto esito positivo, altrimenti non lo è stato. Vedi questa domanda il mio per una spiegazione un po 'più su come questo FCrDNS potrebbe essere usato e su cosa è buono.

14
TildalWave