web-dev-qa-db-fra.com

Plage IP définie par le pare-feu Akamai

Avec les dangers évidents d'ouvrir une large gamme d'ips, quelqu'un sait-il comment obtenir une source de plages IP pour Akamai?

En parlant à Akamai, ils disent "pas possible", ce que je trouve surprenant.

J'ai besoin d'une gamme d'adresses IP qui seraient desservies aux États-Unis/Texas/Arlington (région)

Vous avez réfléchi à la façon de procéder? Je n'arrive pas à trouver une "plage" ou une réponse sur les adresses IP des serveurs Akamai, et notre équipe de sécurité n'est tout simplement pas en mesure d'autoriser le trafic sortant.

La question est donc de savoir si quelqu'un a abordé ce problème comme un problème de sécurité? Ma seule pensée est que nous atténuions le risque en utilisant un serveur proxy pour notre connexion sortante, ce qui limiterait le vecteur d'attaque sortant potentiel.

11
Jakub

Akamai Technologies, Inc. publie actuellement ses plages IP sous ces 14 ASN s (limitant la liste aux opérations basées aux États-Unis):

AS3618 , AS35994 , AS3599 , AS30675 , AS23455 , AS23454 , AS22207 , AS20189 , AS18717 , AS1868 , AS17334 , - AS16702 , AS16625 , AS12222

La liste des plages IP va cependant par milliers (environ 4000 d'entre elles), donc je vous suggère plutôt de définir des règles de pare-feu basées sur inverser les recherches DNS , si cela est possible sur votre équipement, ou compiler une liste d'importation en utilisant l'approche que je décris dans la réponse à la question "Comment obtenir des informations sur l'entreprise, les sites appartenant à l'entreprise etc…?".

Le problème est que ces ASN et ces plages d'adresses IP peuvent changer constamment et vous devrez maintenir votre liste à jour régulièrement.

Alternativement, vous pouvez extraire uniquement les plages IP (IPv4 et/ou IPv6) publiées sous l'ASN auquel votre réseau est affecté, en espérant limiter cette liste à un nombre plus gérable de plages.


Modifier pour ajouter : Vous dites dans les commentaires de votre question que rDNS est hors de question car il n'est pas sûr. Vous êtes au courant de cela, car ces enregistrements contre lesquels une recherche DNS inverse vérifie peuvent être trop facilement falsifiés. Il existe cependant un moyen de vérifier cela, ce qui pourrait signifier qu'il est également possible d'automatiser vos filtres de pare-feu sans recourir à des listes de plages IP ridiculement longues: Recherche DNS inversée confirmée vers l'avant .

Je ne saurais pas si votre pare-feu est réellement capable de faire cette vérification, ce qui pourrait être un pas, mais si c'est le cas, ce qu'il fera, c'est prendre l'IP du client qui se connecte, faire une recherche DNS inversée et puis interrogez le nom DNS renvoyé sur les enregistrements A ou AAAA. Si la liste renvoyée inclut l'IP du client, le FCrDNS a réussi, sinon il ne l'a pas été. Voir cette question à moi pour un peu plus d'explications sur la façon dont ce FCrDNS pourrait être utilisé et à quoi il sert.

14
TildalWave