开放大量 ip 存在明显的危险,有谁知道我如何为 Akamai 获取 IP 范围的来源?
与 Akamai 交谈时,他们说“不可能”,这让我感到惊讶。
我需要在美国/德克萨斯/阿灵顿(地区)提供的一系列 IP
想过如何解决这个问题吗?我似乎无法在 Akamai 服务器的 IP 上找到“范围”或答案,而且我们的安全团队无法授权出站流量。
所以问题是,有没有人将其作为安全问题处理?我唯一的想法是我们通过使用代理服务器进行出站连接来降低风险,这将限制潜在的出站攻击向量。
防火墙定义的 Akamai IP 范围
信息安全
防火墙
路由
2021-08-16 16:38:16
1个回答
Akamai Technologies, Inc. 目前在这 14 个ASN下发布其 IP 范围(将列表限制为基于美国的运营):
AS36183、AS35994、AS35993、AS30675、AS23455、AS23454、AS22207、AS20189、AS18717、AS18680、AS17334、AS16702、AS16625、AS12222
IP 范围列表虽然有数千个(大约 4000 个),所以我建议您宁愿根据反向 DNS 查找定义防火墙规则,如果这在您的设备上是可能的,或者使用我在中描述的方法编译导入列表“如何获取有关公司、公司拥有的网站等的信息……?”问题的答案 .
问题是,这些 ASN 和 IP 范围可能会不断变化,您必须定期更新您的列表。
或者,您可以仅提取在您的网络分配到的 ASN 下发布的 IP 范围(IPv4 和/或 IPv6),希望将该列表限制为更易于管理的范围数量。
编辑添加:您在对问题的评论中说 rDNS 不安全是不可能的。您对此很清楚,因为反向 DNS 查找正在检查的这些记录很容易被欺骗。有一种方法可以检查这一点,但这可能意味着也可以自动化您的防火墙过滤器,而无需求助于冗长的 IP 范围列表:前向确认反向 DNS 查找。
我不知道您的防火墙设备是否真的能够进行此检查,所以这可能是不行的,但如果可以,它会做的是获取正在连接的客户端 IP,进行反向 DNS 查找和然后查询针对A或AAAA记录返回的 DNS 名称。如果返回的列表包含客户端 IP,则 FCrDNS 成功,否则不成功。有关如何使用此 FCrDNS 以及它有什么用处的更多解释,请参阅我的这个问题。
其它你可能感兴趣的问题