Pourquoi support.paloaltonetworks.com apparaît comme géolocalisé à Singapour ( SG )
17355
Created On 01/28/21 18:19 PM - Last Modified 03/26/21 18:58 PM
Question
ce qui peut être fait si support.paloaltonetworks.com se résout à Singapour avec GEO IP un ( ) et il ya un bloc Geo SG IP pour SG
Environment
Tout environnement passant par un Palo essayer Firewall d’atteindre le portail de soutien à la clientèle ( CSP ) à support.paloaltonetworks.com résoudre à Singapour avec un bloc pour GEO IP SG .
Answer
Palo Alto a activé le IP service de protection Prolexic d’Akamai pour tous les serveurs du portail de service à la clientèle le 1/8/2021 pour prévenir les DDOS attaques.
Prolexic fournit des stations globales de nettoyage des données où le trafic est analysé, et le trafic malveillant (DDoS, vulnérabilités connues et exploits) est supprimé.
Pour permettre le trafic à partir de ces stations de nettoyage, les clients doivent ajouter les ADRESSES 103.41.68.129 aux listes d’autoriser sur leurs pare-feu.
Cette adresse a récemment été marquée avec une géolocalisation incorrecte de Singapour. Akamai a corrigé ce problème, mais il peut s’agir de quelques jours avant que ces informations se soient propagées à d’autres fournisseurs de géolocalisation.
Notre équipe d’ingénierie a tendu la main à Akamai et ils ont confirmé qu’Akamai a récemment mis à jour la géolocalisation pour IP cela montrait Singapour lorsque des preuves ont indiqué que ce trafic se terminant beaucoup plus près.
IPL’espace d’adresse est anycast trafic acheminé par Akamai Prolexic.Il s’agit d’un trafic sans emplacement et sera livré par l’itinéraire optimal en fonction de l’emplacement de connexion.
Akamai a plusieurs centres de nettoyage dans le US .Si l’adresse IP de connexion US est basée, l’attente devrait être de voir l’adresse se terminer dans le US .
Dans d’autres régions géographiques, vous verrez le trafic choisir le pays optimal pour cette livraison de trafic.
Il a été observé que certains des autres fournisseurs de réseau qui sautent dans les itinéraires ont également été géolocalisés de façon inexacte par des services de géolocalisation tiers.
Akamai publie leurs IP données de géolocalisation dans un flux, conformément à RFC 8805.
Ceci est public et consommable par des services de géolocalisation tiers afin d’offrir une meilleure précision à leurs services.
https://ipgeo.akamai.com/akamai-geofeed.csv
Akamai a pris la décision de tag leur trafic anycast comme le siège d’Akamai à Cambridge massachusetts.
Cela correspond à ce que font les autres grands fournisseurs et est conçu pour aider à remédier à l’inconstance dans les services de géolocalisation tiers pour le trafic qui est sans emplacement anycast trafic.
Le service tiers de PaloAlto pour GeoIP a confirmé qu’il apportera ce changement dans ses bases de données le mardi 9 février 2021. D’autres tiers IP géo-fournisseurs peuvent prendre plus ou moins de temps en fonction de leurs calendriers de mise à jour.
Comme on peut le voir dans ce TraceRt le houblon et les temps de ping sont trop courts pour être Singapour.
Ce test a été exécuté à partir d’un ordinateur non pas sur le réseau Palo Alto, mais derrière un Palo Firewall .
C :\ WINDOWS \system32>tracert support.paloaltonetworks.com
Itinéraire de traçage à support.paloaltonetworks.com [103.41.68.129] sur un maximum de
30 houblons:
1 2 ms 1 ms 1 ms 192.168.0.1
2 15 ms 11 ms 12 ms 142.254.131.189
3 36 ms 30 ms 22 ms tge0-0-8.mckntxwf01h.texas.rr.com [24.28.88.145]
4 16 ms 22 ms 23 ms agg23.plantxmp01r.texas.rr.com [24.14 175.49.225]
5 12 ms 15 ms 14 ms agg27.crtntxjt01r.texas.rr.com [24.175.36.177]
6 14 ms 14 ms 14 ms agg21.dllatxl301r.texas.rr.com [24.175.49.0]
7 14 ms 11 ms 13 ms bu-ether24.dllstx976iw-bcr00.tbone.rr.com [66.109.6.52]
8 12 ms 14 ms 11 ms 209-18-43-77.dfw10.tbone.rr.com [209.18.43.77]
9 * * * Demande expirée.
10 45 ms 43 ms 41 ms ae2.cs1.dfw2.us.zip.zayo.com [64.125.26.202]
11 * 50 ms 49 ms ae3.cs1.lax112.us.eth.zayo.com [64.125.29.53]
12 43 ms 48 ms 43 ms ae13.mpr1.lax12.us.zip.zayo.com [64.64.125.28.231]
13 44 ms 46 ms 46 ms 128.177.68.30
14 47 ms 44 ms 48 ms po110.bs-a.sech-lax.netarch.akamai.com [23.57.96.243]
15 * * * Demande expirée.
16 47 ms 44 ms 44 ms ae120.access-a.sech-lax.netarch.akamai.com [23.57.96.249]
17 51 ms 43 ms 43 ms 103.41.68.129
Trace complète.
