Shadow Server Org scannt geblockte Firewall

Publiziert am 13. Juli 2019 von Günter Born

Noch eine kurze Info, auf die ich mir keinen wirklichen Reim machen kann. Die Betreiber von Shadow Server Org haben wohl einen Ansatz gefunden, Firewalls zu scannen, obwohl deren IP-Adressen geblockt wurden.

Anzeige

Vorweg: Ich stecke in dem Thema nicht drin – vielleicht gibt es in der Leserschaft Leute, die eine einfache Erklärung haben. Daher stelle ich die Information einfach mal so im Blog ein, wie sich diese für mich ergibt.

Ein Leserhinweis

Blog-Leser Thomas B. hat mir vor einigen Stunden eine Mail mit folgender Information zu einer Beobachtung geschickt.

Auf den Firewall stellen wir gerade fest, dass die Shadow Server Org einen Weg gefunden hat, die Firewall zu scannen, obwohl deren IPs geblockt sind auf dem WAN Interface.

Mit dabei war dann folgender Screenshot (einfach anklicken, um die vergrößerte Darstellung abzurufen).

Shadow Server.org Scan
(Shadow Server.org-Scan, Zum Vergrößern klicken)

Anzeige

Kurze Erklärung zum Ganzen

Ich versuche mal einige Informationen beizustellen, so wie ich sie zusammenbringe. Blog-Leser Thomas B. betreibt offenbar ein Wide Area Network (WAN), dessen Zugriffe aus dem Internet per Firewall überwacht werden. Ich interpretiere seinen obigen Text, dass die Firewall eigentlich so konfiguriert ist, dass deren IP für einen Scan blockiert sind.

Nun gibt es die Shadowserver Foundation, die sich zum Ziel gesetzt hat, das Internet ein Stück sicherer zu machen. Dazu scannen die das Internet, sammeln riesige Mengen an Bedrohungsdaten, senden Zehntausende von kostenlosen täglichen Berichten über Abhilfemaßnahmen und pflegen enge gegenseitige Beziehungen zu Netzbetreibern, nationalen Regierungen und Strafverfolgungsbehörden.

Wenn ich jetzt 1+1 zusammen zähle, haben die Systeme von ShadowServer.org, möglicherweise über den RDP-Scan die IP-Adresse des WAN überprüft, welches durch die Firewall versteckt werden sollte. Jedenfalls haben die Administratoren einen Eintrag in den Log-Dateien gefunden. Welche Ansätze dort zum Tragen kommen, entzieht sich meiner Kenntnis. Heise hat in diesem Artikel einige Ansätze zusammen gestellt. Vielleicht kann aber jemand von Euch mehr mit dem Thema anfangen und es gibt eine Erklärung.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.