{"id":220423,"date":"2019-07-13T00:04:00","date_gmt":"2019-07-12T22:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220423"},"modified":"2020-05-27T16:58:48","modified_gmt":"2020-05-27T14:58:48","slug":"shadow-server-org-scannt-geblockte-firewall","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/13\/shadow-server-org-scannt-geblockte-firewall\/","title":{"rendered":"Shadow Server Org scannt geblockte Firewall"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Noch eine kurze Info, auf die ich mir keinen wirklichen Reim machen kann. Die Betreiber von Shadow Server Org haben wohl einen Ansatz gefunden, Firewalls zu scannen, obwohl deren IP-Adressen geblockt wurden.<\/p>\n<p><!--more--><\/p>\n<p>Vorweg: Ich stecke in dem Thema nicht drin \u2013 vielleicht gibt es in der Leserschaft Leute, die eine einfache Erkl\u00e4rung haben. Daher stelle ich die Information einfach mal so im Blog ein, wie sich diese f\u00fcr mich ergibt.<\/p>\n<h2>Ein Leserhinweis<\/h2>\n<p>Blog-Leser Thomas B. hat mir vor einigen Stunden eine Mail mit folgender Information zu einer Beobachtung geschickt.<\/p>\n<blockquote><p>Auf den Firewall stellen wir gerade fest, dass die Shadow Server Org einen Weg gefunden hat, die Firewall zu scannen, obwohl deren IPs geblockt sind auf dem WAN Interface.<\/p><\/blockquote>\n<p>Mit dabei war dann folgender Screenshot (einfach anklicken, um die vergr\u00f6\u00dferte Darstellung abzurufen).<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/ZWO0epG.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Shadow Server.org Scan\" src=\"https:\/\/i.imgur.com\/ZWO0epG.jpg\" alt=\"Shadow Server.org Scan\" width=\"618\" height=\"206\" \/><\/a><br \/>\n(Shadow Server.org-Scan, <a href=\"https:\/\/i.imgur.com\/ZWO0epG.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<h2>Kurze Erkl\u00e4rung zum Ganzen<\/h2>\n<p>Ich versuche mal einige Informationen beizustellen, so wie ich sie zusammenbringe. Blog-Leser Thomas B. betreibt offenbar ein Wide Area Network (WAN), dessen Zugriffe aus dem Internet per Firewall \u00fcberwacht werden. Ich interpretiere seinen obigen Text, dass die Firewall eigentlich so konfiguriert ist, dass deren IP f\u00fcr einen Scan blockiert sind.<\/p>\n<p>Nun gibt es die <a href=\"https:\/\/www.shadowserver.org\/\" target=\"_blank\" rel=\"noopener noreferrer\">Shadowserver Foundation<\/a>, die sich zum Ziel gesetzt hat, das Internet ein St\u00fcck sicherer zu machen. Dazu scannen die das Internet, sammeln riesige Mengen an Bedrohungsdaten, senden Zehntausende von kostenlosen t\u00e4glichen Berichten \u00fcber Abhilfema\u00dfnahmen und pflegen enge gegenseitige Beziehungen zu Netzbetreibern, nationalen Regierungen und Strafverfolgungsbeh\u00f6rden.<\/p>\n<p>Wenn ich jetzt 1+1 zusammen z\u00e4hle, haben die Systeme von <a href=\"https:\/\/www.shadowserver.org\/\" target=\"_blank\" rel=\"noopener noreferrer\">ShadowServer.org<\/a>, m\u00f6glicherweise \u00fcber den <a href=\"https:\/\/scan.shadowserver.org\/rdp\/\" target=\"_blank\" rel=\"noopener noreferrer\">RDP-Scan<\/a> die IP-Adresse des WAN \u00fcberpr\u00fcft, welches durch die Firewall versteckt werden sollte. Jedenfalls haben die Administratoren einen Eintrag in den Log-Dateien gefunden. Welche Ans\u00e4tze dort zum Tragen kommen, entzieht sich meiner Kenntnis. Heise hat in <a href=\"https:\/\/www.heise.de\/security\/artikel\/Moderne-Runenleserei-270506.html?seite=all\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> einige Ans\u00e4tze zusammen gestellt. Vielleicht kann aber jemand von Euch mehr mit dem Thema anfangen und es gibt eine Erkl\u00e4rung.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch eine kurze Info, auf die ich mir keinen wirklichen Reim machen kann. Die Betreiber von Shadow Server Org haben wohl einen Ansatz gefunden, Firewalls zu scannen, obwohl deren IP-Adressen geblockt wurden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2712,4328],"class_list":["post-220423","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-firewall","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220423","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220423"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220423\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220423"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220423"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220423"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}