(Bild: Pixabay)
Vorsicht vor der 158.130.6.191: Ein vermeintlich harmloser Scan von dieser Adresse führt immer mal wieder zu Problemen. So brachen deswegen kürzlich die VPN-Verbindungen von Watchguard Fireboxes periodisch zusammen.
Am 1. Mai 2017, etwa gegen 12:30 Uhr MEZ, war es wieder einmal so weit: Die 158.130.6.191 hatte zugeschlagen. Diese Mal hatten Watchguard-Kunden mit periodischen Abbrüchen und Neustarts der VPN-Verbindungen ihrer Fireboxes, VPN-Appliances des amerikanischen Security-Spezialisten, zu kämpfen. Grund war der Absturz des IKED-Prozesses (Internet Key Exchange Daemon) durch eine falsch kodierte Verbindungsanfrage. Nach etwa drei Stunden hatte sich das Problem von selbst erledigt.
Wie der Watchguard-Support mitteilte, kamen die kritischen IKEv2-Pakete von der IP-Adresse 158.130.6.191. Eine Whois-Abfrage zeigt, dass diese zur University of Pennsylvania gehört. Ein Aufruf der entsprechenden HTTP-Adresse verweist auf ein Projekt dieser Ivy-League-Uni, in dessen Rahmen versucht wird, mit dem Zmap Netzwerk-Scanner weltweit verschiedene Verbindungen zu allen öffentlich erreichbaren IP-Adressen aufzubauen. Es geht den Forschern nach eigener Aussage dabei nicht darum, Sicherheitslücken auszunutzen, sie bezeichnen die Verbindungsversuche als gutartig.
Dennoch kommt es immer wieder vor, dass IT-Systeme auf die gesendeten Datenpakete mit Fehlfunktionen oder gar Absturz reagieren. So gab es neben den VPN-Abstürzen auf den Watchguard Fireboxes Buffer-Overflows bei Cisco-Routern. Die Projektbetreiber empfehlen bei solchen Problemen, durch eine E-Mail an sie die eigene IP-Adresse oder das eigene Netz von künftigen Scans auszuschließen oder die IP-Adresse 158.130.6.191 in der eigenen Firewall zu sperren. (js)