DRACOON Cloud wird von Geo-IP-Filtern als in Jordanien ansässig blockiert

Ausgangssituation

Am 20. Juni erhielten wir mehrere Meldungen von Kunden, die unsere Cloud nicht mehr erreichen konnten. Bei näherer Betrachtung der Situation stellte sich heraus, dass Anfragen an DRACOON durch den IP-basierten Geoblocking-Filter der Firewalls blockiert wurden, da diese angeblich nach Jordanien gerichtet waren.

Die Analyse

Unser Team startete gemeinsam mit unseren Kunden eine sofortige Analyse, um mögliche DNS-basierte Angriffe ausschließen zu können. Im Zuge der Analyse stellte sich heraus, dass offenbar mindestens ein Anbieter eines Geolokalisierungsdienstes derzeit die IP-Adresse unserer zentralen Cloud - 141.95.22.201 - fälschlicherweise als Jordanien auflöst. Betroffen sind insbesondere Benutzerinnen und Benutzer der Firewalls von Sophos und Watchguard.

Weiteres Vorgehen

Nach unserer Analyse handelt es sich nicht um einen DNS-basierten Angriff auf unsere Kunden, sondern um einen fehlerhaften Eintrag in einer IP-Geolocation-Datenbank, der vermutlich automatisiert an diverse Firewalls ausgespielt wurde. Sollten Sie davon betroffen sein, dass Verbindungen zu DRACOON durch Ihren Geolocation-Blocker verhindert werden, führen Sie bitte folgende Schritte durch:

1. Überprüfen Sie, ob die DNS-Auflösung Ihrer DRACOON-Instanz korrekt auf die IP-Adresse 141.95.22.201 zeigt. Dies können Sie z.B. durch einen Aufruf von nslookup your-dracoon.domain.com im Terminal überprüfen.
2. Passen Sie den Geo-IP-Filter Ihrer Firewall so an, dass Sie eine Ausnahme für die IP-Adresse 141.95.22.201 definieren. Details zur Implementierung entnehmen Sie bitte den Handbüchern der jeweiligen Hersteller.