Verbindungen zu russischen IPs trotz Region Blocking...?

IP-Adresse sind nicht an Landesgrenzen gebunden.

Bei der ganzen Umschichterei von IP-Netzten in den letzten Jahren kann man sich nicht 100% drauf verlassen, das ein IP-Pool auch einem Land fest zugeordnet werden kann, daher sind solche Blocklisten eher mit Vorsicht zu geniessen.

Quote from sebastian_r

sondern nach einer tatsächlichen Abfrage. Ist das nicht so?

Es sollte meines Wissen so funktioniert, aber den wirklichen Standort einer IP kann man ja problemlos verschleiern.

Unabhängig davon wo die IP wirklich endet, ist es nicht ein komisches Verhalten dass das Gateway eine Addresse zulässt deren Ursprung es in einem verbotenen Bereich vermutet?

IP-Adresse sind nicht sinnvoll zu verorten wenn der Nutzer dies nicht möchte.

Grundsätzlich basieren die Informationen auf die Datenbankabfrage bei RIPE und den anderen Vergabestellen. Schon hier ist die Zuverlässigkeit der Angaben eher gering.

Bei mir wechselt täglich die IP Adresse. In 50% der Fälle wird die Firma Verizon in der Oberfläche angezeigt.

Verizon ist ein US Unternehmen mit 90 Millionen Kunden, aber nicht ein deutscher Glasfaser-ISP.

Ich bin bei DNS:Net, die stehen auch nicht in irgendwelche geschäftlichen Beziehungen. Wenn ich die IP-ADRESSE beim RIPE Abfrage gehört sie zu DNS-NET, maximal noch zu Air-Data, der Mutterkonzern.

Andere Variante ist ein Tranceroute. Aber auch hier ist es extrem mühselig, dies zu analysieren wenn der Betreiber des Server nicht möchte, dass du weißt wo er steht. Das ist aufwendige Detektivarbeit mit Interpretationsspielraum.

Tenor: Länderzuordnung auf Basis von IP Adresse funktioniert maximal bei den Guten, nicht bei den Bösen Servern.

Kannst Du mal einen Screenshot machen? Bei mir steht bei den Flows eigentlich genau das was geblockt wurde und auch mehr oder weniger deutlich wodurch. Und sind das überhaupt Verbindungen nach X? Portweiterleitungen aktiv??

und akamai ist ein CDN .... block die mal ganz und wundere dich, was auf einmal nicht mehr updated u.ä.

Nein, wird es nicht. Es sieht so aus, als ob die Flagge falsch ist.

Du hast zwar einiges abgedeckt, habe mir aber mal die Mühe gemacht a1456.g1.akamai.net zu analysieren. Es handelt sich dabei um einen Zertifikatsserver von Akamai.net. Der hat die IP-Adresse 23.32.238.227. Standort in Frankfurt am Main
https://www.netip.de/1551979508/search?query=a1456.g1.akamai.net

Hier die Anzeige auf der Dashboard zu meinem Internetzugang. Ich bin bei DNS:NET nicht bei Verizon Business.

Das Problem bei den Globale-Player ist halt, dass Standortermittlung sehr schwer sind. Akamai hat ihre Rechen-Center weltweit. Darunter auch Standorte in der Russian Federation. Bei den renommierten Firmen ist ein Traceroute meist recht zuverlässig.
Jedenfalls sind solche Anzeigen immer hinterfragenswert, aus welcher Datenbank und von wann die Information stammen. Ist halt auch bei den AD- Sperrlisten.

Sowieso fragwürdig dieses gesperre von irgendwelchen Ländern. Das macht oft mehr Probleme als es zu irgendwas nützt.

Quote from DoPe

Sowieso fragwürdig dieses gesperre von irgendwelchen Ländern. Das macht oft mehr Probleme als es zu irgendwas nützt.

Das kann ich so pauschal nicht bestätigen. Ich habe in vielen Netzen eine Firewall-Regel für ausgehenden Verkehr, wo ein Großteil der Welt geblockt wird. So gut wie alles bis auf Europa und "Five Eyes" (big daddy braucht natürlich immer seinen Einfluss... ). Das Maximum von 150 Staaten bekomme ich auf jeden Fall voll.

Habe noch von nirgends Klagen gehört, dass etwas nicht funktionieren würde und auch in meinem eigenen Netz keinen Ärger damit. Was klar ist: Dies ist kein umfassender Schutz und kommt natürlich bei weitem nicht an einen feingranularen Whitelisting-Ansatz heran. Aber dem ein oder anderen Angriffsvektor entzieht man so ja trotzdem die Grundlage.