Honeypots dienen ebenso wie Intrusion-Detection- und -Prevention-Systeme zur Erkennung von Angriffen. Sehr vereinfacht kann man einen Honeypot als ein absichtlich unsicher konfiguriertes, normalerweise ungenutztes System betrachten, dass durch ein Intrusion-Detection-System überwacht wird. Während ein Angreifer versucht, in den Honeypot einzudringen, sammelt das System Informationen über seine Vorgehensweise.
Der Grundgedanke dabei ist folgender: Ein Angreifer kann keinen Unterschied zwischen den produktiv genutzten Systemen und dem Honeypot feststellen. Daher wird er bei der Suche nach verwundbaren Systemen früher oder später auf den Honeypot stoßen und diesen, da er verwundbar zu sein scheint, angreifen. Da der Honeypot normalerweise ungenutzt ist, stellt jede Kommunikation mit ihm einen möglichen Angriff dar, der protokolliert wird. Dabei können zum einen Informationen über neuartige Angriffe gesammelt werden (Forschungs-Honeypots, Research Honeypots), zum anderen kann der Honeypot als Frühwarnsystem und zur Ablenkung genutzt werden (Produktions-Honeypots, Production Honeypots).
N E U ! Security
aktuell
Täglich aktuelle Security-Infos!
Honeypot-Typen
Man unterscheidet zwischen "Low Interaction", "Medium Interaction" und "High Interaction" Honeypots, außerdem gehören die sogenannten Tarpits (Teergruben) zu den Honeypots. Ein Spezialfall sind Honeytokens.
Low Interaction
Honeypots
Low Interaction Honeypots emulieren einen oder mehrere Dienste
lediglich.
Dadurch sind ihre Fähigkeiten beschränkt und ein Angreifer kann
sie relativ leicht erkennen. Sie sind jedoch gut geeignet,
automatisierte
Angriffe wie z.B. von Würmern zu beobachten. Außerdem
können sie als Frühwarnsystem eingesetzt werden: Ein Angriff auf
den Honeypot zeigt, dass das lokale Netz insgesamt zum Ziel geworden
und
mit ähnlichen Angriffen auf die Produktivsysteme zu rechnen ist. Damit
kann der Honeypot ein vorhandenes IDS/IPS ergänzen: Jeder Zugriff auf
den Honeypot ist verdächtig (s.o.), also auch solche, die vom IDS/IPS
nicht als Angriff eingestuft würden.
Medium
Interaction
Honeypots
Medium Interaction Honeypots erlauben etwas mehr Interaktion zwischen
Honeypot und Angreifer als nur die reine Emulation eines Dienstes. So
könnte z.B. eine bekannte Schwachstelle nachgebildet werden. Bei einem
Angriff darauf wird eingeschleuster Schadcode nicht ausgeführt. Beim
Einschleusen bisher unbekannten Codes kann der Honeypot einen Alarm
auslösen, sodass der neue Code analysiert und daraus entsprechende
Gegenmaßnahmen entwickelt werden können.
High Interaction
Honeypots
High Interaction Honeypots sind vollständige Server, die echte Dienste
anbieten. Sie können dadurch schwerer enttarnt werden und sind
insbesondere zur Beobachtung manueller Angriffe geeignet. Sie erlauben
die
Analyse neuer Angriffsmethoden, was wiederum bei der Entwicklung neuer
Abwehrmethoden hilft. High Interaction Honeypots werden meist so
präpariert, das sie für einen Angreifer ein attraktives Ziel
darstellen ("high value target"). Um zu verhindern, dass ein
Angreifer den Honeypot als Sprungbrett für weitere Angriffe ausnutzt,
ist er meist über eine spezielle Firewall mit dem Netzwerk verbunden.
Diese lässt zwar alle an den Honeypot gesendeten Daten passieren,
unterbindet aber vom Honeypot ausgehende bekannte Angriffe.
Tarpits
Tarpits dienen nicht primär der Beobachtung von Angriffen, sondern
stattdessen ihrer Verlangsamung. Indem sie z.B. große Netzwerke
vortäuschen, behindern sie einen Angreifer, der nicht zwischen
virtuellen und echten Netzwerken unterscheiden kann. So verringern sie
die
Verbreitungsgeschwindigkeit von Würmern oder die Effektivität von
Portscans. Es gibt z.B. auch Tarpits, die einen offenen Mail-Server
vortäuschen und Spammer, die darüber Mails verschicken wollen,
durch eine sehr langsame Verarbeitung ausbremsen.
Honeytokens
Honeytokens sind einzelne fingierte Datensätze, Dateien, E-Mails,...,
die in die Produktivsysteme integriert sind. Da die Honeytokens im
normalen
Betriebsablauf nicht benötigt werden, ist jeder Zugriff darauf ein
Anzeichen für einen Angriff, der protokolliert wird und zum
Auslösen eines Alarms führt.
Honeynet
Eine Reihe miteinander vernetzter Honeypots bildet ein Honeynet. Ein
Honeynet stellt also im Grunde einen besonders großen Honeypot dar.
Allerdings umfasst es auch Funktionen zur Weiterleitung und
Verarbeitung
der von den einzelnen Honeypots gesammelten Informationen.
Ein Honeynet darf nicht mit dem Honeynet-Project verwechselt werden. Dabei handelt es sich um einen weltweiten Zusammenschluss von Sicherheitsexperten und an IT-Sicherheit Interessierten, der an der Entwicklung von Honeypot- und Honeynet-Technologien arbeitet. Ein Ergebnis dieser Arbeit ist die Honeywall-CD-ROM, die der Installation eines Honeypot- und Honeynet-Systems dient.
In der nächsten Folge wird als praktisches Beispiel wird ein Low-Interaction-Honeypot vorgestellt: Honeyd.
Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!
About Security – Übersicht zum aktuellen Thema "Honeypots"
- About Security #50: Honeypots
- About Security #51: Ein Honeypot – Honeyd
- About Security #52: Firewall, IDS, IPS & Honeypot
Kommentare