• HONEYPOTS

Allgemein Honeypots

Ein Honeypot ist ein fiktives, sicherheitstechnisch verwundbares System, das als Falle für nicht-legitimierte Benutzer und Angreifer dient. Werden unerlaubte Zugriffe auf eigene Daten vermutet, kann ein Honeypot-System eingerichtet werden. Diese Systeme dienen als weiteres Sicherheitsinstrument und werden zur Verteidigung gegen Datenspionage bzw. als Schutz für wichtige Datensysteme eingesetzt.

Aufgaben

  • Monitoring
    Überwachen von Daten und Ereignisse auf dem Logsystem.
  • Filtering
    Datenpakete können gefiltert werden.
  • Intrusion Detection
    Es muss eine vollständige Überwachung aller Zugriffe auf das System stattfinden.
  • Audit
    Das System an sich muss überwacht und auf Änderungen von Daten überprüft werden.
  • Escalation
    Bei illegalen Zugriffen muss richtig reagiert und eskaliert werden.

Aufbau

Für den grundsätzlichen Betrieb eines Honeypotssystem müssen folgende Voraussetzungen erfüllt sein:

  • keine Firewall
  • Port Monitor oder HD-Hub Layer-2 Ethernet, um Überwachungsmöglichkeiten zu bieten
  • Sniffer, um die Pakete mitlesen zu können
  • Zentrale Kontrollstelle für die Auswertung

Seit 1999 werden kommerzielle bzw. freie Honeypotpakete entwickelt und angeboten. Aufgrund der niedrigen Kosten eignen sich freie Programme für den Testbetrieb und evtl. auch für die längerfristige Nutzung. Weiterhin wird benötigt:

  • Timeserver
    Die Auswertung der Ereignisse verlangt eine zuverlässige Zeitskala. Timekeeping-Systeme müssen daher angebunden und auf eine zuverlässige Funktionsweise geprüft werden. In der Praxis hat sich ein NTP-Server als sinnvoll erwiesen.
  • Erkennbarkeit
    Ein Honeypot sollte nicht als solcher erkennbar sein, da sonst die Funktion einer versteckten Falle nicht mehr gegeben ist. Hierzu gehören z.B. Dateinamen sowie DNS und Hostnames.
  • Notbremse
    Es muss immer die Möglichkeit einer Notbremse vorhanden sein. Falls der Angreifer auf andere Systeme im Intranet zugreifen möchte oder massiv Schaden auf dem Logsystem anrichtet, muss das Abschalten möglich sein und umgehend erfolgen. Das kann z.B. über eine per Skript gesetzte IP-Filterregel geschehen.