HONEYPOTS
|
Übersicht
|
Einführung |
Mehr... |
Links |
RFCs |
Books
|
SICHERHEIT |
Was sind Honeypots?
Welche Arten von Honeypots gibt es?
Vorteile und Nachteile von Honeypots
Nützliche Links
Credits
|
Was sind Honeypots?
|
"Honeypot" bedeutet aus dem Englischen übersetzt "Honigtopf" und steht sinnbildlich für den
verlockenden Topf, von dessen Geruch man angelockt wird und dessen man sich nur zu gerne
bemächtigen möchte, vor allem, wenn er - wie es scheint - unbewacht und ungeschützt irgendwo
herumsteht.
Eine sehr treffende Definition stammt von Lance Spitzner, der Honeypots wie folgt definiert:
"Ein Honeypot ist ein Informationssystem, dessen Wert in der unauthorisierten oder
verbotenen Benutzung desselben liegt"
[ Übersetzt aus dem Englischen, siehe http://www.spitzner.net/honeypots.shtml ]
Ein Honeypot ist also im Allgemeinen ein System, das keine produktive Aufgabe erledigt und von
daher nicht von sich aus mit anderen Rechnern in einem Netzwerk kommuniziert. In der Regel
täuscht ein Honeypot vor, ein bestimmtes System zu sein, z.B. ein Betriebssystem mit einem
laufenden Webserver eines bestimmten Typs. Weil ein Honeypot normalerweise keinen Datenverkehr
verursacht, kann man davon ausgehen, das fast jeder Zugriff auf solch ein System von böswilliger
Natur ist, z.B. eine direkte Attacke gegen das System oder ein Scan nach offenen Ports. Genau
hier liegt dann der Ansatzpunkt für verschiedene Honeypotimplementierungen: Denkbar ist z.B.
die Simulation offener Ports, die für Angriffe ausgenutzt werden könnten. Jeder versuchte
Angriff kann dann vom Honeypot geloggt und später analysiert werden. Ein Honeypot ist somit
vergleichbar mit einem Spielplatz, auf dem sich ein Hacker austoben kann. Allerdings ist auch
zu beachten, dass ein solcher "Spielplatz" nicht ohne Risiko ist, denn er kann als Ausgangsbasis
für weitere Angriffe dienen, falls er ganz in die Hände eines Hackers fällt.
|
Welche Arten von Honeypots gibt es?
|
Ein Honeypot sollte natürlich nach außen hin sehr verlockend und einladend wirken, d.h. vorgetäuschte
Schwachstellen offenbaren. Um dies zu erreichen, gibt es vielfältige Arten von Honeypots: Einige
Honeypots sind rein als Software implementiert und stellen nur offene Ports zur Verfügung sowie
eventuell minimale Interaktionsmöglichkeiten, z.B. als simulierter Telnet-Server, der es einem
Angreifer erlaubt, sich einzuloggen. Andere sind wiederum "echte" Betriebssysteme mit "echten"
Anwendungen, die natürlich mehr Information über einen Angriff sammeln können, da ein Angreifer
meint, er wäre im Begriff in ein echtes System einzudringen.
Generell lassen sich Honeypots grob in die Kategorien "System mit wenig Interaktionsmöglichkeiten"
und "System mit hohen Interaktionsmöglichkeiten" unterteilen.
Eine spezielle Form von Systemen mit hohen Interaktionsmöglichkeiten sind
die sogenannten Honeynets. Dies sind Netzwerke aus verschiedenen echten
Produktionssystemen, die speziell zur Analyse von Angriffstechniken und
Angriffstaktiken angelegt sind. Die dabei verwandten Betriebssysteme und
Programme sind tatsächlich auch z.B. in Firmennetzwerken in Gebrauch.
Honeynets werden in erster Linie zur Forschung betrieben.
|
Vorteile und Nachteile von Honeypots?
|
In Abhängigkeit von der Interaktionsmöglichkeit eines Angreifers mit einem
Honeypot ergeben sich Vor- (+) und Nachteile (-) für den Betreiber eines
solchen Systems; Beispiele hierfür:
|
Wenig Interaktionsmöglichkeiten:
|
+ |
geringes Risiko, dass der Honeypot als Ausgangsbasis für
einen weiteren Angriff benutzt werden kann |
+ |
meist keine zusätzliche Hardware nötig, da ein solcher
Honeypot auf einem vorhandenen System als eigenständige Software läuft |
- |
durch die geringe Interaktionsmöglichkeit lassen sich
nur wenige Informationen zur Analyse sammeln |
|
Hohe Interaktionsmöglichkeiten:
|
+ |
oftmals echte Systeme, die ein typisches Hackervorgehen
anhand der gesamelten Informationen rekunstruierbar machen |
- |
erlangt ein Angreifer die volle Kontrolle über ein
solches System kann er sowohl seine Spuren verwischen als auch neue Angriffe von dort aus starten, wobei
der Betreiber des Honeypots gegebenenfalls zur Rechenschaft gezogen wird, falls durch einen solchen
Angriff von seinem System aus Schaden entsteht
|
|
Unabhängig von der Art der Interaktionsmöglichkeit ist der Vorteil von Honeypots oftmals die Einfachheit,
mit der ein solches System aufzusetzen ist, der hohe Informationsgehalt der Logdateien, da fast nur relevante
Einträge vorhanden sind und eben die Möglichkeit, Angriffsvorgehensweisen so detailiert wie möglich studieren
zu können und eventuell sogar völlig neue Taktiken kennen zu lernen.
|
Bericht von : [ Melchior mOg ]
|
Überarbeitet von : [ CONVEX ]
|
|
|