Montag, 1. M�rz 2010


Topthema

Donnerstag, 6. April 2006 | Topthema

About Security #50: Honeypots

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/027863)

Honeypots dienen ebenso wie Intrusion-Detection- und -Prevention-Systeme zur Erkennung von Angriffen. Sehr vereinfacht kann man einen Honeypot als ein absichtlich unsicher konfiguriertes, normalerweise ungenutztes System betrachten, dass durch ein Intrusion-Detection-System �berwacht wird. W�hrend ein Angreifer versucht, in den Honeypot einzudringen, sammelt das System Informationen �ber seine Vorgehensweise.

Der Grundgedanke dabei ist folgender: Ein Angreifer kann keinen Unterschied zwischen den produktiv genutzten Systemen und dem Honeypot feststellen. Daher wird er bei der Suche nach verwundbaren Systemen fr�her oder sp�ter auf den Honeypot sto�en und diesen, da er verwundbar zu sein scheint, angreifen. Da der Honeypot normalerweise ungenutzt ist, stellt jede Kommunikation mit ihm einen m�glichen Angriff dar, der protokolliert wird. Dabei k�nnen zum einen Informationen �ber neuartige Angriffe gesammelt werden (Forschungs-Honeypots, Research Honeypots), zum anderen kann der Honeypot als Fr�hwarnsystem und zur Ablenkung genutzt werden (Produktions-Honeypots, Production Honeypots).

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Honeypot-Typen

Man unterscheidet zwischen "Low Interaction", "Medium Interaction" und "High Interaction" Honeypots, au�erdem geh�ren die sogenannten Tarpits (Teergruben) zu den Honeypots. Ein Spezialfall sind Honeytokens.

Low Interaction Honeypots
Low Interaction Honeypots emulieren einen oder mehrere Dienste lediglich. Dadurch sind ihre F�higkeiten beschr�nkt und ein Angreifer kann sie relativ leicht erkennen. Sie sind jedoch gut geeignet, automatisierte Angriffe wie z.B. von W�rmern zu beobachten. Au�erdem k�nnen sie als Fr�hwarnsystem eingesetzt werden: Ein Angriff auf den Honeypot zeigt, dass das lokale Netz insgesamt zum Ziel geworden und mit �hnlichen Angriffen auf die Produktivsysteme zu rechnen ist. Damit kann der Honeypot ein vorhandenes IDS/IPS erg�nzen: Jeder Zugriff auf den Honeypot ist verd�chtig (s.o.), also auch solche, die vom IDS/IPS nicht als Angriff eingestuft w�rden.

Medium Interaction Honeypots
Medium Interaction Honeypots erlauben etwas mehr Interaktion zwischen Honeypot und Angreifer als nur die reine Emulation eines Dienstes. So k�nnte z.B. eine bekannte Schwachstelle nachgebildet werden. Bei einem Angriff darauf wird eingeschleuster Schadcode nicht ausgef�hrt. Beim Einschleusen bisher unbekannten Codes kann der Honeypot einen Alarm ausl�sen, sodass der neue Code analysiert und daraus entsprechende Gegenma�nahmen entwickelt werden k�nnen.

High Interaction Honeypots
High Interaction Honeypots sind vollst�ndige Server, die echte Dienste anbieten. Sie k�nnen dadurch schwerer enttarnt werden und sind insbesondere zur Beobachtung manueller Angriffe geeignet. Sie erlauben die Analyse neuer Angriffsmethoden, was wiederum bei der Entwicklung neuer Abwehrmethoden hilft. High Interaction Honeypots werden meist so pr�pariert, das sie f�r einen Angreifer ein attraktives Ziel darstellen ("high value target"). Um zu verhindern, dass ein Angreifer den Honeypot als Sprungbrett f�r weitere Angriffe ausnutzt, ist er meist �ber eine spezielle Firewall mit dem Netzwerk verbunden. Diese l�sst zwar alle an den Honeypot gesendeten Daten passieren, unterbindet aber vom Honeypot ausgehende bekannte Angriffe.

About Security: Die komplette Serie

Tarpits
Tarpits dienen nicht prim�r der Beobachtung von Angriffen, sondern stattdessen ihrer Verlangsamung. Indem sie z.B. gro�e Netzwerke vort�uschen, behindern sie einen Angreifer, der nicht zwischen virtuellen und echten Netzwerken unterscheiden kann. So verringern sie die Verbreitungsgeschwindigkeit von W�rmern oder die Effektivit�t von Portscans. Es gibt z.B. auch Tarpits, die einen offenen Mail-Server vort�uschen und Spammer, die dar�ber Mails verschicken wollen, durch eine sehr langsame Verarbeitung ausbremsen.

Honeytokens
Honeytokens sind einzelne fingierte Datens�tze, Dateien, E-Mails,..., die in die Produktivsysteme integriert sind. Da die Honeytokens im normalen Betriebsablauf nicht ben�tigt werden, ist jeder Zugriff darauf ein Anzeichen f�r einen Angriff, der protokolliert wird und zum Ausl�sen eines Alarms f�hrt.

Honeynet
Eine Reihe miteinander vernetzter Honeypots bildet ein Honeynet. Ein Honeynet stellt also im Grunde einen besonders gro�en Honeypot dar. Allerdings umfasst es auch Funktionen zur Weiterleitung und Verarbeitung der von den einzelnen Honeypots gesammelten Informationen.

Ein Honeynet darf nicht mit dem Honeynet-Project verwechselt werden. Dabei handelt es sich um einen weltweiten Zusammenschluss von Sicherheitsexperten und an IT-Sicherheit Interessierten, der an der Entwicklung von Honeypot- und Honeynet-Technologien arbeitet. Ein Ergebnis dieser Arbeit ist die Honeywall-CD-ROM, die der Installation eines Honeypot- und Honeynet-Systems dient.

In der n�chsten Folge wird als praktisches Beispiel wird ein Low-Interaction-Honeypot vorgestellt: Honeyd.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Honeypots"

Kommentare

Folgende Links könnten Sie auch interessieren