Was ist ein Honeypot? Wie funktioniert ein Honey Pot?
1) Definition: Ein „Honeypot“ wird als Programm oder auch Server bezeichnet, welches die Funktion besitzt, lediglich ausgenutzt bzw. missbraucht zu werden. Der Honeypot gewährleistet eine ausgezeichnete Auswertung der facettenreichsten Angriffsvarianten sowie Verfahrensweisen des „Gegners“ und wird deshalb auch als Intrusion Detection System verwendet. Es gibt die verschiedensten Gründe und Ursachen, warum ein Honeypot zur Anwendung verlangt wird. Auf der einen Seite, wie schon bereits erwähnt, kann ein Honeypot Angriffsmethoden und Vorgehensweisen des Angreifers erkennen. Es wird Ihnen nämlich die Möglichkeit gegeben, Ihren forensischen Wissensstand bei der Erkennung von Netzwerkprotokollen zu ergänzen und gleichzeitig zu verbessern. Gegenüber beinhaltet ein Honeypot die Fähigkeit, auch als IDS in Betracht zu kommen, da jede einzelne Betriebsamkeit hier als zweifelhafte und suspekte Aktivität klassifiziert werden kann. In aller Regel können IDS nicht ganz lupenreine Begebenheiten sofort analysieren und so kann es häufig geschehen, dass auch fehlerhafte positive Benachrichtigungen erscheinen. Hier gibt es leider nur sehr selten bis gar keine falsch positiven Meldungen, denn wirklich jede Honeypot-Aktivität wird als zwielichtig anerkannt.
Sogar Lance Spitzner, der Erschaffer des Honeynet Projects erzählt, dass ein Honeypot ein Sicherheitsinstrument sei, welches sämtliche Untersuchungen, Angriffe sowie Einbrüche durch sogenannte „Cracker“ beabsichtigt. Es stellt im keinen Fall eine Abwehr dar, im Gegenteil, man hofft nur darauf, dass ein Rechner attackiert wird. Der Entwickler des NIDS Snort unterscheidet Honeypots in Produktions- und Forschungssysteme.
– Produktionshoneypots -> Sie sind für die Sicherheit eines Unternehmens verantwortlich und werden zusätzlich für die Identifizierung sowie Verfolgung der Einbrüche und Angriffe benutzt, um dann die aller neuesten Beobachtungen über die Charaktere und Verhaltensweisen der Cracker für sich zum Nutzen zu ziehen.
2) Vorteile von Honeypots
Nun liegen sicher verschiedene Fragen vor. Welche Vorteile kann mir ein Honeypot erzielen? Wird mit der Installation eines Honeypots die Abwehr und somit die Sicherheit des Rechners erhöht?
Bei der Benutzung eines extravaganten Honeypots können mehrere Vorteile erreicht werden:
– Datensammlung -> Für wahrhaftige Tätigkeiten wird ein Honeypot normalerweise nicht verwendet. Nur eine kleine Menge an Daten werden hier gesammelt. Diese Sammlung kann durchaus sehr interessant werden, da jede Verknüpfung mit einem Honeypot und alle Tätigkeiten einen eventuellen Angriffs anbieten. Beim Überwachen eines tatsächlichen Servers wird eine große Menge an Daten festgehalten. Jedes mal muss eine Analyse mit einer gewissen Filterung der für den Übergriff wichtigen Daten beginnen.
– Ressourcen -> Die Sicherheits- und Warnsysteme können möglicherweise nicht immer mit dem Verkehrsaufkommen mithalten. Bei gewissen Netzwerk-IDS kann dies zum Verlust von bestimmten Paketen führen und somit gehen eventuell auch skeptische Pakete verloren. Dies führt oftmals zu einem starken Erschweren von späteren Erkennungen und Angriffen.
3) Nachteile von Honeypots
Folgende Aspekte werden zu den Nachteilen gezählt:
– Singularität -> Bei einem Honeypot kann man von einem einzigartigen Triebwerk sprechen, welches sich im ganzen Internet weltweit befindet. Wenn diese Maschine von keinem Angreifer entdeckt und attackiert wird, so verfehlt sie ihren eigentlichen Sinn maßlos. Eine Datensammlung kann ohne Gegner leider nicht erfolgen.
– Erhöhtes Risiko -> Dadurch das Honeypots angegriffen werden sollen, stellen sie regelrecht eine große Bedrohung für das gesamte Netzwerk dar. Es besteht zum Beispiel das Risiko, dass ein Einbruch auf einem Honeypot mit Erfolg absolviert wird und dieser dann anknüpfend für nochmalige Angriffe gegen das Netzwerk verwendet wird.
4) Honeypot-Variationen
In dieser Passage werden diverse Honeypot-Variationen hervorgehoben, denn Honeypots gibt es in sämtlichen Ausführungen.
Etliche Honeypots besitzen ausschließlich eine minimale Anwendungssoftware (Applikation), die wiederum zahlreiche Netzwerkdienstleistungen und den Aufbau der Verbindung simuliert. In der englischsprachigen Literatur wird dies auch des öfteren als Low Involvement gekennzeichnet. Der Gegner hat hier nur selten die Möglichkeit gegeben, sich mit dem System zu resozialisieren. Der Aufbau der Verbindungen wird dann jeweils vom Honeypot dokumentiert. Backofficer Friendly (BOF), Hotzone, Tiny Honeypot (THP), honeyd sowie Deception Toolkit (DTK) gehören zu dieser Art von Kategorie. Bei diesen Applikationen wird einzig allein eine sogenannte Simulation (Vortäuschung) eines Rechners getätigt. Durch diese Systeme gehen kaum Probleme bei der Sicherheit aus, trotzalledem sollte man einkalkulieren, dass auch hier Sicherheitsleere herrschen kann.
5) Tiny Honeypot
George Bakos ist der Gründer, der den Tiny Honeypot geschrieben hatte. THP ermöglicht die Simulation einer Dienstleistung auf allen Ports. Eine minimale Perl-Software wird hier benötigt, die die Verknüpfungsanfrage entgegennimmt und somit jegliche Arten von verschiedenen Dienstleistungen vortäuschen kann. Tiny Honeypot wurde für Linus veröffentlicht und benötigt. Auch hier werden die Dienste lediglich fingiert und somit geht von THP kein Risiko aus. THP wird unter der GNU GPL publiziert.
6) Deception Toolkit
Im Jahre 1998 wurde das Deception Toolkit von Fred Cohen entworfen. Wie THP wurde auch DTK in Perl implementiert und erlaubt gleichermaßen die Vortäuschung akzidenteller Dienstleistungen unter UNIX/Linux. Die Verhaltensweisen können mit einer gewissen Script-Ausdrucksform des simulierten Dienstes benannt werden. Das Deception Toolkit ist kostenlos erhältlich, ohne jegliche Zuzahlung. Eine grafische Oberfläche für die anspruchslose Administration wird gewinnorientiert inseriert.
7) Honeyd
Niels Provos ist der Gründer des Honeyd und es verfügt außerdem über die Möglichkeit, eine Simulation von Diensten durchzuführen. Nichtsdestotrotz unterscheidet es sich übermäßig von den bisherigen Variationen, da es zusätzlich die Vortäuschung zufälliger TCP/IP-Stacks ermöglicht. So wird möglich gemacht, auf einen Linux-Rechner den TCP/IP-Stack eines AIX 4.0-4.2-Rechners vorzutäuschen. Honeyd wird auch als Open Source herausgegeben und kann nicht nur die Simulation eines einzelnen Rechners durchführen, sondern auch gesamter Netzwerke, wenn die adäquaten IP-Adressen zur Verfügung stehen.
Tags:
- honeypot sicher
- honeypot erklärung
- Wie funktioniert ein Honeypot?
- was ist die funktion des honeypots
- internet honeypot