Honeypot

Als Honeypot wird ein Programm oder System bezeichnet, das die Netzwerkdienste eines Computers, eines Rechnernetzes oder das Verhalten eines Anwenders simuliert um einen Angreifer vom eigentlichen Ziel ablenken soll und ggf. in eine Falle lockt um weitere Informationen über den Angreifer und seine Absichten zu erhalten.

Der Begriff Honeypot ("Honigtopf") stammt aus der Überlegung, dass Bären mit einem Honigtopf sowohl abgelenkt als auch in eine Falle gelockt werden könnten. Sobald ein Angreifer auf einen Honeypot hereinfällt und diesen attackiert werden alle damit verbundenen Aktionen protokolliert und gegebenenfalls ein Alarm ausgelöst.

Ein Honeypot ist so konfiguriert das ein normaler Nutzer des Netzwerks niemals auf diesen Server kommt. Ein Angreifer der die Systemlandschaft nicht im Detail kennt und generisch nach Schwachstellen sucht wird aber früher oder später auf den Honeypot stoßen und versuchen Sicherheitslücken auszunutzen um sich zugriff zu verschaffen. So kann bei Analysen leicht festgestellt werden ob sich innerhalb eines Netzes ein Angreifer bewegt.

Ein System welches für Angreifer interessante und verlockende Sicherheitslücken bietet kann jedoch auch selbst leicht zum Risiko werden. Daher ist es wichtig für eine größtmögliche Trennung des Honeypots von den restlichen Produktivsystemen zu sorgen.

Arten der Implementierung

  • Phyischer Honeypot: Ein realer Rechner im Netzwerk mit eigener IP Adresse
  • Virtueller Honeypot: Ein logisches System welches in einer virtuellen Maschine auf einem anderen Rechner simuliert wird
  • Client Honeypot: Ein realer Server wird von einer Honeypot Software angesprochen
  • Server Honeypot: Reale Clients werden von Honeypot Software angesprochen

Unabhängig von der Art der Implementierung wird beim Honeypot noch zwischen folgenden Typen unterschieden: Server Honeypot: Bietet lediglich einige Standard Dienste die für gewöhnlcih für Angreifer interessant sind. Dabei sind Low-interaction Server Honeypots aber in der Regel leicht durch einen Angreifer zu erkennen und er wird sich dort nicht lange aufhalten. Der Hauptzweck eines solchen Typs ist daher die Intrusion Detection (Erkennen von Einbrüchen) da er alle Aktivitäten protokolliert. High-interaction Server Honeypot: Hierbei handelt es sich um eine deutlich aufwendigere Methode bei der sowohl der Server an sich weitaus mehr Dienste anbietet als auch mit mehr vermeintlich interessantem Inhalt gefüllt ist. Ziel ist es im Gegensatz zum vorher genannten Typ nicht nur den Einbruch als solches zu dokumentieren sondern insbesondere die Vorgehensweise manueller Angriffe zu beobachten und nachzuvollziehen. Dies ermöglicht es die Methoden des Angreifers zu analysieren und kann unter Umständen sogar zur Identifizierung des Angreifers führen (mit Hilfe von Tracking Files).

Quellen