Immer größere Datenmassen sicher zu speichern ist eine Herausforderung für jede IT-Infrastruktur. Schon mit Gigabit-Ethernet lassen sich aber ... (mehr)

Ökonomische Innovation

Die Honeybox ist eine echte Innovation der vergangenen Jahre und hat dafür den zweiten Platz des Bayerischen Sicherheitspreises 2009 belegt. Um den Einsatz der Honeybox möglichst ökonomisch zu gestalten, wäre es wünschenswert, wenn sie mehrere Sicherheitsniveaus mit einem einzigen Gerät überwachen könnte. Wünschenswert wäre weiterhin eine EAL-Zertifizierung durch das Bundesamt für Sicherheit (BSI).

Für Anwender ist die Honeybox eine Alternative zu IDS-Systemen. Wer dort nichts als Alarme sieht und deswegen schon gar nicht mehr hinschaut, für den lohnt es sich, die Honeybox anzusehen. Positiv fällt auf, dass Anwender bei Internetverbindungen oder internen Netzen mit hohen Bandbreiten (bis 10  GBit/s) keine Hochleistungshardware benötigen, wie es zum Beispiel bei der IDS/IPS-Technik der Fall ist. Sie versetzt sonst die Preise für Sicherheit ins Astronomische. Das macht die Appliance auch für große Betriebe und ISPs interessant.

Secxtreme Honeybox

  • Hersteller: Secxtreme, Taufkirchen [5]
  • Sensor-Appliance: Grundmodell ist eine 19-Zoll-Hardware-Appliance mit vier Netzwerkports. Sie baut auf einer Nexcom NSA1042N8 auf, hat eine Intel-Celeron-M370-CPU mit 1,5-GHz, 1 GByte DDR2-SDRAM und eine 160-GByte-SATA-II-Festplatte.
  • Management: Das Verwaltungs-GUI ist für größere Installationen auch ohne Sensoren als so genannte 0-Port-Variante und als reine Softwarelösung erhältlich. Verteilte Sensoren senden ihre Logs an solche Stationen.
  • Lieferumfang: Die Hardware-Appliance kommt zusammen mit einem seriellen Kabel, vier Ethernet-Kabeln, Installationszubehör und einem USB-Stick mit Recovery-Funktion, einem 200-seitigen Handbuch als PDF sowie weiteren Unterlagen zur Hardware. Die Softwareversion, die nur Management beherrscht, liefert Secxtreme auf CD-ROM aus.
  • Virtualisierung: Die Softwarevariante startet von CD und installiert ein gehärtetes Debian-System. Der Einsatz als virtuelles Image ist vom Hersteller nicht offiziell supportet.
  • Wartung: Enthält Zugang zum Updateserver, der Debian-Pakete und eigene Software aktualisiert. Support per Telefon und E-Mail.
  • Preise: Secxtreme verkauft die Honeybox durch Partner im Rahmen individueller Projekte. Der Listenpreis für die 4-Port-Appliance inklusive einem Jahr Wartung ist 8925 Euro brutto, jedes Folgejahr kostet 1190 Euro, die Softwarevariante 3451 Euro. Eine Gewährleistungsverlängerung auf drei Jahre kostet 357 Euro, ein Austausch am nächsten Tag 1012 Euro für den gleichen Zeitraum.

Zero-Day-Attacken

Mit der Sicherheit betraute Anwender fürchten besonders Angriffe, die eine Schwachstelle ausnutzen, deren Ursache bis dato nicht bekannt ist. So greifen musterbasierte Schutzprogramme nicht. In den Jahren 2005 bis 2007 gab es einen großen Hype um die Zero Day Attacks genannten Angriffe, und viele Hersteller von IDS-Systemen, AV-Scannern und anderer Sicherheitssoftware haben in der Folge damit geworben, vor ihnen dennoch zu schützen.

Seit 2007 ist es auch um diese Variante der Angriffe ruhig geworden. Es ist schwer zu beurteilen, ob es sich dabei je um eine reale Gefahr für Unternehmen handelte – oder eher um ein gutes Verkaufsargument der Anbieter. Somit wäre es schon eine kleine Sensation, wenn sich in der Praxis durch den Einsatz von virtuellen Honeypots zeigen würde, dass Zero Day Attacks existieren und die Anwendergemeinde verlässliche Zahlen für deren Verbreitung bekäme.

Infos

  1. Symantec stellt Mantrap ein:http://www.symantec.com/business/support/release_details.jsp?pid=52775
  2. Gorecki, Göbel, Engelberth, Trinius, "Einbrüche im High Interaction Honeynet beobachten": Linux-Magazin 02/09, S. 54
  3. Honeyd: http://www.honeyd.org
  4. Niels Provos, Thorsten Holz, "Virtual Honeypots: From Botnet Tracking to Intrusion Detection": Addison-Wesley Longman, 2007
  5. Honeybox von Secxtreme: http://www.sec-xtreme.com/honeypot.html
  6. BASE-Engine: http://base.secureideas.net
  7. Tripwire: http://sf.net/projects/tripwire/

Der Autor

Jörg Fritsch studierte Chemie und arbeitete in der Software-Entwicklung und der IT-Sicherheit. Seit 2003 ist er Engineer Communication & Information Security bei der Nato-C3-Agentur. Er ist Autor zahlreicher Fachbeiträge zu den Themen Load Balancing, TCP/IP und Security.

comments powered by Disqus
Mehr zum Thema

Nützlichkeit von Honeypots

Viele Unternehmen betreiben Honeypots in unterschiedlichen Variationen. Diese haben sich zur Verbesserung der eigenen Netzabwehr etabliert und leisten zuweilen gute Dienste. Forscher analysieren verwendete Honeypots und können diese recht zuverlässig erkennen. Neuerdings schon, bevor die Verbindung zum Zielsystem vollständig aufgebaut wurde. Dieser Security-Tipp zeigt Ihnen einige Schwachstellen der untersuchten Honeypot-Implementierungen auf und stellt die Frage, ob ein Betrieb weiterhin sinnvoll ist oder nicht.

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018