Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Honeypot tarnen

Erkennt ein Angreifer dagegen eine untypische Kombination verfügbarer Dienste auf dem anvisierten System, schließt er unter Umständen auf simulierte Dienste oder einen Honeypot. Ist es dem Angreifer jedoch nicht möglich, simulierte von realen Diensten zu unterscheiden, so bricht er den Angriff im besten Fall ab. Das erhöht wiederum die Sicherheit der Systeme. Gleichzeitig verringert sich die Menge an Informationen über den jeweiligen Angriff, da ausschließlich die Überprüfung einzelner simulierter Dienste registriert wird.

Um zu verhindern, dass der Angreifer stutzig wird, weil verschiedene Systeme dieselben Dienste anbieten, lassen sich simulierte Dienste variieren. Dadurch steigt die Wahrscheinlichkeit, dass ein Angriff auf einen simulierten Dienst durchgeführt wird und so neben der Angriffserkennung auch weitere Angriffsdetails registrierbar sind. Im Gegensatz zu einem dynamischen Honeypot-Ansatz wird auch in diesem Fall nicht die Erscheinung des Honeypots an die der Produktivsysteme angepasst, sondern umgekehrt die Erscheinung der Produktivsysteme variiert.

Im Einsatz

Das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE entwickelt und betreibt gemeinsam mit dem Institut für Informatik 4 der Universität Bonn verschiedene Honeypots zur automatischen Erkennung von Schadprogrammen im Internet. Dabei lässt sich beobachten, dass häufig Schadprogramme in unterschiedlichen Netzen unterschiedlich stark verbreitet sind. Gleichzeitig registrieren Honeypots sich verbreitende Schadprogramme innerhalb ihrer eigenen Netzbereiche oft mit höherer Wahrscheinlichkeit ( Abbildung 5 ). Der Grund dafür liegt darin, dass Schadprogramme das Internet häufig nicht vollkommen zufällig nach verwundbaren Systemen durchsuchen, sondern etwa bevorzugt Systeme innerhalb des eigenen Subnetzes überprüfen.

Abbildung 5: Anteil der mit existierenden Sensoren registrierten Angriffe aus Deutschland, nach verursachendem Autonomen System (AS).

Um also einen möglichst differenzierten Überblick über aktuelle Schadprogramme zu erhalten, ist es notwendig, Honeypots in unterschiedlichen Netzbereichen zu betreiben. Zwar verfügen beide Institute über IP-Adressen in unterschiedlichen Netzen, die werden jedoch bereits von Produktivsystemen verwendet, weshalb sie nicht für den Einsatz in Honeypots zur Verfügung stehen. Gleichzeitig benutzen diese Systemen jedoch meist nur wenige Ports produktiv, was es möglich macht, freie Ports mithilfe von HoneypotMe an bereits existierende Honeypots zur Analyse weiterzuleiten.

Um die Sichtbarkeit der existierenden Honeypots zu vergrößern, wurde HoneypotMe über einen Zeitraum von einem Monat auf vier regulären Produktivsystemen der Universität Bonn eingesetzt, die jeweils direkt aus dem Internet erreichbar waren. Die Auswertung der registrierten Angriffe hat dabei gezeigt, dass es sich bei allen häufig weitergeleiteten Ports um Dienste handelt, die Schadprogrammen typischerweise zur Infektion neuer Systeme verwenden ( Abbildung 6 ). Insgesamt konnten so 3448 von 25149 Verbindungsanfragen erfolgreich mithilfe der Honeypots bearbeitet und analysiert werden. Bei den übrigen Verbindungsaufbauversuchen handelt es sich entweder nur um eine Überprüfung der Ports, oder der angefragte Dienst wurde von den verwendeten Honeypots nicht unterstützt. Bei einem erfolgreichen Verbindungsaufbau ließen sich jeweils detaillierte Informationen über den Angriffsversuch sammeln.

Abbildung 6: Mithilfe von HoneypotMe registrierte Angriffe auf verschiedene Ports von Produktivsystemen der Universität Bonn.
comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023