Nützlichkeit von Honeypots

Der Begriff Honeypot, zu Deutsch Honigtopf, stammt ursprünglich von der Idee, Bären mit einem Topf Honig vom eigentlichen Ziel abzulenken und ihnen so eine Falle zu stellen. Übertragen in die Welt der IT-Sicherheit werden Honeypots eingesetzt, um Angreifer vom eigentlichen Ziel abzulenken und zu identifizieren sowie entsprechende Gegenmaßnahmen zu ergreifen. Viele Angreifer sind auf der Jagd nach den sogenannten "Low-hanging Fruits", also Systemen, die einfach anzugreifen und einfach zu übernehmen sind. Dabei ist ihnen auch egal, wer zum Schluss das tatsächliche Opfer eines Angriffs ist. Sich vor der großen Anzahl solcher Angreifer zu schützen, ist also durch den Betrieb eines Honeypots sehr einfach.

Angreifer ermitteln

Für einen Honeypot verwenden Sie eine freie IP-Adresse, unter der Sie keine legitimen Dienste Ihres Unternehmens anbieten. Es ist dort also unter normalen Bedingungen keine Aktivität zu erwarten, jeder Zugriff wird daher als Angriff eingestuft, der Verursacher entsprechend in Logdaten auf einem anderen System registriert. Unmittelbar danach wird der Verursacher in den Firewalls gesperrt. Da Angreifer sich häufig fremder Systeme bedienen, ist der offensichtliche Übeltäter nicht zwangsläufig auch der wahre Angreifer. Dieser wird sich vielmehr nach einer Blockade in Ihren Firewalls ein anderes System für weitere Angriffe gegen Ihr Netzwerk suchen. Es gibt aber auch Betreiber von Honeypots, die mehr über einen Angriff wissen möchten als nur die ursprüngliche IP-Adresse. Das Interesse liegt dann auf dem Verhalten und dem Vorgehen eines Angreifers auf dem gekaperten System.

Verschiedene Interaktionsstufen

Ein Low-Interaction-Honeypot ist ein simples Programm, das übliche Dienste eines Servers emuliert und Interaktivität nur bis zu einem gewissen Grad in einer Art Sandbox erlaubt. Ein

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.