Nützlichkeit von Honeypots

Fallensteller

Viele Unternehmen betreiben Honeypots in unterschiedlichen Variationen. Diese haben sich zur Verbesserung der eigenen Netzabwehr etabliert und leisten zuweilen gute Dienste. Forscher analysieren verwendete Honeypots und können diese recht zuverlässig erkennen. Neuerdings schon, bevor die Verbindung zum Zielsystem vollständig aufgebaut wurde. Dieser Security-Tipp zeigt Ihnen einige Schwachstellen der untersuchten Honeypot-Implementierungen auf und stellt die Frage, ob ein Betrieb weiterhin sinnvoll ist oder nicht.
In der November-Ausgabe beleuchtet IT-Administrator wesentliche Aspekte des Infrastrukturmanagements. Dazu gehört die Frage, wie Sie Rechenzentren erfolgreich ... (mehr)

Der Begriff Honeypot, zu Deutsch Honigtopf, stammt ursprünglich von der Idee, Bären mit einem Topf Honig vom eigentlichen Ziel abzulenken und ihnen so eine Falle zu stellen. Übertragen in die Welt der IT-Sicherheit werden Honeypots eingesetzt, um Angreifer vom eigentlichen Ziel abzulenken und zu identifizieren sowie entsprechende Gegenmaßnahmen zu ergreifen. Viele Angreifer sind auf der Jagd nach den sogenannten "Low-hanging Fruits", also Systemen, die einfach anzugreifen und einfach zu übernehmen sind. Dabei ist ihnen auch egal, wer zum Schluss das tatsächliche Opfer eines Angriffs ist. Sich vor der großen Anzahl solcher Angreifer zu schützen, ist also durch den Betrieb eines Honeypots sehr einfach.

Angreifer ermitteln

Für einen Honeypot verwenden Sie eine freie IP-Adresse, unter der Sie keine legitimen Dienste Ihres Unternehmens anbieten. Es ist dort also unter normalen Bedingungen keine Aktivität zu erwarten, jeder Zugriff wird daher als Angriff eingestuft, der Verursacher entsprechend in Logdaten auf einem anderen System registriert. Unmittelbar danach wird der Verursacher in den Firewalls gesperrt. Da Angreifer sich häufig fremder Systeme bedienen, ist der offensichtliche Übeltäter nicht zwangsläufig auch der wahre Angreifer. Dieser wird sich vielmehr nach einer Blockade in Ihren Firewalls ein anderes System für weitere Angriffe gegen Ihr Netzwerk suchen. Es gibt aber auch Betreiber von Honeypots, die mehr über einen Angriff wissen möchten als nur die ursprüngliche IP-Adresse. Das Interesse liegt dann auf dem Verhalten und dem Vorgehen eines Angreifers auf dem gekaperten System.

Verschiedene Interaktionsstufen

Ein Low-Interaction-Honeypot ist ein simples Programm, das übliche Dienste eines Servers emuliert und Interaktivität nur bis zu einem gewissen Grad in einer Art Sandbox erlaubt. Ein

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018