Was ist ein Honeypot/Honeynet


 

Ein Honeypot ist ein speziell präparierter Computer, der keinen Zweck im produktiven Sinne erfüllt. Das bedeutet, dass dieser Rechner keine Interaktion mit anderen Rechnern oder auch Anwendern im Netzwerk hat. Erfolgt dennoch eine Interaktion oder werden Daten mit diesem Rechner ausgetauscht, so wird dieser Netzwerkverkehr als verdächtig eingestuft. Das heißt, dass der Honeypot wahrscheinlich zum Ziel eines Angriffs geworden ist oder bereits unter der Kontrolle eines Angreifers steht.

Ein Honeynet ist demzufolge ein Zusammenschluss mehrerer Honeypots zu einem größeren Netzwerk. Hierdurch ist es möglich, produktive Netzwerke vollständig nachzubilden und die Auswirkungen eines erfolgreichen Angriffs zu beobachten.

Eingehende Verbindungen zum Honeypot sind oft Port-Scans oder Brute-Force Angriffe auf passwortgeschützte Dienste. Ausgehende Verbindungen sind ein sicheres Zeichen für die Kompromittierung des Rechners.

Man unterscheidet in der Regel zwischen zwei Arten von Honeypots:

  • Low-Interaction Honeypots
  • High-Interaction Honeypots

Unterschieden wird anhand der Interaktionsmöglichkeiten des Angreifers mit dem Honeypot.

Low-Interaction Honeypot


Ein Low-Interaction Honeypot simuliert bestimmte Dienste (z. B. Telnet, E-Mail-Server, etc.) und zwar meist auch nur bis zu dem Punkt, wo eine Schwachstelle existiert. Das heißt, der Angreifer kann zwar den Dienst ausnutzen, wird aber nicht in der Lage sein, die Kontrolle über den Rechner zu bekommen. Diese Art von Honeypot wird deshalb eher dafür eingesetzt, um herauszufinden, ob Angriffe stattfinden und nicht wie ein Angreifer nach erfolgreichem Einbruch weiter vorgeht und welche Software eingesetzt wird. Beispiele für Low-Interaction Honeypots sind, Honeyd, Nepenthes, Omnivora oder Amun.

High-Interaction Honeypot


Ein High-Interaction Honeypot stellt im Gegensatz zum Low-Interaction Honeypot ein reales System dar. Das bedeutet, ein Angreifer kann jeden laufenden Dienst auf diesem Computer angreifen und im Erfolgsfall sogar volle Kontrolle über das System erlangen. Als Grundsystem kann hier jedes gewünschte eingesetzt werden (Windows, Linux, etc.). Ebenso hat man freie Wahl bei den angebotenen Diensten.

Um den Rest des Netzwerks zu schützen, benötigt man für ein High-Interaction Honeynet allerdings noch eine vorgeschaltete Instanz, Honeywall genannt. Die Honeywall übernimmt die Funktion einer Firewall, dient aber auch als zentrale Sammelstelle aller über das Netzwerk übertragenen Daten sowie der auf dem Honeypot durchgeführten Operationen des Angreifers. Dadurch wird das Netz vor Angriffen von einem kompromittierten High-Interaction Honeypot geschützt und man kann alle Schritte, die auf dem Honeypot verrichtet worden sind, durch Analyse der gesammelten Daten nachvollziehen.

Das Honeynet des IT Centers


Das IT Center betreibt ein eigenes Honeynet zur Analyse von aktuellen Bedrohungen und dem Sammeln von sich automatisch verbreitender Malicious Software (Malware). Zu diesem Zweck ist derzeit ein komplettes /18 Netz für Honeypot-Systeme reserviert.

Verteilt auf mehrere virtuelle Maschinen laufen hier in erster Linie Low-Interaction Honeypots wie zum Beispiel Nepenthes, Omnivora und Amun. Im Rahmen einer Diplomarbeit im Jahr 2006 war auch ein größeres High-Interaction Honeynet aktiv. In diesem Netzwerk wurden sowohl Windows- als auch Linux-Rechner betrieben und wertvolle Informationen über Angreifer, ihre Werkzeuge und Motive gesammelt.

Darüberhinaus werden Low-Interaction Honeypots auch zur Identifizierung von infizierten Rechnern im Netzwerk der RWTH Aachen verwendet und bilden einen Teil des am IT Center entwickelten Intrusion Detection Systems (IDS), genannt Blast-o-Mat.