Als ein Honeypot (zu Deutsch: Honigtopf) wird ein Dienst bezeichnet, der die Aufgabe hat, Angriffe auf ein Netzwerk zu protokollieren. Dieser Dienst kann ein Programm sein, dass einen oder mehrere Dienste zur Verfügung stellt, oder ein Server. Honeypots dienen so der Überwachung eines Netzwerkes. Die Grundidee ist, in einem Netzwerk einen oder mehrere Honeypots zu installieren, die dem legitimen Netznutzer unbekannt sind, und daher niemals angesprochen werden. Ein Angreifer, der nicht zwischen echten Servern/Programmen und Honeypots unterscheiden kann und routinemäßig alle Netzkomponenten auf Schwachstellen untersucht, wird früher oder später die von einem Honeypot angebotenen Dienste in Anspruch nehmen und dabei von dem Honeypot protokolliert werden. Die bloße Tatsache, dass irgendjemand versucht, mit einem Honeypot zu kommunizieren, wird als potentieller Angriff betrachtet.
Mit Hilfe eines Honeypot-Programmes werden Netzwerkdienste (Mail-Server, Datei-Server, ...) eines einzelnen Rechners oder sogar ein vollständiges Netzwerk simuliert. Erfolgt ein unberechtigter Zugriff auf einen derartigen virtuellen Dienst, werden alle ausgeführten Aktionen protokolliert und gegebenenfalls ein Alarm ausgelöst.
Verschiedene Typen von Honeypots
Man unterscheidet generell zwischen low interaction und high interaction Honeypots, ebenfalls in die Kategorie der Honeypots fallen sogenannte Tarpits.
Low-Interaction Honeypots
Ein Low-Interaction Honeypot ist meist ein Programm, das einen oder mehrere Dienste emuliert. Die Fähigkeiten eines Low-Interaction-Honeypot sind daher beschränkt, ein versierter Angreifer hat daher wenig Probleme einen Low-Interaction-Honeypot zu erkennen. Um automatisierte Angriffe von Würmern wie zum Beispiel Sasser zu protokollieren reicht ein Low-Interaction Honeypot allerdings vollständig aus.
Beispiele für Low-Interaction Honeypot Software
honeyd
unter der GPL-Lizenz veröffentlicht, ist es in der Lage, gesamte Netzwerkstrukturen zu emulieren, mit einer Instanz der Software kann man viele verschiedene virtuelle Computer in einem Netzwerk simulieren, die alle unterschiedliche Dienste anbieten.
mwcollect
ist ein freier Honeypot unter der GPL-Lizenz für posix-kompatible Betriebssysteme mit der Zielsetzung, automatisierte Attacken von Würmern nicht nur zu erkennen und protokollieren, sondern die Verbreitungsmechanismen der Würmer zu nutzen, um eine Kopie des Wurms zu erhalten. Dazu werden als verwundbar bekannte Dienste nur soweit wie benötigt emuliert, ausgehend von verfügbaren Angriffsmustern.
Nepenthes
ebenfalls unter der GPL-Lizenz veröffentlicht, ist wie mwcollect ein Honeypot für posix-kompatible Betriebssysteme mit dem Fokus, Würmer zu sammeln.
MultiPot
multipot ist ein Honeypot für Windows, er emuliert wie Nepenthes und mwcollect Schwachstellen unter Windows um Würmer zu sammeln.
High-Interaction Honeypots
High-Interaction Honeypots sind zumeist vollständige Server, die Dienste anbieten. Der Fokus bei einem High-Interaction-Honeypot liegt dabei nicht auf automatisierten Angriffen, sondern darauf manuell ausgeführte Angriffe zu beobachten und protokollieren, um so neue Methoden der Angreifer rechtzeitig erkennen zu können. Zu diesem Zweck ist es sinnvoll, dass es sich bei einem High-Interaction-Honeypot um ein high value target handelt, einem Server dem von potentiellen Angreifern ein hoher Wert nachgesagt wird. Zur Überwachung eines High-Interaction-Honeypots wird eine spezielle Software eingesetzt, meist das frei verfügbare Sebek, die vom Kernelspace aus alle Programme des Userspace überwacht, und die anfallenden Daten vom Kernelspace aus an einen loggenden Server sendet. Ziel von Sebek ist es, unerkannt zu bleiben, ein Angreifer soll nicht wissen, und auch nicht ändern können, dass er überwacht wird.
Tarpits
Tarpits, zu deutsch Teergruben, dienen dazu die Verbreitungsgeschwindigkeit von zum Beispiel Würmern zu verringern. Das Verfahren ist auch unter dem Namen LaBrea bekannt. LaBrea (The Tarpit) ist im IT-Bereich eine "Teergrube", d. h. ein Programm, mit dem man virtuelle Netzwerke vortäuschen und so z. B. Internetwürmer festhalten und/oder Netzwerkscans blockieren kann. Ebenso gibt es aber auch Teergruben die offene Proxy Server emulieren, und falls jemand versucht Spam ueber diesen Dienst zu verschicken, den Sender dadurch ausbremst, dass es nur sehr langsam die Daten überträgt.
Literatur
- Lance Spitzner: Honeypots - Tracking Hackers Addison-Wesley, 2003. ISBN 0-321-10895-7
- Honeynet Projekt: Den Feind Erkennen I / Know Your Enemy I
- Honeynet Projekt: Den Feind Erkennen II / Know Your Enemy II
- Honeynet Projekt: Den Feind Erkennen III / Know Your Enemy III
- Honeynet Projekt: GenII Honeynets
Weblinks
- http://www.honeyd.org - Webseite des honeyd-Projektes
- http://nepenthes.sourceforge.net - Webseite des Nepenthes-Projektes
- http://www.mwcollect.org - Webseite des mwcollect-Projektes
- http://www.idefense.com/iia/labs-software.php?show=9 - Webseite von MultiPot bei idefense
- http://www.honeynet.org/tools/sebek/ - Website des Sebek-Projektes
- http://www.hackbusters.net/LaBrea/ - La Brea-Homepage
- http://www.honeynet.org/ - Honeynet-Projekt
- http://ds.ccc.de/081/honeypot - Artikel in der Datenschleuder über Honeypots
- http://www.pixel-house.net/mwc_facharbeit.pdf - Artikel 'Sammeln von Malware in nicht nativer Umgebung' von Georg Wicherski