| Ein Honeypot ist eine Sicherheitseinrichtung zur
Erkennung und Überwachung von Angriffen durch Hacker. Dabei
handelt es sich um ein System, das als "Falle" im Netz
einrichtet wird, um Angreifer hier zum Eindringen zu veranlassen
und von den wichtigen Systemen im Netz abzulenken.
|
 |
| Eine weitere Anwendung von Honeypots besteht darin,
ein solches System für eigene Hackertests zu verwenden, wie es
zum Beispiel beim Forschungsprojekt Honeynet Project
(http://project.honeynet.org
- dieser Link öffnet ein neues Fenster) der Fall ist.
|
|
| Auf einem Honeypot sind normalerweise keine Daten
gespeichert, weshalb jeder Zugriff auf dieses System verdächtig
ist, was die Verfolgung von Angreifern vereinfacht.
|
|
| Nachteilig bei solchen Systemen ist, dass ein
Honeypot als einzelner Rechner im riesigen Internet erst einmal
von einem Angreifer gefunden werden muss. Außerdem könnte ein
Angreifer nach dem Eindringen dieses System für weitere Attacken
auf Rechner im lokalen Netz verwenden.
|
|
| Honeypots können in mehreren Varianten
eingerichtet werden. |
|
| Simulation
von Netzdiensten |
| Die einfachste Form eines Honeypots verwendet eine
Applikation, welche verschiedene Netzdienste simuliert und alle
Verbindungsversuche aufzeichnet. Weil die Funktionen nur
vorgetäuscht werden, kann ein Angreifer mit diesem System nicht
wirklich in Verbindung treten und damit auch keinen Schaden
anrichten.
|
|
| Tiny Honeypot |
| Tiny Honeypot (THP) von George Bakos (http://www.alpinista.org/thp/
- ebenfalls in neuem Fenster) erlaubt die Simulation
eines Dienstes auf jedem Port.
|
|
| Perl-Programme nehmen Verbindungsanfragen entgegen
und können jede Art von Dienst simulieren. Man kann auch auf
einem echten Server unter Linux alle nicht benutzten Ports an Tiny
Honeypot umleiten.
|
|
| Zusätzlich verfügt das System über eine
Funktion, die Anfragen an bestimmte Dienste zwar entgegennimmt,
aber nicht beantwortet. Damit kann man automatische Werkzeuge
bekämpfen, die nach einer erfolgreichen Verbindungsaufnahme
sofort eine Attacke (etwa Bufferoverflow) starten. THP speichert
in diesem Fall die übermittelten Daten in einer Datei ab. |
|
| Deception Toolkit |
| Ein weiteres System ist das Deception ToolKit (DTK)
von Fred Cohen (http:///www.all.net), das kostenlos erhältlich
ist, während die zugehörige graphische Benutzeroberfläche - die
man für den Betrieb jedoch nicht benötigt - kommerziell
vertrieben wird. Das DTK besteht aus Perl-Programmen, welche
verschiedene Netzwerkdienste simulieren, wobei man bei der
Konfiguration sogar wählen kann, welches Betriebssystem das DTK
vortäuschen soll. Die auf einem Linux-System laufenden
DTK-Programme können zum Beispiel vorgeben, ein Server unter
Windows NT zu sein.
|
|
| Honeyd |
| Das System Honeyd von Niels Provos (http://www.citi.umich.edu/u/provos)
erlaubt ebenfalls die Simulation aller Dienste, kann aber
zusätzlich beliebige TCP/IP-Stacks simulieren. Damit ist es
beispielsweise möglich, auf einem Computer unter Linux den TCP/IP-Stack
eines AIX-Systems zu verwenden, womit einem Angreifer
vorgetäuscht wird, mit einem IBM AIX Computer verbunden zu sein.
|
|
| Darüber hinaus kann Honeyd nicht nur einzelne
Computer, sondern auch ganze Netzwerke simulieren, wenn
entsprechende IP-Adressen verfügbar sind. Das System ist als Open
Source kostenlos verfügbar. |
|
| Simulation
von Betriebssystemen |
| Die zweite Form von Honeypots simuliert das
komplette Betriebssystem.
|
|
| Einem Angreifer stehen dort alle Systemfunktionen
zur Verfügung, wobei der Administrator zusätzlich Datenbank-
oder Webserver installieren kann. |
|
| Honeypot-Computer |
| Die dritte Variante stellt komplette Rechner zur
Verfügung. Das kann in Form von eigenständigen Computern oder
aber durch Installation in einer virtuellen Umgebung wie VMware
erfolgen.
|
|
| Hier wird dem Eindringling ein komplettes System
angeboten, in welches sehr viel Aufwand für die Überwachung und
Protokollierung aller Aktionen investiert wurde. |
|
| Honeynet |
| Eine Erweiterung des Honeypot-Konzepts stellt das
Honeynet dar, das sich aus mehreren Honeypots zusammensetzt, die
unterschiedliche Funktionen anbieten. Dem Angreifer präsentiert
sich hier ein komplettes Netzwerk.
|
System 
