Startseite   Titel   Zurück   Suche 
OPTIONEN
 Zur Startseite
 Zur Titelseite
 Eine Seite zurück
 Zum Archiv-Index
HILFE
 Suche
SCHLIESSEN


HONEYPOTS
Übersicht
Einführung Mehr... Links RFCs Books
SICHERHEIT
  • Was sind Honeypots?
  • Welche Arten von Honeypots gibt es?
  • Vorteile und Nachteile von Honeypots
  • Nützliche Links
  • Credits

  • Was sind Honeypots?
    "Honeypot" bedeutet aus dem Englischen übersetzt "Honigtopf" und steht sinnbildlich für den verlockenden Topf, von dessen Geruch man angelockt wird und dessen man sich nur zu gerne bemächtigen möchte, vor allem, wenn er - wie es scheint - unbewacht und ungeschützt irgendwo herumsteht.

    Eine sehr treffende Definition stammt von Lance Spitzner, der Honeypots wie folgt definiert:
    "Ein Honeypot ist ein Informationssystem, dessen Wert in der unauthorisierten oder verbotenen Benutzung desselben liegt"
    [ Übersetzt aus dem Englischen, siehe http://www.spitzner.net/honeypots.shtml ]

    Ein Honeypot ist also im Allgemeinen ein System, das keine produktive Aufgabe erledigt und von daher nicht von sich aus mit anderen Rechnern in einem Netzwerk kommuniziert. In der Regel täuscht ein Honeypot vor, ein bestimmtes System zu sein, z.B. ein Betriebssystem mit einem laufenden Webserver eines bestimmten Typs. Weil ein Honeypot normalerweise keinen Datenverkehr verursacht, kann man davon ausgehen, das fast jeder Zugriff auf solch ein System von böswilliger Natur ist, z.B. eine direkte Attacke gegen das System oder ein Scan nach offenen Ports. Genau hier liegt dann der Ansatzpunkt für verschiedene Honeypotimplementierungen: Denkbar ist z.B. die Simulation offener Ports, die für Angriffe ausgenutzt werden könnten. Jeder versuchte Angriff kann dann vom Honeypot geloggt und später analysiert werden. Ein Honeypot ist somit vergleichbar mit einem Spielplatz, auf dem sich ein Hacker austoben kann. Allerdings ist auch zu beachten, dass ein solcher "Spielplatz" nicht ohne Risiko ist, denn er kann als Ausgangsbasis für weitere Angriffe dienen, falls er ganz in die Hände eines Hackers fällt.

    Welche Arten von Honeypots gibt es?
    Ein Honeypot sollte natürlich nach außen hin sehr verlockend und einladend wirken, d.h. vorgetäuschte Schwachstellen offenbaren. Um dies zu erreichen, gibt es vielfältige Arten von Honeypots: Einige Honeypots sind rein als Software implementiert und stellen nur offene Ports zur Verfügung sowie eventuell minimale Interaktionsmöglichkeiten, z.B. als simulierter Telnet-Server, der es einem Angreifer erlaubt, sich einzuloggen. Andere sind wiederum "echte" Betriebssysteme mit "echten" Anwendungen, die natürlich mehr Information über einen Angriff sammeln können, da ein Angreifer meint, er wäre im Begriff in ein echtes System einzudringen.

    Generell lassen sich Honeypots grob in die Kategorien "System mit wenig Interaktionsmöglichkeiten" und "System mit hohen Interaktionsmöglichkeiten" unterteilen.

    Eine spezielle Form von Systemen mit hohen Interaktionsmöglichkeiten sind die sogenannten Honeynets. Dies sind Netzwerke aus verschiedenen echten Produktionssystemen, die speziell zur Analyse von Angriffstechniken und Angriffstaktiken angelegt sind. Die dabei verwandten Betriebssysteme und Programme sind tatsächlich auch z.B. in Firmennetzwerken in Gebrauch. Honeynets werden in erster Linie zur Forschung betrieben.

    Vorteile und Nachteile von Honeypots?
    In Abhängigkeit von der Interaktionsmöglichkeit eines Angreifers mit einem Honeypot ergeben sich Vor- (+) und Nachteile (-) für den Betreiber eines solchen Systems; Beispiele hierfür:
    Wenig Interaktionsmöglichkeiten:
    + geringes Risiko, dass der Honeypot als Ausgangsbasis für einen weiteren Angriff benutzt werden kann
    + meist keine zusätzliche Hardware nötig, da ein solcher Honeypot auf einem vorhandenen System als eigenständige Software läuft
    - durch die geringe Interaktionsmöglichkeit lassen sich nur wenige Informationen zur Analyse sammeln
    Hohe Interaktionsmöglichkeiten:
    + oftmals echte Systeme, die ein typisches Hackervorgehen anhand der gesamelten Informationen rekunstruierbar machen
    - erlangt ein Angreifer die volle Kontrolle über ein solches System kann er sowohl seine Spuren verwischen als auch neue Angriffe von dort aus starten, wobei der Betreiber des Honeypots gegebenenfalls zur Rechenschaft gezogen wird, falls durch einen solchen Angriff von seinem System aus Schaden entsteht
    Unabhängig von der Art der Interaktionsmöglichkeit ist der Vorteil von Honeypots oftmals die Einfachheit, mit der ein solches System aufzusetzen ist, der hohe Informationsgehalt der Logdateien, da fast nur relevante Einträge vorhanden sind und eben die Möglichkeit, Angriffsvorgehensweisen so detailiert wie möglich studieren zu können und eventuell sogar völlig neue Taktiken kennen zu lernen.


    Bericht von :
    [ Melchior mOg ]
    Überarbeitet von :
    [ CONVEX ]


    CHECK THIS SITE