#0108 – Was ist ein Honeypot?

#107 – Was ist ein Rootkit?
19. Juli 2019
#0109 – Was ist eigentlich eine heuristische Analyse?
2. August 2019

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Bei einem Honeypot zu deutsch Honigtopf handelt es sich um eine digitale Lockfalle. Das bedeutet, dass sich Honeypots nach außen hin, wie echte Computerprogramme, Serversysteme oder Netzwerke verhalten und verschiedene Dienste und Nutzer simulieren.

Ähnlich wie Bären für Honig schwärmen, läuft Cyberkriminellen beim Anblick dieser unzureichend gesicherten Systeme, Anwendungen und Netzwerke das Wasser im Mund zusammen.

Sobald sie einen Angriff auf die Honeypots starten, erhalten die Administratoren eine Nachricht und die Aufzeichnung der “kriminellen” Aktivitäten beginnt.

Mit Honeypots lassen sich so die Angriffsmuster und Angriffsmethoden protokollieren und analysieren. Außerdem besteht sogar die Chance, dass man die Angreifer identifizieren und verfolgen kann.

Da Honeypots, von den produktiven IT-Systemen und Netzwerken isoliert sind und besonders überwacht werden, kann durch das Eindringen eines Angreifers kein Schaden entstehen.

 

Um Honeypots einzurichten gibt es in der Praxis serverseitige und clientseitige Technologien.

  • Beim serverseitigen Honeypotting, werden Angreifer in isolierte Bereiche eines IT-Systems gelockt, um sie so von kritischen Netzwerkkomponenten fernzuhalten. Dazu simuliert ein einfacher Honeypot eine Serveranwendung, die einen oder mehrere Dienste im Netzwerk bereitstellt – beispielsweise einen Webserver. Lässt sich ein Angreifer durch das Ablenkmanöver täuschen und startet einen Versuch in das System einzudringen, zeichnet der Honeypot sämtliche Aktivitäten auf, schlägt Alarm oder leitet Gegenmaßnahmen ein.
  • Beim clientseitigen Honeypotting wird eine Anwendungssoftware imitiert, die Serverdienste in Anspruch nimmt. Ein Paradebeispiel hierfür ist die Simulation eines Browsers, der gezielt unsichere Webseiten besucht, um Daten über Sicherheitsrisiken zu sammeln. Kommt es auf einer dieser Seiten zu einem Angriff auf den Browser oder Browser-Plug-ins, wird der Vorgang protokolliert.

Grundsätzlich ist das Ziel eines Honeypots, lange unentdeckt zu bleiben und einen Angreifer zu täuschen. Daher ist eines der wichtigsten Kriterien zur Klassifizierung von Honeypots der Grad der Interaktivität mit dem Angreifer.

Man unterscheidet in diesem Zusammenhang sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots und High-Interaction-Honeypots.

  • Low-Interaction-Honeypots sind Scheinziele mit einem geringen Grad an Interaktivität. Das bedeutet, dass sie in der Regel auf der Nachahmung realer Systeme oder Anwendungen basieren. Dabei werden Dienste und Funktionen nur soweit simuliert, dass ein Angriff möglich ist.
  • High-Interaction-Honeypots sind Scheinziele mit einem hohen Grad der Interaktivität. Das bedeutet, dass es sich hierbei um reale Systeme handelt, die Server-Dienste anbieten und daher gut überwacht und abgesichert werden müssen.

Neben diesen beiden Technologien gibt es noch die sogenannte Research-Honeypots und Produktion-Honeypots.

  • Research-Honeypots werden von Forschungseinrichtungen, Behörden und vom Militär genutzt, um Informationen über neue Angriffsmuster zu sammeln und diese in aufbereiteter Form der Internet-Community zur Verfügung zu stellen.

 

  • Production-Honeypots werden in Unternehmen in erster Linie zum Schutz des Firmennetzwerks eingesetzt. Hierzu werden in den Netzwerkbereichen, die im Normalbetrieb nicht angesprochen werden und weder Mitarbeitern noch Kunden Dienste zur Verfügung stellen, digitale Lockfallen installiert.

 

Durch die fingierten Sicherheitslücken werden die Angreifer so in ein ungenutztes System gelockt und die Zugriffe können als  Angriff gewertet, überwacht und analysiert werden.

Wie werden Honeypots nun implementiert?

Um Honeypots einzurichten beziehungsweise zu implementieren haben Administratoren grundsätzlich zwei Möglichkeiten: Entweder wird ein physisches System als Honeypot genutzt oder man implementiert einen Honeypot auf Basis von Virtualisierungs-Software.

  • Bei einem physischen Honeypot handelt es sich um einen eigenständigen Rechner, der mit eigener Adresse in ein Netzwerk eingebunden wird.
  • Bei einem virtuellen Honeypot handelt es sich um ein logisches System, dass durch eine Virtualisierungs-Software Ressourcen eines physischen Rechners zugeteilt bekommt.

Fazit:

Sie sehen, ein Honeypot kann, wenn er richtig eingesetzt wird, ein wertvoller Bestandteil eines mehrschichtigen IT Sicherheitskonzeptes sein. Sie sind ein bewährtes Mittel, um Cyberangriffe und Bedrohungen zu erkennen, zu analysieren und entsprechende Schlüsse daraus zu ziehen.  Außerdem kann man mit Honeypots Angreifer von echten Serversystemen oder Netzwerken ablenken, ohne sie zu schädigen.

Allerdings muss man bedenken, dass falsch konfigurierte Honeypot-Sicherheitssysteme ein hohes Sicherheitsrisiko für das Unternehmensnetzwerk und andere Systeme darstellen können. Darüber hinaus stellt die Installation und Überwachung des Systems sowie die Analyse der Angriffe einen großen Aufwand dar. Da Honeypots und Honeynets Hacker anlocken, sollten Sie vor der Implementierung und dem Live-Schalten von Honeypots sowohl IT-Security Experten, als auch einen Rechtsberater hinzuziehen.

Schreibe einen Kommentar