2. Nov 2008, 03:26

Als ein Honigtopf oder auch englisch Honeypot (früher auch Iron Box genannt) wird in der Computersicherheit ein Computerprogramm oder ein Server bezeichnet, das Netzwerkdienste eines Computers oder eines ganzen Rechnernetzes simuliert. Honeypots werden eingesetzt, Informationen über Angriffsmuster und Angreiferverhalten zu erhalten. Erfolgt ein Zugriff auf einen derartigen virtuellen Dienst, werden alle damit verbundenen Aktionen protokolliert und gegebenenfalls ein Alarm ausgelöst.

Die Idee dahinter ist, in einem Netzwerk einen oder mehrere Honeypots zu installieren, die keine konventionellen Dienste bieten und daher niemals angesprochen werden. Ein Angreifer, der nicht zwischen echten Servern/Programmen und Honeypots unterscheiden kann und routinemäßig alle Netzkomponenten auf Schwachstellen untersucht, wird früher oder später die von einem Honeypot angebotenen Dienste in Anspruch nehmen und dabei von dem Honeypot protokolliert werden. Da es ein ungenutztes System ist, ist jeder Zugriff darauf als ein Angriffsversuch zu werten.

Mehrere Honeypots können zu einem Honeynet zusammengeschlossen werden.

Inhaltsverzeichnis 1 Verschiedene Typen von Honeypots 1.1 nach Art der Implementierung 1.2 nach dem Grad der Interaktion 1.3 Low-Interaction Honeypots 1.3.1 honeyd 1.3.2 mwcollect 1.3.3 Nepenthes 1.3.4 honeytrap 1.3.5 MultiPot 1.4 High-Interaction Honeypots 1.5 Tarpits 2 Honeypots in Bezug auf Urheberrechtsverletzung 3 Honeypots in der Verfolgung von Straftaten 4 Einzelnachweise 5 Literatur 6 Weblinks

[Bearbeiten] Verschiedene Typen von Honeypots

[Bearbeiten] nach Art der Implementierung

Ein physikalischer Honeypot ist ein realer Rechner im Netzwerk mit eigener Netzwerkadresse. Ein virtueller Honeypot ist ein logisch eigenständiges System, das durch einen anderen Rechner simuliert wird.

[Bearbeiten] nach dem Grad der Interaktion

Man unterscheidet generell zwischen low interaction und high interaction Honeypots, ebenfalls in die Kategorie der Honeypots fallen sogenannte Tarpits.

[Bearbeiten] Low-Interaction Honeypots

Ein Low-Interaction Honeypot ist meist ein Programm, das einen oder mehrere Dienste emuliert. Der Informationsgewinn durch ein Low-Interaction-Honeypot ist daher beschränkt. Er wird insbesondere zur Gewinnung statistischer Daten eingesetzt. Ein versierter Angreifer hat wenig Probleme, einen Low-Interaction-Honeypot zu erkennen. Um automatisierte Angriffe beispielsweise von Computerwürmern zu protokollieren, reicht ein Low-Interaction Honeypot allerdings vollständig aus. In diesem Sinn kann er als ein Intrusion Detection System genutzt werden.

Einige Beispiele für Low-Interaction Honeypots sind:

[Bearbeiten] honeyd

honeyd, unter der GPL veröffentlicht, ist in der Lage, gesamte Netzwerkstrukturen zu emulieren; eine Instanz der Software kann viele verschiedene virtuelle Computer in einem Netzwerk simulieren, die alle unterschiedliche Dienste anbieten.

[Bearbeiten] mwcollect

mwcollect ist ein freier Honeypot unter der GPL für posix-kompatible Betriebssysteme mit der Zielsetzung, automatisierte Attacken von Würmern nicht nur zu erkennen und protokollieren, sondern die Verbreitungsmechanismen der Würmer zu nutzen, um eine Kopie des Wurms zu erhalten. Dazu werden als verwundbar bekannte Dienste nur soweit wie benötigt emuliert, ausgehend von verfügbaren Angriffsmustern.

[Bearbeiten] Nepenthes

Nepenthes, ebenfalls unter der GPL veröffentlicht, ist wie mwcollect ein Honeypot für posix-kompatible Betriebssysteme mit dem Fokus, Würmer zu sammeln.

[Bearbeiten] honeytrap

honeytrap ist ein Open-Source-Honeypot für die Sammlung von Informationen zu bekannten und neuen netzbasierten Angriffen. Um auf unbekannte Attacken reagieren zu können, untersucht honeytrap den Netzwerk-Stream auf eingehende Verbindungsanfragen und startet dynamisch Listener für die entsprechenden Ports, um die Verbindungsanfragen verarbeiten zu können. Im „Mirror Mode“ können Attacken zum Angreifer zurückgespiegelt werden. Über eine Plugin-Schnittstelle ist honeytrap um zusätzliche Funktionen erweiterbar.

[Bearbeiten] MultiPot

multipot ist ein Honeypot für Windows; er emuliert wie Nepenthes und mwcollect Schwachstellen unter Windows, um Würmer zu sammeln.

[Bearbeiten] High-Interaction Honeypots

High-Interaction Honeypots sind zumeist vollständige Server, die Dienste anbieten. Sie sind schwieriger einzurichten und zu verwalten als Low-Interaction Honeypots. Der Fokus bei einem High-Interaction-Honeypot liegt nicht auf automatisierten Angriffen, sondern darauf, manuell ausgeführte Angriffe zu beobachten und protokollieren, um so neue Methoden der Angreifer rechtzeitig erkennen zu können. Zu diesem Zweck ist es sinnvoll, dass es sich bei einem High-Interaction-Honeypot um ein high value target handelt, einen Server, dem von potentiellen Angreifern ein hoher Wert nachgesagt wird. Zur Überwachung eines High-Interaction-Honeypots wird eine spezielle Software eingesetzt, meist das frei verfügbare Sebek, die vom Kernelspace aus alle Programme des Userspace überwacht und die anfallenden Daten vom Kernelspace aus an einen loggenden Server sendet. Ziel von Sebek ist es, unerkannt zu bleiben; ein Angreifer soll nicht wissen und auch nicht ahnen können, dass er überwacht wird.

[Bearbeiten] Tarpits

→ Hauptartikel: Teergrube (Informationstechnik)

Tarpits (engl. für „Teergrube“) dienen beispielsweise dazu, die Verbreitungsgeschwindigkeit von Würmern zu verringern. Das Verfahren ist auch unter dem Namen LaBrea bekannt. Teergruben täuschen große Netzwerke vor und verlangsamen oder behindern so beispielsweise die Verbreitung von Internetwürmern und/oder die Durchführung von Netzwerkscans. Ebenso gibt es aber auch Teergruben, die offene Proxyserver emulieren und – falls jemand versucht, Spam über diesen Dienst zu verschicken – den Sender dadurch ausbremsen, dass sie die Daten nur sehr langsam übertragen.

[Bearbeiten] Honeypots in Bezug auf Urheberrechtsverletzung

Auch in Bezug auf die Verfolgung von Urheberrechtsverletzungen tauchte manchmal der Begriff Honeypot auf. In diesem Fall werden urheberrechtlich geschützte Werke von Organisationen wie der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) zum Download angeboten, um unvorsichtige Filesharer zu fassen.

[Bearbeiten] Honeypots in der Verfolgung von Straftaten

Strafverfolgungsbehörden, insbesondere das US-amerikanische FBI, fahnden auch mit Hilfe von Honeypots nach Konsumenten von Kinderpornografie. Dazu wurden Server eingerichtet, welche vorgaben Kinderpornographie zum Download anzubieten. Tatsächlich wurden strafrechtlich irrelevante Daten angeboten, die Zugriffe protokolliert und anschließend Strafverfahren gegen die zugreifenden Personen eingeleitet. Im Zuge dieser Strafverfahren wurden über die Internetdienstanbieter die Identität der Personen ermittelt und Durchsuchungsbeschlüsse eingeholt. Dieses Verfahren wurde nach dem Einspruch eines Betroffenen durch ein Gericht für zulässig erklärt.^[1]

[Bearbeiten] Einzelnachweise

1. ↑ Heise online

[Bearbeiten] Literatur

Klassische Fallbeschreibungen:

• Cliff Stoll, The Cuckoo's Egg, Doubleday, New York, 1989

auf deutsch "Kuckucksei", erschienen im Fischer-Verlag

• W.R.Cheswick, S.M.Bellovin, An Evening with Berferd in Firewalls and Internet Security, Addison-Wesley, 1994

• Lance Spitzner: Honeypots – Tracking Hackers Addison-Wesley, 2003, ISBN 0-321-10895-7
• N.Provos, T.Holz, Virtual Honeypots, Pearson, 2008
• Honeynet Projekt: Den Feind Erkennen I / Know Your Enemy I
• Honeynet Projekt: Den Feind Erkennen II / Know Your Enemy II
• Honeynet Projekt: Den Feind Erkennen III / Know Your Enemy III
• Honeynet Projekt: GenII Honeynets

[Bearbeiten] Weblinks

• http://wiki.hackerboard.de/index.php/Honeypot - deutschsprachige Wiki
• http://www.honeyd.org – Webseite des honeyd-Projekts
• http://www.honeypots.net/honeypots/products - Sammlung von Software-Links
• http://nepenthes.sourceforge.net – Webseite des Nepenthes-Projekts
• http://www.mwcollect.org – Webseite des mwcollect-Projekts
• http://honeytrap.sourceforge.net – Webseite des honeytrap-Projekts
• http://www.idefense.com/iia/labs-software.php?show=9 – Webseite von MultiPot bei idefense
• http://www.honeynet.org/tools/sebek/ – Website des Sebek-Projekts
• http://www.honeynet.org – Honeynet Project
• http://www.pixel-house.net/mwc_facharbeit.pdf – Artikel 'Sammeln von Malware in nicht nativer Umgebung' von Georg Wicherski
• http://www.it-defender.com/content/view/280/29/ - Einführung zu Honeypots auf IT-Defender.com

Dieser Artikel ist eine Kopie aus der freien Enzyklopädie Wikipedia. Am Originalartikel kann jeder Korrekturen und Ergänzungen vornehmen. Zudem kann man frühere Versionen einsehen.

Abkürzungen • Dateiendungen • Netzjargon