Honeypot

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche


Honeypots sind Server mit nur scheinbar wertvollen Daten wie Adressen und Dokumenten zur Täuschung von Angreifern. Mit ihnen soll von Systemen abgelenkt werden, die tatsächlich wertvolle Daten verarbeiten. Zusätzlich werden die Angriffe auf diese Honeypots beobachtet und analysiert, um neuartige Angriffe kennenzulernen; dazu werden sie protokolliert und ggf. auch rückverfolgt. Angriffe auf Honeypots sind also erwünscht.

Honeynet

Unter einem Honeynet wird eine Menge vernetzter Honeypots verstanden. Der Vorteil eines Honeynets gegenüber einem Honeypot liegt in der Überwachungs- und Verwaltungsmöglichkeit der einzelnen Honeypots von einem anderen System aus. Damit lassen Honeynets auch die Beobachtung erfolgreich angegriffener Systeme zu, auf denen sich der Angreifer volle Administrationsrechte verschafft hat: Die schützende und überwachende Infrastruktur liegt nicht auf dem einzigen Honeypot selbst sondern außerhalb der Zugriffsmöglichkeiten des Angreifers. Dies verursacht allerdings einen höheren Aufwand für Konzeption, Implementierung und Betrieb.

Honeypots und Honeynets wurden bisher überwiegend für Forschungszwecke eingesetzt. Neuere Untersuchungen zeigen allerdings, dass ein Einsatz von Honeynets in Unternehmen Informationen liefern kann, die das Sicherheitsniveau des Unternehmensnetzwerks verbessern können. Ein erkannter und beobachteter Angriff ermöglicht sofortige Reaktion und liefert daher einen direkten Nutzen. Die statistische Auswertung der Zugriffe auf das Honeynet kann genutzt werden, um andere Sicherheitsmechanismen anzupassen und liefert damit indirekten Nutzen. Ein Honeynet bietet zudem eine kontrollierte Testumgebung, in der neue Systeme vorab oder parallel zur Einführung betrieben und genau beobachtet werden können.


Honeynet Konfiguration

Honeynet Konfiguration

Derzeitige Angriffsverfahren sind in mehreren Stufen aufgebaut: Zuerst ermittelt, welche Netzsegmente und Maschinen zum Angriffsziel gehören sollen (Footprinting). Dann folgt ein Scannen, um herauszufinden, über welche Ports Kommunikationsverbindungen aufgebaut werden können. Danach wird geprüft, welches Betriebssystem auf den Zielrechnern eingesetzt wird und ob - und gegebenenfalls sogar welche - Firewalls die Systeme schützen. In der letzten Stufe ermittelt der Angreifer die Versionen der für ihn sichtbaren Serverdienste (Bannergrabbing).


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 2. Juli 2012 um 14:20 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Admin und Hartmut Pohl.

Anzeigen