Private Honeypots

Ich werde alle paar Wochen wenn ich mich mit jemandem über Honeypots unterhalte gefragt ob es denn überhaupt Sinn macht einen solchen Aufwand zu betreiben. Meine Antwort darauf ist eigentlich immer zweiteilig. Für Privatpersonen macht es nicht wirklich Sinn, zumindest in der Form in der ich sie betreibe. Manipulierte Webseiten, ssh Honeypots und ähnliches machen hinter einer DSL Leitung komplett gar keinen Sinn. Natürlich verläuft sich auch da mal ein vereinzelter Angreifer drauf aber der erfolg dürfte eher minimal sein. Eine kleine Virenfalle hinter einer DSL-Leitung macht schon ein wenig mehr Sinn, allerdings eigentlich auch nur dann wenn man auch Unbedingt die Viren haben will, aus welchen Gründen auch immer. Trotzdem hält sich für die allermeisten Privatpersonen auch hier der Nutzen in sehr engen Grenzen.

In Firmennetzwerken sieht das ganze schon wieder etwas anders aus, dort macht es sehr wohl Sinn einen Honeypot zu betreiben und zwar sowohl nach extern als auch intern. Interne Virenfallen haben beispielsweise den Vorteil das ich auch dann Infektionen feststellen kann wenn mein Virenscanner versagt. Ähnliches gilt für einen gefakten Server der im Firmennetz rumsteht und sich hoffentlich langweilt, sollte dieser Server allerdings irgendwann einen Einbruchsversuch melden ist es mit ziemlicher Sicherheit sehr ernst. Ähnliches gilt für einen von außen erreichbaren ssh Honeypot. Aufgrund der ausprobierten Benutzernamen und Passwörter kann man sehr schnell darauf schließen ob da nur jemand seine Wordlist ausprobiert oder es ernsthaft auf die Firma abgesehen. Auch Imap,smtp, usw. sind hierfür ein perfekter Indikator.

Auch jemand der einfach nur einen Server im Internet betreibt kann durchaus von Honeypots profitieren da auch hier wieder sehr schnell unterschieden werden kann wieviele Informationen ein Angreifer über das System dahinter hat(Benutzernamen, Passwörter).

 

Für mich persöhnlich macht es aus mehreren Gründen Sinn, zum einen ist es ein relativ interessantes Hobby, zum anderen Verwende ich bei Unterschiedlichen Dienstleistern auch unterschiedliche Passwörter, sollte zufällig mal eine Benutzer/Passwort kombination gegen einen meiner Honeypots geschossen werden die ich bei einem anderen Dienstleister z.B. GMX oder Google verwendet habe so kann ich davon ausgehen das dieses Konto kompromitiert ist. Auch sehr praktisch ist meine neueste Ergänzung in meiner Alarmliste, aufgrund meiner Kündigung in meiner aktuellen Firma habe ich aus reiner Vorsicht mal meine Firmenpasswörter auf die Alarmliste gesetzt. Sollte zufällig mal einer meiner Nachfolger mein Passwort aus irgendwelchen Dateien oder Servern kratzen kann ich auch das ziemlich schnell zuordnen und entsprechend reagieren.

Generell gilt aber für alle öffentlich zugänglichen Systeme das man in diesem Fall ziemlich genau wissen muss was man tut und auch entsprechende Maßnahmen ergreifen MUß falls es mal jemand schaffen sollte aus einem solchen Honeypot auszubrechen oder direkt vom Honeypot aus fremde Systeme anzugreifen. Tripwire, Snort und ähnliches tun hier ganz gute Dienste sind aber natürlich kein Garant für dauerhafte Sicherheit. Auf deutsch ein Honeypot bedeutet auch arbeit und das im Idealfall täglich.

Wer jetzt trotzdem noch Lust hat einen privaten Honeypot zu betreiben, dem kann ich versprechen das sich der Aufwand lohnt zumindest wenn man sich wirklich für das Thema interessiert. Im Fall von Firmensystemen gehört ein interner Honeypot für mich fast schon zum Standard, eben genau aus dem Grund weil sobald an diesem System die Alarmglocken bimmeln ich mit einer 100% Sicherheit sagen kann das es ein internes Problem gibt. Je schneller ein solches internes Problem festgestellt wird desto größer sind die Chancen noch etwas retten zu können.

Brechthold
Brechthold gehört zu dem Gründungsteam von Contempt-it . Nach ein paar Jahren der Abstinenz jetzt wieder zurück im Adminteam um ein wenig Ordnung zu schaffen. Zu seinen Lieblingsthemen gehören Honeypots, IDS-Systeme und Servermonitoring. Neben seiner Arbeit im Adminteam werkelt er noch an seinem Brechtblog

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen