Private Honeypots

Ich werde alle paar Wochen wenn ich mich mit jemandem über Honeypots unterhalte gefragt ob es denn überhaupt Sinn macht einen solchen Aufwand zu betreiben. Meine Antwort darauf ist eigentlich immer zweiteilig. Für Privatpersonen macht es nicht wirklich Sinn, zumindest in der Form in der ich sie betreibe. Manipulierte Webseiten, ssh Honeypots und ähnliches machen hinter einer DSL Leitung komplett gar keinen Sinn. Natürlich verläuft sich auch da mal ein vereinzelter Angreifer drauf aber der erfolg dürfte eher minimal sein. Eine kleine Virenfalle hinter einer DSL-Leitung macht schon ein wenig mehr Sinn, allerdings eigentlich auch nur dann wenn man auch Unbedingt die Viren haben will, aus welchen Gründen auch immer. Trotzdem hält sich für die allermeisten Privatpersonen auch hier der Nutzen in sehr engen Grenzen.

In Firmennetzwerken sieht das ganze schon wieder etwas anders aus, dort macht es sehr wohl Sinn einen Honeypot zu betreiben und zwar sowohl nach extern als auch intern. Interne Virenfallen haben beispielsweise den Vorteil das ich auch dann Infektionen feststellen kann wenn mein Virenscanner versagt. Ähnliches gilt für einen gefakten Server der im Firmennetz rumsteht und sich hoffentlich langweilt, sollte dieser Server allerdings irgendwann einen Einbruchsversuch melden ist es mit ziemlicher Sicherheit sehr ernst. Ähnliches gilt für einen von außen erreichbaren ssh Honeypot. Aufgrund der ausprobierten Benutzernamen und Passwörter kann man sehr schnell darauf schließen ob da nur jemand seine Wordlist ausprobiert oder es ernsthaft auf die Firma abgesehen. Auch Imap,smtp, usw. sind hierfür ein perfekter Indikator.

Auch jemand der einfach nur einen Server im Internet betreibt kann durchaus von Honeypots profitieren da auch hier wieder sehr schnell unterschieden werden kann wieviele Informationen ein Angreifer über das System dahinter hat(Benutzernamen, Passwörter).

 

Für mich persöhnlich macht es aus mehreren Gründen Sinn, zum einen ist es ein relativ interessantes Hobby, zum anderen Verwende ich bei Unterschiedlichen Dienstleistern auch unterschiedliche Passwörter, sollte zufällig mal eine Benutzer/Passwort kombination gegen einen meiner Honeypots geschossen werden die ich bei einem anderen Dienstleister z.B. GMX oder Google verwendet habe so kann ich davon ausgehen das dieses Konto kompromitiert ist. Auch sehr praktisch ist meine neueste Ergänzung in meiner Alarmliste, aufgrund meiner Kündigung in meiner aktuellen Firma habe ich aus reiner Vorsicht mal meine Firmenpasswörter auf die Alarmliste gesetzt. Sollte zufällig mal einer meiner Nachfolger mein Passwort aus irgendwelchen Dateien oder Servern kratzen kann ich auch das ziemlich schnell zuordnen und entsprechend reagieren.

Generell gilt aber für alle öffentlich zugänglichen Systeme das man in diesem Fall ziemlich genau wissen muss was man tut und auch entsprechende Maßnahmen ergreifen MUß falls es mal jemand schaffen sollte aus einem solchen Honeypot auszubrechen oder direkt vom Honeypot aus fremde Systeme anzugreifen. Tripwire, Snort und ähnliches tun hier ganz gute Dienste sind aber natürlich kein Garant für dauerhafte Sicherheit. Auf deutsch ein Honeypot bedeutet auch arbeit und das im Idealfall täglich.

Wer jetzt trotzdem noch Lust hat einen privaten Honeypot zu betreiben, dem kann ich versprechen das sich der Aufwand lohnt zumindest wenn man sich wirklich für das Thema interessiert. Im Fall von Firmensystemen gehört ein interner Honeypot für mich fast schon zum Standard, eben genau aus dem Grund weil sobald an diesem System die Alarmglocken bimmeln ich mit einer 100% Sicherheit sagen kann das es ein internes Problem gibt. Je schneller ein solches internes Problem festgestellt wird desto größer sind die Chancen noch etwas retten zu können.

Tagged , . Bookmark the permalink.

About Brechthold

Brechthold gehört zu dem Gründungsteam von Contempt-it . Nach ein paar Jahren der Abstinenz jetzt wieder zurück im Adminteam um ein wenig Ordnung zu schaffen. Zu seinen Lieblingsthemen gehören Honeypots, IDS-Systeme und Servermonitoring. Neben seiner Arbeit im Adminteam werkelt er noch an seinem Brechtblog

2 Responses to Private Honeypots

  1. flash says:

    servus,

    ich frage mich gerade, ob der meister wohl interesse an einem lehrling hätte? wenn sie mögen, melden sie sich gern per mail bei mir.

    in der hoffnung ihr interesse geweckt zu haben & mit frdl. grüßen

    flash

    • Brechthold says:

      Ich beschäftige mich jetzt seit guten 10 Jahren mit Honeypots, Intrusion Detection Systemen und Intrusion Prevention Systemen, das ist zwar schon eine Menge an Zeit und Erfahrung aber noch lange kein Grund mich Meister zu nennen. Für das Sie fühle ich mich trotz meiner 35 Jahre auch nicht wirklich alt genug, daher bleibe ich hier mal beim Du (Ausserdem klingt Herr Flash irgendwie Doof 😉 )Der Reiz den solche Systeme bieten liegt vor allem darin das sie sich ständig weiter entwickeln, bzw. man sich ständig intensiv um sie kümmern muss. Hier wirst du immer wieder in Probleme laufen solange du die eingesetzten Systeme nicht blind beherrschst und dein Setup im Kopf hast, geht mir zumindest immer wieder so. Wenn du also wirklich etwas lernen willst dann kann ich dir nur einen Rat geben. Fang einfach damit an. Arbeite dich in ein paar Systeme ein, geh ein paar Holzwege, lerne aus deinen Fehlern und deinen Systemen. Bei konkreten Fragen stehe ich dir allerdings gern zur Verfügung, also wenns klemmt schreib ne Mail.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.