Viktor - Fotolia

Honeypots einsetzen – die Aktivitäten eines Angreifers verfolgen

Üblicherweise werden Honeypots zur Angriffsanalyse von Security-Experten genutzt. Der Einsatz ist aber auch in Unternehmen sinnvoll.

Viele kennen wahrscheinlich die Begriffe Honeypots und Honeynets. Der Einsatz dieser Werkzeuge ist nicht nur für Security-Experten interessant. Setzen sie Unternehmen allerdings angemessen ein, dann können sie ebenfalls davon profitieren.

In diesem Beitrag geben wir Ihnen einen Überblick zu Honeypots. Außerdem sprechen wir über allgemeine Tipps zum Design, wenn Sie sich einen Einsatz dieser Technologie in Ihrem Netzwerk überlegen. Außerdem stellen wir einige Einsatzgebiete vor. In diesem Artikel werden wir zwischen den Begriffen Honeypots und Honeynets nicht unterscheiden. Mit einem Honeynet versuchen die Administratoren, ein größeres und verschiedenartigeres Netzwerk vorzutäuschen. Für den Angreifer sieht eine solche Umgebung glaubwürdiger aus.

Honeypots sind eine isolierte Ansammlung an Systemen. Der Hauptzweck ist, Angreifer und potenzielles Ausnutzen anzulocken. Dafür setzt das System auf echte oder emulierte Security-Lücken oder Schwachstellen in den Systemkonfigurationen. Dazu gehören auch einfach zu erratende Passwörter. Angreifer werden angelockt und die Aktivitäten geloggt, damit die Experten die Angriffe besser verstehen können. Honeypots sind im Allgemeinen in zwei Kategorien eingeteilt: High-interaction und Low-interaction Honeypots.

Arten und Kompromisse

High-interaction Honeypots sind Systeme, hinter denen sich ein echtes Betriebssystem und kein emuliertes befindet. Es lässt sich vollständig kompromittieren. Der Angreifer interagiert mit einem echten System, inklusive einem komplexen Service Stack. Solche Systeme sind entwickelt, um detailliert die Aktivitäten für diesen speziellen Angriff zu sammeln. Low-interaction Honeypots simulieren lediglich einen Teil eines realen Betriebssystems. Mögliche Beispiele sind der Netzwerk-Stack, die Prozesse und die Services. Ein genaueres Beispiel wäre ein FTP Service, der scheinbar eine verwundbare Version des Codes verwendet. Möglicherweise lockt das einen Wurm an, der genau diese verwundbare Version des Services angreift. Auf diese Weise lassen sich Erkenntnisse über das Verhalten des Wurms sammeln.

Bei jeder Installation müssen Sie aber auch Kompromisse eingehen. High-interaction Honeypots für Netzwerk-Security bieten den Vorteil eines echten Betriebssystems und realen Anwendungen. Für den Angreifer sehen solche Szenarien authentischer aus. Auf diese Weise können Sie sehr viele Informationen sammeln, die das Verhalten des Angreifers auf dem kompromittierten System widerspiegeln.

Für Unternehmen ist so eine Sache dann vorteilhaft, wenn sie echte Daten darüber sammeln wollen, auf welche Weise Cyberkriminelle bestimmte Systeme kompromittieren. Darauf basierend lassen sich angemessene Verteidigungsmaßnahmen entwickeln. Solche Systeme sind aber auch schwer zu konfigurieren und zu warten. Darüber hinaus ist das Risiko eines Kollateralschadens hoch. Zum Beispiel lassen sich die kompromittierten Systeme verwenden, um andere Systeme anzugreifen, die ebenfalls über das Internet erreichbar sind.

Ein Low-interaction Honeypot lässt sich einfach aufsetzen und warten. Außerdem sind solche Systeme im Allgemeinen immun, von einem Angreifer kompromittiert zu werden. Möglicherweise ist die Emulation aber nicht ausgeklügelt genug und Angreifer können das System vielleicht umgehen. In so einem Fall ist ein Honeypot nicht mehr effektiv. Welche Art Sie im Endeffekt einsetzen wollen, hängt vom angestrebten Ziel ab. Wollen Sie die Interaktionen der Angreifer mit dem System im Detail beobachten, dann ist ein High-interaction Honeypot mit Sicherheit die bessere Wahl ist. Wollen Sie Malware-Beispiele abfangen, die es auf bestimmte und verwundbare Versionen von Services abgesehen haben, dann würde ein Low-interaction Honeypot ausreichen.

Es gibt noch einen weiteren wichtigen Punkt, den Sie bei der Wahl einer Honeypot-Art beachten sollten. Es geht darum, ob der Honeypot auf einem einzelnen physischen System oder auf verschiedenen virtuellen Maschinen auf einem einzelnen physischem System gehostet ist. Das wirkt sich direkt auf den Aufwand der Wartung des Systems aus. Virtuelle Systeme bringen ganz eigene Security-Probleme mit sich, das ist klar. Allerdings ist eine Rolle Rückwärts auf solchen Systemen wesentlich einfacher und lässt sich schneller realisieren. Das spart natürlich Zeit.

Honeypots einsetzen

Das grundlegende Design eines Honeypots ist, dass er im Netzwerk keinen konventionellen Zweck verfolgt. Das gilt sowohl für High-interaction als auch Low-interaction Systeme. Anders gesagt sollten sich auf dem System keine ungewöhnlichen Prozesse, Services oder Daemons befinden, sondern nur diejenigen, die das Betriebssystem voraussetzt. Weiterhin sollte der Honeypot keinen Netzwerk-Traffic verursachen, außer solchen, der von existierenden Daemons oder Services produziert wird. Diese Voraussetzung hilft bei der Erkennung von Angriffen, indem jede Interaktion mit dem Honeypot als verdächtig und als böswillige Aktivität eingestuft wird. Bevor wir uns nun mit den Best Practices bei der Installation und Konfiguration von Honeypots beschäftigen, erwähnen wir noch einige populäre Einsatzfälle für High- und Low-interaction Honeypots.

High-interaction Honeypots benötigen im Allgemeinen keine spezialisierte Software, um mit der Installation des zugrunde liegenden Betriebssystems beginnen zu können. VMware Workstation oder eine andere Virtualisierungssoftware wie zum Beispiel QEMU sollten zum Beispiel ausreichen, um das Betriebssystem für die Honeypot-Mitglieder installieren zu können. In der Regel betreiben Gastbetriebssysteme auf der Host-Maschine die Virtualisierungs-Software.

High-interaction Honeypots benötigen im Allgemeinen keine spezialisierte Software, um mit der Installation des zugrunde liegenden Betriebssystems beginnen zu können.

Sobald das grundlegende Betriebssystem aufgesetzt ist, kümmert sich der Administrator um das angemessene Monitoring des Honeypots, also dem Gastbetriebssystem. Normalerweise ist das zweigeteilt. Sie monitoren das Gastbetriebssystem und das Host-Betriebssystem separat. Das Monitoring des Host-Betriebssystems sollte sich darauf fokussieren, sämtlichen Traffic zu sammeln, der beim Honeypot eintrifft und diesen verlässt. Das lässt sich mit Software zum Sammeln von Traffic erledigen. Mögliche Tools sind an dieser Stelle tcpdump oder Wireshark.

Sie wollen natürlich auch dann in Kenntnis gesetzt werden, wenn potenzieller Kollateralschaden verursacht wird. Das sind böswillige Verbindungen, die von einem kompromittierten Gastbetriebssystem ausgehen. Man nennt das auch Extrusionserkennung. Das lässt sich mit Zugriffskontrolllisten realisieren und ein mögliches Tool ist iptables. Auch andere Host-basierte Firewalls sind denkbar. Das Erzwingen der Filter von eingehendem Traffic ermöglicht eine gewisse Kontrolle, welche Arten von Angriffen auf den Honeypot treffen dürfen. Sie können außerdem das Filtern von Traffic auf dem Host-Betriebssystem mit einem Intrusion Detection System (IDS) wie zum Beispiel Snort kombinieren. Somit steigern sich die Leistungsmerkmale für die Warnsignale bekannter Angriffsvektoren. Ein Beispiel ist signaturbasiertes Warnen.

Das Monitoring des Gastbetriebssystems oder des eigentlichen Ziels des Angriffs setzt voraus, dass sämtliche Aktionen des Angreifers aufgezeichnet werden. Sie müssen die Aktivitäten der Tastaturanschläge überwachen, die vom Angreifer verwendeten Tools dokumentieren und Versuche zur Rechteausweitung aufzeichnen. Das sind nur einige Beispiele. Sebek ist ein Tool, mit dem sich dieses Niveau an Sammeln von Daten realisieren lässt. User-mode Linux und Argos sind einige weitere Beispiele von virtuellen High-interaction Honeypots, die eine Erwähnung wert sind.

Im Gegensatz zu High-interaction Honeypots benötigen Low-interaction Systeme spezielle Software, die auf dem Host-Betriebssystem installiert sein muss. Zusätzlich ist eine weiterführende Konfiguration notwendig, damit verwundbare Services angemessen emuliert werden. Zu den populären Low-interaction Honeypot-Technologien gehören Nepenthes, sein Nachfolger Dionaea und mwcollectd.

Low-interaction Honeypots bringen per Standard viele Monitoring-Möglichkeiten mit sich. Dazu gehören ausgiebige Logging-Möglichkeiten, Abfangen von Malware, Benachrichtigungen in Echtzeit und das Einreichen von Malware für Remote-Analysen. Diese Leistungsmerkmale lassen sich durch Addons oder Module erweitern. Dazu gehört zum Beispiel bei Nepenthes eingebaute IRC-Unterstützung unter der Verwendung des Log-IRC-Moduls. Außerdem lässt sich mithilfe des p0f-Moduls bei Dionaea der eingesetzte Betriebssystems-Typ passiv identifizieren. Dionaea unterstützt außerdem das XMPP-Module (Extensible Messaging and Presence Protocol), über das sich Malware-Binärdateien mit der Security Community teilen lassen. Das ist natürlich auch mit anderen Unternehmen möglich, um das Bewusstsein zu stärken.

Von Best Practice, die im Zusammenhang mit dem Monitoring von Honeypots mit hoher Interaktion stehen, war schon die Rede. Dazu gehören zum Beispiel Filter für eingehenden und ausgehenden Traffic, sowie Implementierung von netzwerkbasierter Einbruchserkennung. Diese Leistungsmerkmale müssen ausreichend isoliert werden, also den Honeypot angemessen von produktiven Netzwerken trennen.

Im Idealfall hat die Umgebung mit dem Honeypot einen dedizierten Zugang zum Internet. Aus Gründen der Verwaltung ist ein separates Netzwerk für das Host-Betriebssystem ideal. Low-interaction Honeypots lassen sich von einem Angreifer nicht vollständig kompromittieren. Aus diesem Grund sind diese Komponenten natürlich einfacher zu schützen. Im Normalfall sind Low-interaction Honeypots auf einem kleinen Teil der Festplatte isoliert. Dazu werden Tools wie zum Beispiel chroot eingesetzt. Der Administrator sollte peinlich genau darauf achten, dass der Honeypot komplett von allen produktiven Netzwerken getrennt ist. Ein Low-interaction Honeypot ist den gleichen Bedrohungen ausgesetzt wie ein High-interaction Honeypot.

Typische Anwendungsfälle

Einer der Hauptanwendungszwecke von Honeypots ist, Muster von Malware zu sammeln. Diese Beispiele könnten sogenannten Zero-Day-Exploits oder bekannte Lücken adressieren. Für die Forscher liefern Honeypots ein besseres Verständnis für solche Angriffe. Zum Beispiel lassen sich durch das Monitoring des IRC-Kontroll-Kanals wertvolle Erkenntnisse in Echtzeit sammeln. Ebenso ist die Möglichkeit zu einer passiven Identifikation des Betriebssystems gegeben, das der Angreifer verwendet. Unter Umständen lassen sich auch Angriffe aufzeichnen und abermals durchspielen.

Zusätzlich können die Forscher die Informationen über die Bedrohungen mit anderen Teilen. Das ist zum Beispiel mittels XMPP möglich. Experten können Muster bei Online Sandboxes und Multi-Antiviren-Scannern einreichen, wo weitere Analysen durchgeführt werden. Einige Beispiele in diesem Zusammenhang sind Virus Total, Jotti, ThreatExpert und CWSandbox.

Mithilfe von Honeypots lässt sich Malware sammeln und dieses Leistungsmerkmal ist auf die Welt der Bots und Botnets ebenfalls erweiterbar. Die Architektur von Botnets können Experten mit dem Einsatz von Honeypots verfolgen und analysieren. Botnets sind verteilt und werden über einen externen Kanal gesteuert. Oftmals setzen die Betreiber auf IRC oder HTTP. Die Malware bringt Leistungsfähigkeiten mit sich, um Zero-Day-Exploits ausnutzen zu können.

Der Nutzwert von Honeypots geht aber über die hier genannten Beispiele hinaus. Die Effizienz hängt aber von einem guten Design ab. Jede Schwäche im Design könnte aus einem Honeypot statt einem Betriebsmittel für das Bedrohungsmanagement eine schwerwiegende Gefährdung machen. Möglich sind an dieser Stelle unzureichende Isolierung, nicht angemessenes Monitoring und keine Benachrichtigung in Echtzeit. Bei der Implementierung eines Honeypots sollten Administratoren mit Umsicht arbeiten. Wer das entsprechende Fachwissen nicht mit sich bringt, sollte sich immer Hilfe von geschulten Experten oder Consultants holen.

Über den Autor:
Anand Sastry ist Vice President Incident Response bei Barclays. Davor war Senior Security Architect bei Savvis Inc. Vor Savvis hat er für Consulting-Firmen Kunden in diversen Branchen beraten. Dazu gehören große und mittelständische Unternehmen in den Bereichen Finanzen, Gesundheitswesen, Einzelhandel und Media. Er hat Erfahrung mit Netzwerk- und Applikations-Penetrations-Tests, Design von Security-Architektur, drahtloser Security, Reaktionen auf Sicherheitsvorfälle und Security-Engineering. Derzeit beschäftigt er sich mit den Themen Netzwerk- und Applikations-Firewalls, Netzwerk-IDS (Intrusion Detection System), Malware-Analyse und DDoS-Systeme (Distributd Denial of Service).

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2016 aktualisiert

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close