This document is not available in the language you requested. It is therefore shown in Deutsch
Translated versions are available in following languages: Deutsch

Honeypots

WAS ist ein HONEYPOT?

Ein Honeypot ist ein speziell präpariertes Computersystem, das sebst keinen produktiven Einsatzzweck erfüllt. Das System
erzeugt von sich aus keine Kommunikation mit anderen Systemen bzw. Anwendern im Netzwerk. Deshalb wird jede Interaktion mit einem Honeypot-System per Definition als verdächtig betrachtet. Eine Interaktion mit einem
Honeypot-System wird deshalb als potentieller Angriff gewertet. Ein Honeypot ist somit ein System, das angegriffen
werden soll. Mit einem Honeypot wird das Ziel verfolgt, infizierte Systeme in einem Netzwerk zu erkennen bzw. neue
Angriffsformen zu beobachten und zu untersuchen.

Ein Honeynet ist ein Zusammenschluss von mehreren Honeypots in einem Netzwerk. Ziel ist u.a. die Beobachtung
von Angriffen in einem speziellen Netzwerk.

Grundsätzlich werden zwei Formen von Honeypots unterschieden:

Low-Interaction Honeypot

Ein Low-Interaction Honeypot ist ein System mit einer Software, die Netzwerkdienste mit bekannten Schwachstellen simuliert.
Die Simulation erfolgt oft nur bis zum Punkt der Schwachstelle selbst. Low-Interaction Honeypots werden eingesetzt, um Angriffe im Netz zu erkennen und das weitere Vorgehen eines erfolgreichen Angreifers zu analysieren. Der Einsatz von Low-Interaction Honeypots ist nahezu ohne Risiko, da ein Angreifer nur die Schwachstelle des simulierten Dienstes ausnutzen, aber keine Kontrolle über das gesamte System erhalten kann. Beispiele für Low-Interaction Honeypots sind Amun, Nepenthes oder Honeyd.

High-Interaction Honeypot

Ein High-Interaction Honeypot ist im Gegensatz zu einem Low-Interaction Honypot ein reales, vollwertiges System, das Netzwerkdienste anbietet. Ein Angreifer kann diese Netzwerkdienste angreifen und im Extremfall die Kontrolle über das gesamte System erlangen. High-Interaction Honeypots werden deshalb durch bestimmte Mechanismen, z.B. Firewalls oder Virtualisierungsfunktionalitäten, abgesichert. Ziel von High-Interaction Honeypots ist die Erkennung und Analyse von neuen, unbekannten Angriffsformen.

Honeynet am ZIH

Das ZIH betreibt ein Honeynet aus Low-Interaction Honeypots zur Identifizierung von infizierten System im Netzwerk der TU Dresden. Bei Erkennung von infizierten Systemen werden die Administratoren der Institute benachrichtigt. Als Low-Interaction Honeypot wird die Software Amun eingesetzt.

NoAH High-Interaction Honeypot am ZIH

Das NoAH Projekt (European Network of Affined Honeypots) ist ein von der Europäischen Union gefördertes Projekt zur Untersuchung von Cyberattacken im Internet. Das Projekt möchte eine Infrastruktur zur Entdeckung und Frühwarnung vor Angriffen im Netz basierend auf einer Honeypot-Technologie entwickeln. Ein weiteres Ziel der Forschung ist die Generierung von Angriffssignaturen (Mustern), um neue Angriffe automatisch zu erkennen. Projektpartner von NoAH sind u.a. das DFN-CERT, die Foundation for Research and Technology Hellas (FORTH) und die Vrije Universität (Niederlande).

Die in NoAH verwendete High-Interaction Honeypot-Umgebung Argos basiert auf einem modifizierten Qemu Hardwareemulator. In der virtuellen Maschine können unter anderem x86-Architekturen nachgebildet werden. Von der Vrije Universität Amsterdam wurde Qemu um Funktionalitäten erweitert, um effizient Angriffe auf den Honeypot über das Netzwerk zu erkennen.

Aktuelle Informationen zu NoAH sind im NoAH Blog zu finden.

Das ZIH betreibt im Rahmen der Forschungstätigkeiten des NoAH Projekts einen Argos High-Interaction Honeypot, der in die NoAH Test-Umgebung des DFN-CERT eingebunden ist.

Homepage of Technische Universität Dresden

Personal tools

Sections

ZIH