Was ist ein Honeypot?

Wenn Sie einen Computer ohne Filter für eingehenden Datenverkehr mit dem offenen Internet verbinden, empfängt er normalerweise innerhalb von Minuten Angriffsdatenverkehr. Dies ist das Ausmaß automatisierter Angriffe und Scans, die ständig im Internet stattfinden. Die überwiegende Mehrheit dieser Art von Verkehr ist vollständig automatisiert. Es sind nur Bots, die das Internet scannen und vielleicht einige zufällige Payloads ausprobieren, um zu sehen, ob sie etwas Interessantes tun.

Wenn Sie einen Webserver oder eine andere Form von Server betreiben, muss Ihr Server natürlich mit dem Internet verbunden sein. Abhängig von Ihrem Anwendungsfall können Sie möglicherweise so etwas wie ein VPN verwenden, um nur autorisierten Benutzern den Zugriff zu ermöglichen. Wenn Sie jedoch möchten, dass Ihr Server öffentlich zugänglich ist, müssen Sie mit dem Internet verbunden sein. Daher wird Ihr Server Angriffen ausgesetzt sein.

Es mag den Anschein haben, als müssten Sie dies im Grunde einfach als selbstverständlich akzeptieren. Zum Glück gibt es einige Dinge, die Sie tun können.

Implementieren Sie einen Honeypot

Ein Honeypot ist ein Werkzeug, das Angreifer anlocken soll. Es verspricht saftige Informationen oder Schwachstellen, die zu Informationen führen könnten, aber nur eine Falle sind. Ein Honeypot wird absichtlich eingerichtet, um einen Angreifer hineinzuködern. Je nachdem, was Sie tun möchten, gibt es ein paar verschiedene Varianten.

Ein Honeypot mit hoher Interaktion wird weiterentwickelt. Es ist sehr komplex und bietet viele Dinge, um den Angreifer zu beschäftigen. Diese werden hauptsächlich für die Sicherheitsforschung verwendet. Sie ermöglichen es dem Besitzer, in Echtzeit zu sehen, wie ein Angreifer vorgeht. Dies kann verwendet werden, um aktuelle oder sogar zukünftige Abwehrmaßnahmen zu informieren. Das Ziel eines High-Interaction-Honeypots ist es, den Angreifer möglichst lange zu beschäftigen und das Spiel nicht zu verschenken. Zu diesem Zweck sind sie komplex einzurichten und zu warten.

Ein Honeypot mit geringer Interaktion ist im Grunde eine Place-and-Forget-Falle. Sie sind in der Regel einfach und nicht für tiefgreifende Recherchen oder Analysen konzipiert. Stattdessen sollen Low-Interaction-Honeypots erkennen, dass jemand versucht, etwas zu tun, was er nicht tun sollte, und ihn dann einfach vollständig blockieren. Diese Art von Honeypot ist einfach einzurichten und zu implementieren, kann jedoch anfälliger für Fehlalarme sein, wenn sie nicht sorgfältig geplant werden.

Ein Beispiel für einen Honeypot mit geringer Interaktion

Wenn Sie eine Website betreiben, ist robots.txt eine Funktion, mit der Sie vielleicht vertraut sind. Robots.txt ist eine Textdatei, die Sie im Stammverzeichnis eines Webservers ablegen können. Standardmäßig wissen Bots, insbesondere Crawler für Suchmaschinen, diese Datei zu überprüfen. Sie können es mit einer Liste von Seiten oder Verzeichnissen konfigurieren, die ein Bot crawlen und indizieren soll oder nicht. Legitime Bots wie ein Suchmaschinen-Crawler respektieren die Anweisungen in dieser Datei.

Das Format ist typischerweise nach dem Motto „Sie können sich diese Seiten ansehen, aber nichts anderes crawlen“. Manchmal müssen Websites jedoch viele Seiten zulassen und nur wenige wollen das Crawlen verhindern. Also nehmen sie eine Abkürzung und sagen: „Schau dir das nicht an, aber du kannst alles andere kriechen“. Die meisten Hacker und Bots sehen „hier nicht suchen“ und machen dann genau das Gegenteil. Anstatt zu verhindern, dass Ihre Admin-Anmeldeseite von Google gecrawlt wird, haben Sie Angreifer direkt darauf verwiesen.

Da dies jedoch ein bekanntes Verhalten ist, ist es ziemlich einfach zu manipulieren. Wenn Sie einen Honeypot mit einem heikel aussehenden Namen einrichten und dann Ihre robots.txt-Datei so konfigurieren, dass sie sagt: „Nicht hierher schauen“, werden viele Bots und Hacker genau das tun. Es ist dann ganz einfach, alle IP-Adressen, die in irgendeiner Weise mit dem Honeypot interagieren, zu protokollieren und einfach alle zu blockieren.

Vermeidung von Fehlalarmen

In vielen Fällen kann diese Art von verstecktem Honeypot automatisch den Datenverkehr von IP-Adressen blockieren, der weitere Angriffe auslösen würde. Es muss jedoch darauf geachtet werden, dass legitime Benutzer der Website den Honeypot niemals besuchen. Ein solches automatisiertes System kann einen Angreifer nicht von einem legitimen Benutzer unterscheiden. Daher müssen Sie sicherstellen, dass überhaupt keine legitimen Ressourcen mit dem Honeypot verknüpft sind.

Sie könnten einen Kommentar in die robots.txt-Datei einfügen, der angibt, dass der Honeypot-Eintrag ein Honeypot ist. Dies sollte legitime Benutzer davon abhalten, ihre Neugier zu stillen. Es würde auch Hacker davon abhalten, Ihre Website manuell zu untersuchen, und sie möglicherweise verärgern. Einige Bots verfügen möglicherweise auch über Systeme, um zu versuchen, solche Dinge zu erkennen.

Eine andere Methode zur Verringerung der Anzahl falsch positiver Ergebnisse wäre eine eingehendere Interaktion mit dem Honeypot. Anstatt jeden zu blockieren, der die Honeypot-Seite auch nur lädt, könnten Sie jeden blockieren, der dann weiter damit interagiert. Auch hier geht es darum, es legitim aussehen zu lassen, obwohl es eigentlich nirgendwohin führt. Es ist eine gute Idee, dass Ihr Honeypot ein Anmeldeformular unter /admin ist, solange es Sie überhaupt nicht bei irgendetwas anmelden kann. Wenn es sich dann bei einem scheinbar legitimen System anmeldet, das sich aber tatsächlich nur tiefer im Honeypot befindet, wäre es eher ein Honeypot mit hoher Interaktion.

Abschluss

Ein Honeypot ist eine Falle. Es sieht so aus, als könnte es für einen Hacker nützlich sein, während es eigentlich nutzlos ist. Einfache Systeme blockieren einfach die IP-Adresse von jedem, der mit dem Honeypot interagiert. Fortgeschrittenere Techniken können verwendet werden, um den Hacker möglicherweise für einen langen Zeitraum weiterzuleiten. Ersteres wird typischerweise als Sicherheitstool verwendet. Letzteres ist eher ein Sicherheitsforschungstool, da es Einblicke in die Techniken des Angreifers geben kann. Es muss darauf geachtet werden, dass legitime Benutzer nicht mit dem Honeypot interagieren. Solche Aktionen würden entweder dazu führen, dass der legitime Benutzer blockiert wird, oder die Datenerfassung verfälschen. Der Honeypot sollte sich also nicht auf die eigentliche Funktionalität beziehen, sondern mit einigem Aufwand auffindbar sein.

Ein Honeypot kann auch ein Gerät sein, das in einem Netzwerk bereitgestellt wird. In diesem Szenario ist es von allen legitimen Funktionen getrennt. Auch hier würde es so aussehen, als hätte es interessante oder sensible Daten für jemanden, der das Netzwerk scannt, aber kein legitimer Benutzer sollte jemals darauf stoßen. Daher ist jeder, der mit dem Honeypot interagiert, einer Überprüfung wert.