Honigtöpfe gibt es in vielen Varianten. Sie sind flexibel und lassen sich über ihr Ziel definieren. Hönigtöpfe sollen Hackerattacken entdecken, ablenken oder ihnen entgegenwirken. Wie stark welches Ziel verfolgt wird hängt vom Typ des Honigtopfes ab. Die Bezeichnung Honigtopf stammt aus der Bärenjagd. Die Bären werden mit Honig angelockt.
Honeypots unterteilen sich in "High Interaction"- und "Low Interaction"-Töpfe. Darüber hinaus kann jede Kategorie in "Client" und "Server" unterschieden werden. Zusätzlich zu dieser klassifizierenden Typisierung gibt es Honeypot-ähnliche Ansätze.
Low Interaction Honeypot
Ein Honigtopf mit niedriger Interaktion emuliert einen Dienst. Dadurch wird der Topf für Hacker leicht erkennbar. Der Low Interaction Honeypot wird verwendet, um Standardangriffe zu protokollieren, wie zum Beispiel Würmer, Spam oder Viren. Aus diesem Typ können statistische Daten gewonnen werden, die wertvoll für die Absicherung des emulierten Dienstes sind.
Häufig wird dieser Typus in der Wirtschaft eingesetzt, da hier der Schutz vor bekannten Angriffen aufgebaut wird. Der Vorteil dieses Typus für die Wirtschaft ist seine geringe Komplexität und das einfache Deployment.
Das Entdecken neuer Angriffe funktioniert mit dem Low Interaction Honeypot nicht. Low Interaction Honeypot-Software für Server wären zum Beispiel honeyed oder honeytrap. Ein Beispiel für einen Low Interaction Client Honeypot ist phoneyc. Der "Low Interaction Honeypot" ist auch unter dem Begriff "Productive Honeypot" zu finden.
High Interaction Honeypot
Der Honigtopf mit hoher Interaktion ist ein vollständiger Server bzw. ein vollständiger Client. Er enthält relevante Daten, die auch ein Hacker für spannend genug hält. Auf diesem Weg kann der High Interaction Honeypot Informationen über die Motive der Hackergemeinde sammeln. Zusätzlich hilft er beim Entdecken neuer Angriffstechnologien und der Anwendung neuer Methoden.
Der Vorteil, mehr über den Gegner zu lernen, hat jedoch auch seinen Preis. Ein High Interaction Honeypot ist komplex zu warten und aufwendig in der Verteilung. Dafür liefert er sehr wertvolle Informationen zurück. Der High Interaction Honeypot wird in der Regel von der Wissenschaft, vom Militär oder von Regierungsorganisationen betrieben.
Client und Server
Ein Client Honey Pot wendet sich an einen realen Server und gibt vor, ein Benutzer zu sein. Er findet beispielsweise als Browser Anwendung, um zu sehen, welche Sicherheitslücken angegriffen werden. Der Server Honey Pot bedient Anfragen von realen Clients. Dabei können Angriffe wie zum Beispiel SQL Injection und anderes entdeckt werden.
Honeypots aufbauen
Honeypots werden in der Regel so aufgebaut, dass sie im Standardanwendungsfall gar nicht benutzt werden. Das kann zum Beispiel ein Server in einem Netzwerk sein, bei dem Ports offen gelassen werden, oder eine Webseite, in deren Quelltext Links versteckt sind, die nicht angezeigt werden. Der reguläre Benutzer weiß nicht, das da noch mehr ist. Der Hacker, der mit Werkzeugen alle Ports scannt, findet die Lücke jedoch und bleibt so am Honig kleben.
Vorteile von Honeypots
Honeypots haben, unabhängig vom Typ, einige Vorteile:
- es werden sehr wenige Daten gesammelt (schnell auswertbar), die dafür sehr nützlich sind (nur im Interaktionsfall entstehen Daten)
- sehr hohe Flexibilität
- es gibt weniger "falsch positive" Meldungen als bei herkömmlichen Systemen, die den gesamten Netzverkehr mitschneiden, denn die Nutzung eines Honeypots ist nach seiner Aufbauweise immer nicht autorisiert
- verschlüsselte Attacken können ebenfalls analysiert werden, da der Honigtopf ausgibt, der korrekte "Gesprächspartner" zu sein und sie entschlüsseln kann
- sehr sparsam im Umgang mit Ressourcenansprüchen
Nachteile von Honeypots
Wie alles andere in der Welt hat auch ein Honigtopf Nachteile:
- es kann keine Aussage über Angriffe im restlichen System getroffen werden, da nur Meldungen erstellt werden, wenn der Honeypot angesprochen wird
- jede Honigtopfvariante besitzt eigene Risiken; diese müssen bewertet und ggf. verlagert werden
Honigtopf-Alternativen
Neben dem Honigtopf haben sich weitere, ähnliche Konzepte entwickelt. So gibt es eine Spam-Version, die wahlweise als Mail Relay oder Open Proxy implementiert wird und Spam nicht oder nur extrem langsam weiterleitet. Der Database Honeypot erweitert die Schutzmöglichkeiten einer Datenbank, sodass der Angreifer gegen eine Pseudodatenbank verbindet und die Produktivdatenbank weiter funktioniert. Das Honeynet (Honignetz) ist ein Verbund aus zwei oder mehr Honigtöpfen. Tarpits sind Pechfallen, die die Ausbreitung von Spam, Viren und anderen Schadprogrammen stark verlangsamt. Über diese Anwendungsfälle hinaus werden Honigtöpfe auch im Kampf gegen Urheberrechtsverletzungen und der Strafverfolgung von Kinderpornografie verwendet.
Insgesamt kann der Honigtopf als sehr flexibles und mächtiges Werkzeug im Kampf gegen Hacker und Schadsoftware angesehen werden. Wohingegen auch hier gilt, das Werkzeug hat Nachteile und Grenzen die bedacht werden müssen, bevor es eingesetzt wird.
Barbara Fiedler - Guten Tag, ich bin Informatikerin. Zusätzlich habe ich bereits zu Schulzeiten journalistisches Schreiben bei der ...
