Vor- und Nachteile der Honeypot-Implementierung

Honeypots als Sicherheitsstrategie nutzen

, München, GFI | Autor: Herbert Wieler

Honeypots als Sicherheitsstrategie nutzen

Honeypots als Teil eines Netzwerk-Intrusion Prevention / Detection-Prozesses

Wir haben alle schon mal das alte Sprichwort gehört, dass man Fliegen besser mit Honig als mit Essig fängt. Wenn man die Fliegen mit Angreifern und Hackern vergleicht, konzentrieren sich die meisten Unternehmen darauf, mehr den Essig (Firewalls, Verschlüsselung, Multi-Faktor-Authentifizierung, etc.) zu verwenden, um sie abzuwehren. Manchmal möchte man sie aber auch gerne „anziehen“ – um sie zu identifizieren und zu verfolgen und / oder um sie von den eigentlichen wertvollen, digitalen Ressourcen des Unternehmens abzulenken.

Hier kommen Honeypots und Honeynets (Netze von Honeypots) ins Spiel.

Was ist Honypot Security und wie wird sie genutzt?

Außerhalb von traditionellen Unternehmensnetzwerken wird die Honeypot Security häufig dazu verwendet, um für Angreifer einen "Köder" auszulegen. In der IT-Security handelt es sich dabei um ein System (in der Regel ein Server, der eine dedizierte Maschine oder eine virtuelle Maschine im Netz darstellt), der speziell dafür eingerichtet ist, Hackern und Angreifern ein attraktives Ziel zu bieten. Wenn man nun zwei oder mehr Honeypots einsetzt, die ein Netzwerk oder Netzwerksegment bilden, nennt man das ein Honeynet. Honeypots und Honeynets können auf verschiedene Arten verwendet werden:

  • Sicherheitsforscher verwenden Honeypot Security und Honeynets, um Arten von Angriffen zu beobachten und zu analysieren und mehr über die Angreifer und deren Angriffsmethoden zu erfahren.
  • Strafverfolgungsbeamte nutzen Honeypot Security und Honeynets bei "Sting-Operations“, um forensische Informationen zu sammeln, Cyberkriminelle aufzuspüren und zu fangen, und um Beweise für die Strafverfolgung zu verwenden.
  • Organisationen nutzen Honeypot Security und Honeynets, um Angreifer von ihren Produktionsnetzwerken und Systemen abzulenken und sie mit falschen Daten zu verwirren oder in die Irre zu führen. Honeypots können bei der Erkennung von Insider-Angriffen und Angriffen von außen nützlich sein.

Der Topf muss süß sein

Das Einrichten eines gefälschten Servers in einem Netzwerk reicht unter Umständen nicht aus, um Angreifer anzulocken. Besser ist es das Honeypot-Sicherheitssystem mit anscheinend sensiblen Informationen auszurüsten, die für den Angreifer nützlich oder wertvoll sind, wie beispielsweise Kunden-Kreditkarteninformationen, Personalakten, Unternehmensfinanzdaten, Geschäftsgeheimnisse, vertrauliche E-Mails und Dokumente etc.. Wenn man dem Server zudem einen verlockenden Namen gibt, Dienste und Anwendungen ausführt, die allgemein für solche Zwecke verwendet werden, Dateien benennt und deren Inhalt beschreibt, werden Hacker auf aufmerksam.

Als nächstes sollten Sie den Honigtopf zugänglich machen. Dabei sollte man clever vorgehen. Der Zugriff auf das System darf nicht zu verlockend und zu einfach gemacht werden. Es könnte zu sehr wie das aussehen, was es ist – eine Falle. Lassen Sie Ihre gefälschten kritischen Informationen beispielsweise nicht unverschlüsselt. Stattdessen können Sie eine schwache Verschlüsselung und Passwörter verwenden, die ein kompetenter Hacker leicht überwinden kann. Als Faustregel gilt, der Honeypot muss den Angreifern als eine echte Produktionsmaschine erscheinen, die angreifbar ist. HINWEIS: Es gibt auch Situationen, in denen eine Organisation möchte, dass Honeypots verwendet werden. Diese Strategie zielt darauf ab, Angreifer zu verscheuchen, weil sie wissen, dass sie überwacht werden und erwischt werden könnten.

Vor- und Nachteile einer Implementierung

Es gibt Softwareprodukte, die das Erstellen von Honeypots erleichtern. Honeyd ist ein Open-Source-Tool, das vor über einem Jahrzehnt entwickelt wurde, aber immer noch verwendet wird. Das NOVA-Projekt baut beispielsweise auf Honeyd auf. Zudem gibt es auf Github viele weitere Honeypot-Tools, die als kostenlose oder kommerzielle Software verfügbar sind. Sie benötigen jedoch keine spezielle Software, um ein Honeypot-Sicherheitssystem zu erstellen. Es ist am einfachsten, Ihre Honeypots als virtuelle Maschine einzurichten, insbesondere wenn Sie mehrere bereitstellen müssen. Sie können ein ganzes Honeynet von VMs auf einer physischen Maschine ausführen, zu geringeren Kosten und einfacherer Wartung als mehrere physische Maschinen. Da ein Honeypot-Sicherheitssystem kompromittiert werden soll, sollten Sie vor der Bereitstellung eine Image-Sicherung des Servers erstellen, damit Sie diesen nach Bedarf wiederherstellen können, nachdem Sie alle erforderlichen Daten nach einem Angriff erhalten haben.

Das Wichtigste, an das Sie sich bei der Einrichtung eines Honypots oder Honeynets erinnern sollten, ist, dass es keine legitimen Produktionszugriffe haben darf. Denken Sie auch daran, dass das Ziel der Verwendung eines Honeypots darin besteht, Ihre Sicherheit zu verbessern und keine Kompromittierung einzugehen. Sie möchten sicher nicht, dass der Honeypot als absichtlicher Kanal für Angreifer dient, um zu Ihren tatsächlichen Produktionssystemen zu gelangen.

Honeypots werden häufig in einer DMZ eingesetzt, um Angriffe auf Server zu erkennen, die für die Öffentlichkeit zugänglich sind. Sie möchten jedoch keinen Server in Ihrer DMZ einrichten, der absichtlich nicht gepatcht wurde, sodass Angreifer problemlos einsteigen können und andere legitime Server – z.B.: Mail- oder Webserver – infiltrieren könnten.

Wenn der Honeypot nicht ordnungsgemäß implementiert wird, kann er von Angreifern nicht nur dazu verwendet werden, andere Systeme in Ihrem Netzwerk zu erreichen, sondern auch Angriffe gegen die Netzwerke anderer Organisationen über das Internet zu starten. Die Risiken sind größer, wenn die Konfiguration des Honeypot komplex ist. Das alte Sprichwort KISS ("Keep it simple, sweetheart) gilt hier definitiv. Es ist sehr wichtig, eine Echtzeit-Überwachung des Honeypots zu haben, einschließlich der Überwachung durch den Menschen, der trotz Automatisierung in kritischen Situationen manuell eingreifen kann. Auf diese Weise können Sie die Verbindung des Angreifers schnell beenden, wenn Aktivitäten ein Risiko für Ihre Produktionssysteme anzeigen.

Überwachung von Honeypot-Sicherheitsaktivitäten

Da die Honeypot-Security keine legitime Funktion hat, ist jeder Zugriff entweder zufällig oder ein Versuch des Eindringens / Angriffs. Ein mehrschichtiges Logging-System hilft Ihnen, die Aktivitäten von jedem, der auf den Honeypot-Server zugreift, zu verfolgen und festzustellen, was diese auf dem System tun oder tun wollen. Im Idealfall erfassen Sie alle ein- und ausgehenden Datenpakete, die zum und vom Honeypot gesendet werden, um Ihnen dadurch mehr Informationen zur Analyse der Angriffe zu liefern.

Dies ist in der Tat der große Vorteil von Honeypots; Bei einem Produktionssystem ist es schwierig, wenn nicht gar unmöglich, alles zu überwachen, da das legitime Datenaufkommen sehr groß ist und vom nicht autorisierten Datenverkehr getrennt werden muss. Mit der Honeypot Security ist der gesamte Verkehr verdächtig und das Gesamtvolumen ist viel geringer, das zu eine umfassendere Überwachung möglich macht. Es wird empfohlen, die Überwachungsdaten nicht auf dem Honeypot selbst, sondern auf einem separaten Server zu speichern. Es gibt eine Reihe von Open-Source- und kommerziellen Protokollierungsprogrammen und -diensten, die dafür verwendet werden können.

Sie können viele traditionelle Netzwerküberwachungslösungen zur Überwachung von Honeypots, wie beispielsweise die GFI EventsManager mit Ihrer SIEM-Lösung , oder kommerzielle Software, die speziell für diesen Zweck entwickelt wurde, wie die LogRhythm Honeypot Security Analytics Suite , verwenden

Rechtsfragen

Zusätzlich zu den Risiken für Ihr eigenes Netzwerk, die mit dem Einsatz eines Honeypots verbunden sein können, ist ein weiteres Risiko die zivilrechtliche Haftung, falls Ihr Honeypot (ein absichtlich nicht sicheres System) von Angreifern dazu benutzt wird, andere anzugreifen. Es ist denkbar, dass das Zielopfer Ihre Organisation in einem Rechtsstreit benennen könnte, da Ihre Nachlässigkeit den Angriff auf ihr Netzwerk aktiviert hat. Das Konfigurieren des Honeypots , um ausgehende Verbindungen zu verbieten oder einzuschränken, kann Ihnen dabei helfen, sich selbst zu schützen.

Ein weiterer Punkt, über den man nachdenken sollte, ist, so ironisch es klingen mag, die Möglichkeit, dass ein Eindringling Sie selbst wegen Eingriffs in die Privatsphäre verklagt, indem er seine Netzwerkaktivitäten überwacht. Einige Länder und einige Staaten haben Gesetze, die das Abhören von Kommunikationsinhalten verbieten. Diese Gesetze sind in der Regel komplex und haben Ausnahmen, so dass jede detaillierte Diskussion über den Rahmen dieses Artikels hinausgehen würde, aber es ist selbstverständlich, dass Sie bei der Bereitstellung eines Honigtopfs vorher die Rechtsabteilung mit einbeziehen sollten.

Das bringt uns zu einer anderen rechtlichen Überlegung, die einige vielleicht betreffen könnte. Wenn Sie einen Eindringling identifizieren und vor Gericht bringen, könnte der sein Vorgehen rechtfertigen, da der Honeypot nur zum Zweck eingerichtet wurde um ihn zum Begehen einer Straftat verleiten zu wollen. Das Einrichten von solchen Fallen dürfen eigentlich nur Strafverfolgungsbehörden und nicht Privatpersonen oder Organisationen umsetzen.

Auf der anderen Seite gibt es einen Weg, auf dem ein Angreifer Sie selbst "einfangen" könnte – indem er illegale Daten (wie Kinderpornographie) auf Ihren Honeypot Server speichert. Der Besitz solchen Materials ist ein schweres Verbrechen und das ist ein weiterer Grund, dass der Honeypot und sein Inhalt sehr genau überwacht werden sollten. Jegliches Material, das gefunden wird, sollte sofort der Strafverfolgung gemeldet werden. Obwohl der erste Impuls sein würde, solche Dateien zu löschen, bleiben möglicherweise Fragmente auf dem System, die durch forensische Analyse wiederhergestellt werden könnten, und Ihr Versäumnis, das Verbrechen zu melden, könnte als Beweis dafür verwendet werden, das das Material von Ihnen stammt.

Fazit

Ein Honeypot kann, wenn er richtig eingesetzt wird, ein wertvoller Bestandteil Ihrer Gesamtsicherheitsstrategie sein. Honeypot Security ist allerdings keine umfassende Sicherheitslösung. Es ersetzt nicht eine starke Perimeterabwehr, ein Netzwerk-Intrusion-Detection- und Prevention-System, eine gute Multi-Faktor-Authentifizierung, Zugriffssteuerung auf Systemebene und Dateiebene sowie eine starke Verschlüsselung für unternehmenskritische und sensible Daten. Es bietet ein Werkzeug, mit dem Sie eine Menge an Informationen über versuchte und erfolgreiche Angriffe sammeln können. Weit mehr, als ein IDS-System bieten kann. Zudem kann es Angreifer von Ihren echten Ressourcen ablenken, ohne Ihr echtes Produktionsnetzwerk zu schädigen.

Da ein falsch konfiguriertes Honeypot-Sicherheitssystem ein hohes Sicherheitsrisiko für Ihr Netzwerk und andere Systeme darstellen, oder als Teil eines Botnets zum Angriff auf andere Netzwerke verwendet werden kann, sollten Sie die Best Practices befolgen und sowohl einen IT-Security Experten mit Erfahrung in der Bereitstellung von Honeypots, als auch einen Rechtsberater hinzuziehen, bevor Sie mit Ihrem Honeypot "live" gehen.