Wie funktioniert die honeyBox®

Einfaches Prinzip: Virtuelle Köder sollen Angreifer anziehen und herausfordern

Die honeyBox® stellt eine große Anzahl virtueller Honeypots zur Verfügung. Die Sicherheitsmeldungen der honeyBox® werden zentral gesammelt und der Administrator alarmiert. Über eine sichere HTTPS-Verbindung können die Meldungen im Browser nach verschiedenen Kriterien ausgewertet werden. Damit steht die Möglichkeit für einen gezielten Drill-down zur Verfügung. Zudem können die Meldungen an Drittsysteme (z. B. per syslog) weitergeleitet werden.

Funktionen und Eigenschaften der honeyBox®

Die Honeypot-Appliance kann als Stand-alone-Lösung betrieben werden. Dabei werden Alarme im zentralen Repository gesammelt und über eine sichere HTTPS-Verbindung im Browser ausgewertet. Bei größeren Installationen sollte die Management-Server-Funktion durch ein dediziertes System auf Basis eines leistungsfähigen Servers realisiert werden. Dieser arbeitet dann mit den Sensoren zusammen. Die Auswertung nach verschiedenen Kriterien ist möglich. Damit kann ein gezielter Drill-down durchgeführt werden.

Mehr zur Funktionsweise der honeyBox® erfahren Sie hier.

Aktuelle Einsatzbeispiele für die honeyBox®

Die honeyBox® im Einsatz gegen APT

Das APT (Advanced Persitant Threat) bezeichnet den gezielten Angriff gut ausgebildeter Hacker auf große Netzwerke oder Systeme und den damit verbundenen Datenklau oder Systemmanipulation über einen längeren Zeitraum.

Die Angriffsmethodik ist dabei gezielt durchdacht sowie langfristig angelegt und komplex ausgeführt, so dass solche Angriffe sehr schwer zu erkennen sind. Laut BSI sprechen Studien durchschnittlich von 87 bis 229 Tagen bis zur Feststellung des Angriffs, im Extremfall sogar von 2 bis 3 Jahren.

Der Einsatz der honeyBox® kann dieses Szenario verhindern. Die honeyBox® ist fähig jene Attacken zu enttarnen und zu melden. Dabei werden unerwünschte Besucher in eine virtuelle Falle gelockt und es wird Alarm ausgelöst.

Wo der Einsatz der honeyBox® nötig wird

Eine Überwachung Ihres LANs mit IDS/IPS reicht nicht aus

Unternehmen benötigen verlässliche Daten über den Sicherheitsstatus ihres Netzwerks. Mit IDS/IPS ist das in der Fläche nicht realisierbar. Im Gegensatz dazu können mit Honeypots auch in der Fläche unerlaubte Zugriffe erkannt warden.

Situation: Sie haben keine flächendeckende Überwachung in Ihrem LAN im Einsatz. Angriffe auf Ihre internen Systeme können jedoch großen Schaden anrichten.

Umsetzung: Mit dem Einsatz der Honeypot Appliances erhalten Sie in kurzer Zeit eine Lösung, die speziell zum Erkennen interner Angriffe in Ihrem LAN eingesetzt wird. Veränderungen an der Netzwerkstruktur sind dabei nicht notwendig.

Ergebnis: Über die Erkennung und mögliche Aufzeichnung von Angriffen erhalten Sie jederzeit einen aktuellen Informationsstand, ob sich Angreifer in Ihrem Netzwerk betätigen. Sie können dann gegebenenfalls Maßnahmen einleiten, um den Angriff einzudämmen und zu analysieren.

Das IPS kann Lücken aufweisen, die der Hacker gezielt ausnutzt. Dann greifen in den meisen Fällen nur noch installierte Honeypots.

Was passiert aber, wenn der Angreifer die Hürde IPS bereits genommen oder umgangen hat? Die meisten Netzwerke sind dann schutzlos. Honeypots können hier Beachtliches leisten, da sie typischerweise intern in großer Zahl platziert werden.

Ein Honeypot bietet typische Dienste an und bindet mehrere IP-Adressen, ohne dass es zu Performance-Problemen kommt. Es genügt oftmals schon die Information, dass ein bestimmtes System einen Verbindungsversuch unternommen hat. Der Nachteil allerdings ist, dass nur die Angriffe registriert werden, die direkt auf einen Honeypot eingehen. Dabei erkennt der Honeypot eine sich schnell ausbreitende Schadsoftware oder automatisierte Angriffe schnell, während ein Angreifer, der gezielt mit Insider-Informationen vorgeht, unter Umständen nicht erkannt wird.

Geschichte und Entstehung von Honeypots

Die Entstehung der Honeypot-Idee

Die Grundidee, die zur Entstehung der Honeypot-Technologie beitrug, war die Vorstellung, Hackern eine virtuelle Falle im eigenen Netzwerk zu stellen.

Es ist nicht belegt, seit wann genau die Technik der Honeypots in der IT-Umgebung eingesetzt wird. Fakt ist, dass sie bei Clifford Stoll Erwähnung findet, der beschreibt, wie er einen Einbruch in die Daten des Lawrence Berkeley National Laboratory im August 1986 mithilfe erfundener Daten aufklärt. Der Angreifer wurde durch erfundene Daten gezwungen, solange online zu bleiben, bis die Telefonverbindung zurückverfolgt werden konnte.

Wieviel Honeypot steckt in der honeyBox®?

Die honeyBox® bietet die Möglichkeit, eine große Anzahl an virtuellen Honeypots zur Verfügung zu stellen. Je nach Modell sind dabei 250 bis 40.000 Honeypots auf einem Gerät möglich. Dabei werden die virtuellen Honeypots als Köder in möglichst jedem Netzwerk -segment ausgerollt. Durch die hohe Skalierbarkeit der honeyBox® ist das selbst in großen Netzen relativ einfach möglich. Während der manuellen oder automatischen Erkundung des Netzwerks treffen Eindringlinge im LAN auf virtuelle Honeypots, die sich für die Angreifer als in einem schlechteren Sicherheitszustand als die übrigen Systeme darstellen. Bereits beim ersten Kontakt erfolgt die Alarmierung über verschiedene Wege. Die Meldungen lassen sich auch in übergeordnete IT-Sicherheitssysteme integrieren.

FAQ: Häufig gestellte Fragen zur honeyBox®

Frage: Was ist der Unterschied zwischen High- und Low Interaction-Honeypots?

Antwort: High-Interaction Honeypots bieten dem Angreifer ein möglichst komplettes System mit allen Diensten und Angriffsflächen. Dazu gehören zum Beispiel auch komplette Web-Auftritte. High-Interaction Honeypots sind in der Regel komplett installierte Server. Virtualisierung wird hier vermieden, da Angreifer das erkennen können.

Low Interaction-Honeypots bieten nur die Fassade von Diensten an, um einen Angreifer anzulocken. Sobald dieser sich mit dem Service verbunden hat, ist die Falle zugeschnappt und die Aufgabe eines Low Interaction-Honeypots erfüllt. Zudem sind nur rudimentär emulierte Services wesentlich weniger für Sicherheitslücken anfällig.

Unsere honeyBox® arbeitet mit Low Interaction-Honeypots, von denen Sie je Appliance einige hundert bis mehrere  zehntausend Stück im Netzwerk zur Verfügung stellen kann.

Frage: Kann ein Angreifer den Honeypot nicht sofort erkennen und ihn dann meiden?

Antwort: Unserer Erfahrung nach erkennt er ihn selten und wenn, dann nicht rechtzeitig genug.

Auch in allen von uns durchgeführten internen Penetrationstests (DMZs und LAN) bei Kunden wären wir bei dem Einsatz von Honeypots entdeckt worden. So sind wir das nie, obwohl Firewalls und IDS/IPS im Einsatz waren. Auch Kursteilnehmer in unseren Hacking-Kursen versuchen sich längere Zeit an den Honeypots, ohne zu erkennen, dass es sich nur um eine Papp-Fassade handelt.

Frage: Gefährden die virtuellen Honeypots auf der Honeypot-Appliance nicht die Appliance selbst?

Antwort: Jeder Dienst ist in irgendeiner Art angreifbar.

Auf der Appliance sind in der von uns empfohlenen Architektur Management- und Honeypot-Interfaces getrennt. Zusätzlich ist die Appliance durch die lokale Firewall und weitere Sicherheitsmechanismen sehr gut geschützt.

Frage: Kann ich die Honeypot-Appliance so einsetzten, dass die Interfaces in verschiedenen Sicherheitszonen angeschlossen werden und dort virtuelle Honeypots anbieten?

Antwort: Das hängt von Ihrer Security-Policy ab.

Wenn diese einen solchen Aufbau zulässt, bietet die Honeypot-Appliance ausreichend Sicherheitsmechanismen, um durch einen Angreifer keine Kurzschlussbrücke zwischen verschiedenen Zonen zu werden.

Frage: Kann ich das Management-Interface im gleichen Netzwerk anschließen wie eines der Honeypot-Interfaces?

Antwort: Das ist technisch nicht möglich, aber wenn Sie kein eigenes Management-Netzwerk nutzen können und das Management-Interface im gleichen Netzwerk liegen würde, wie das Netz, in dem die Honeypots zur Verfügung gestellt werden sollen, wird das Management-Interface zusätzlich zu einem Honeypot-Interface. Wir bezeichnen den Betrieb des Management Interfaces in diesem Aufbau als Honeypot Shared im Gegensatz zu Honeypot Dedicated bei reinen Honeypot-Interfaces.

Um die Sicherheit aber möglichst hoch zu halten, sollte das Management-Interface an ein vom normalen LAN getrenntes Netz angeschlossen werden (wie andere Sicherheitssysteme auch).

Frage: Ist die honeyBox® Honeypot Appliance sicher remote administrierbar?

Antwort: Ja. Sie kann über SSH und HTTPS administriert werden.

Die IP-Adressen können in der lokalen Firewall beschränkt werden. Zudem kann der serielle Port für ein Out-Of Band-Management genutzt werden.