Der Einsatz eines Honeypots kann unterschiedliche Gründe haben. Zum einen erlaubt ein Honeypot, die Angriffsmethoden und Vorgehensweisen des Angreifers zu analysieren. Er ermöglicht Ihnen, Ihre forensischen Fähigkeiten bei der Analyse von Netzwerkprotokollen und kompromittierten Rechnern auf die Probe zu stellen und gleichzeitig zu verbessern.
Auf der anderen Seite kann ein Honeypot aber auch als IDS eingesetzt werden, denn jede Aktivität auf einem Honeypot kann als verdächtige Aktivität eingestuft werden. Während normale IDS immer verdächtige Ereignisse vor dem Hintergrund normaler Aktivitäten erkennen müssen, und so häufig auch falsch-positive Meldungen liefern, ist jede Honeypot-Aktivität verdächtig. Hier gibt es kaum oder gar keine falsch-positiven Ereignisse.
Dieser Artikel basiert auf Kapitel 22 des Buches „Intrusion Detection und Prevention mit Snort 2 & Co.“ von Ralf Spenneberg. Das 840 Seiten starke Werk ist im Verlag Addison-Wesley erschienen (ISBN: 3827321344) und kostet in der Druckausgabe 59,95 Euro. Sie können das Buch direkt in unserem Buch-Shop versandkostenfrei bestellen
Was ist ein Honeypot? Sinn und Unsinn
Bevor der Einsatz eines Honeypots geplant wird, sollte zunächst geklärt werden, was ein Honeypot ist, welchen Zweck er erfüllen kann und welche Möglichkeiten es zur Implementierung eines Honeypots gibt. Zusätzlich ist eine Betrachtung des Zeitaufwands und des möglichen Nutzens erforderlich.
Ein Honeypot ist im Grunde nichts Neues. Clifford Stoll berichtet in seinem berühmten Buch „Kuckucksei“ [1] über die Verfolgung eines deutschen Crackers 1986 und beschreibt hier bereits einen ersten Honeypot. Bill Cheswick (Autor von „Firewalls und Sicherheit im Internet“ [2]), beschreibt in einem Artikel die Verfolgung eines Angreifers mit einem Honeypot im Jahr 1991.
Was ist denn nun ein Honeypot? Lance Spitzner, Gründer des Honeynet Project definiert in seinem Artikel „Honeypots“ einen Honeypot als „a security resource who's value lies in being probed, attacked or compromised“. Frei übersetzt bedeutet dies, dass ein Honeypot ein Sicherheitsinstrument ist, das die Untersuchung, Angriffe und Einbrüche durch Cracker bezweckt. Ein Honeypot stellt also in keiner Weise eine Verteidigung dar. Im Gegenteil, es wird gehofft, dass dieser Rechner angegriffen wird.
Um den Sinn und die Vorteile des Einsatzes eines Honeypots besser beleuchten zu können, sollen zunächst zwei verschiedene Varianten unterschieden werden. Marty Roesch (Entwickler des NIDS Snort) unterteilt Honeypots in Produktions- und Forschungssysteme.
Die Zuordnung zu diesen Gruppen erfolgt über die Zielsetzung des Honeypots. Die Produktions-Honeypots dienen in erster Linie der Sicherheit eines Unternehmens. Sie werden zur Erkennung und Verfolgung der Angriffe und Einbrüche eingesetzt. Forschungs-Honeypots werden verwendet, um neue Erkenntnisse über das Verhalten der Cracker und neue Angriffe zu gewinnen.
Vorteile von Honeypots
Welche Vorteile bietet nun ein Honeypot? Kann mit der Installation eines Honeypots die Sicherheit des Netzwerks erhöht werden?
Die Verwendung eines dedizierten Honeypots kann mehrere Vorteile bieten. Lance Spitzner führt in seinem Artikel zwei Vorteile und zwei Nachteile auf. Die von ihm vorgestellten Vorteile sind:
Datensammlung. Ein Honeypot wird üblicherweise nicht für reale Dienste eingesetzt. Vom Honeypot und den überwachenden Systemen wird daher nur eine geringe Menge an Daten gesammelt. Diese Daten sind jedoch höchst interessant, denn jede Verbindung mit dem Honeypot und jede Aktivität desselben stellt einen potenziellen Angriff dar. Bei der Überwachung realer Server wird ein Vielfaches dieser Datenmenge protokolliert. Eine Analyse kämpft zu Beginn immer mit einer Filterung der für den Angriff relevanten Daten.
Ressourcen. Die überwachenden Sicherheitssysteme können unter Umständen mit dem Verkehrsaufkommen nicht Schritt halten. Dies führt zum Beispiel bei Netzwerk-IDS zum Verlust von Paketen. Dadurch gehen unter Umständen kritische Pakete verloren. Dies erschwert die spätere Analyse der Angriffe und der Einbrüche.
Nachteile von Honeypots
Zu den Nachteilen zählt Lance Spitzner die folgenden Punkte:
Singularität. Es handelt sich bei einem Honeypot nur um eine einzige Maschine in den Weiten des Internets. Wenn kein Angreifer diese Maschine findet und angreift, verfehlt sie ihren Sinn. Ohne Angreifer erfolgt keine Datensammlung.
Erhöhtes Risiko. Honeypots sollen angegriffen werden. Dadurch können sie eine erhöhte Gefahr für das Netzwerk darstellen. Es besteht die Gefahr, dass ein Einbruch auf einem Honeypot erfolgreich durchgeführt wird und dieser anschließend für weitere Angriffe gegen das Netzwerk genutzt wird.
Als zusätzlicher Vorteil beim Einsatz eines Honeypots ist die zusätzliche Kontrollfunktion zum IDS und zur Firewall zu sehen. Ein Honeypot wird immer auch mit einer Firewall gesichert und mit einem oder mehreren IDS überwacht. Wenn jedoch auf dem Honeypot nun ein Einbruch erkannt wird, sollte eine Korrelation der Daten mit dem IDS und der Firewall erfolgen. Zeigt dieser Vergleich, dass die Firewall und das IDS keine verdächtigen Aktivitäten protokolliert haben, müssen diese Systeme sowohl für den Honeypot als auch für die Produktionsnetze angepasst werden. Ein weiterer Einbruch auch auf einem Produktionssystem sollte nicht unerkannt bleiben.
Des Weiteren müssen die Produktionssysteme untersucht werden, ob möglicherweise dort ein identischer Einbruch erfolgte. Ein Honeypot kann so zur Qualitätssicherung (QS) der eingesetzten Sicherheitssysteme verwendet werden. Er erlaubt die Überwachung ihrer Wirksamkeit.
Honeypot als Beitrag zur Sicherheit
Wie kann ein Honeypot zur Sicherheit eines Netzwerks beitragen?
In der Vergangenheit wurde häufig ein Honeypot zur Ablenkung eines Angreifers installiert. Dieser sollte nicht die wichtigen und kritischen Rechner eines Netzwerks angreifen, sondern sich mit dem Honeypot beschäftigen. Diese These ist heute jedoch nicht mehr aufrechtzuerhalten. Mit den modernen automatischen Werkzeugen werden alle Systeme gleichartig und meist auch fast gleichzeitig angegriffen. Besitzen verschiedene Systeme dieselben Sicherheitslücken, so wird ein automatisches Werkzeug die Lücke auf allen Systemen finden und einbrechen. Ein Honeypot kann daher nicht zum Schutz eines Netzwerks eingesetzt werden. In gewissen Fällen kann es sogar einen Angreifer anlocken, der dann seine automatischen Werkzeuge mit mehr Energie auf die Zielsysteme ansetzt.
Ein Honeypot kann jedoch bei der Erkennung der Angriffe helfen. IDS-Systeme machen leider sehr häufig Fehler. Ansonsten wird spätestens beim ersten Einsatz eines IDS-Systems jedem Administrator deutlich werden, dass diese Systeme sowohl positive als auch negative Falschmeldungen erzeugen. Es werden viele Angriffe gemeldet, die in Wirklichkeit keine Angriffe darstellen. Jedes IDS übersieht auch eine gewisse Menge von Angriffen, da es entweder falsch konfiguriert wurde oder diese Angriffe noch unbekannt sind. Ein Honeypot kann zur Erkennung von Angriffen und Einbrüchen eingesetzt werden. Erfolgte ein Einbruch, so ist dies eine echte Meldung. Hier gibt es, eine ordentliche Überwachung des Honeypots vorausgesetzt, keine Falschmeldungen.
Dies kann recht einfach überwacht werden, da jedes Mal, wenn der Honeypot eine Verbindung entgegennimmt oder sogar selbst eine Verbindung aufbaut, von einem (erfolgreichen) Einbruch auszugehen ist.
Erkennung von Angriffen und Reaktion auf den Einbruch
Insbesondere die Erkennung von Angriffen durch Insider ist mit einem Honeypot möglich. Wenn sich der Angreifer bereits im Netzwerk befindet, so schützt keine Firewall mehr. Der Angreifer kann auf unterschiedliche Weise Zugang zum Netzwerk erhalten haben. Die folgenden Möglichkeiten stellen eine kleine Auswahl dar:
-
Es handelt sich um einen unzufriedenen Mitarbeiter.
-
Es handelt sich um einen Kundendienstmitarbeiter, der morgens die Firma durch die Eingangstür betreten hat und seinen Laptop an eine freie Netzsteckdose anschließt.
-
Der Angreifer hat im Vorfeld mit (bewusster oder unbewusster) Hilfe eines Mitarbeiters einen Trojaner im Netzwerk installiert, der einen Tunnel zu ihm öffnet.
Die bedeutendste Hilfe jedoch stellt ein Honeypot bei der Reaktion auf den Einbruch dar. Nach einem Einbruch zum Beispiel auf dem Webserver einer Firma hat der Wiederaufbau des Webservers und seine erneute Verfügbarkeit häufig höchste Priorität. Für die Untersuchung des Systems, die forensische Analyse der Vorgehensweise des Angreifers und der ausgenutzten Sicherheitslücke bleibt meist keine Zeit. Ein zweites Honeypot-System, auf dem der Angreifer möglicherweise auch eingebrochen ist, kann dann eine sehr nützliche Hilfe bei der Analyse und der Aufarbeitung der Ereignisse sein und wertvolle Hinweise für die Sicherung des Webservers geben. Die Erkenntnisse, die bei der Analyse des Honeypots gewonnen werden, können direkt für die Sicherung des Webservers genutzt werden. Möglicherweise werden hierbei weitere Hintertüren und Dateimodifikationen gefunden, die ansonsten nicht entdeckt worden wären. Dies kann die Sicherheit des Webservers in diesem Beispiel oder grundsätzlich des Netzwerks stark erhöhen.
Wird der Honeypot als Forschungsobjekt eingesetzt, wie es zum Beispiel das Honeynet Project macht, so sind die bisher aufgezählten Punkte relativ irrelevant. Diese Honeypots steigern jedoch das allgemeine Wissen um die Vorgehensweise der Angreifer und die momentan im Umlauf befindlichen Angriffswerkzeuge. Hierzu sollten die Erkenntnisse, die aus den Forschungssystemen gewonnen werden, durch Veröffentlichungen allgemein zugänglich gemacht werden.
Honeypot-Varianten
In diesem Abschnitt sollen nun verschiedene Honeypot-Lösungen vorgestellt und ihre Vor- und Nachteile besprochen werden. Honeypots gibt es in verschiedenen Ausführungen.
Einige Honeypots bestehen lediglich aus einer kleinen Applikation, die verschiedene Netzwerkdienste und den Verbindungsaufbau simuliert. Dies wird in der englischsprachigen Literatur als Low Involvement bezeichnet. Der Angreifer hat kaum Möglichkeiten, mit dem System zu interagieren. Die Verbindungsaufbauten werden dann vom Honeypot protokolliert. Zu dieser Kategorie zählen Backofficer Friendly (BOF), Hotzone, Tiny Honeypot (THP), Deception Toolkit (DTK) und honeyd. Bei diesen Anwendungen wird lediglich eine Simulation eines Rechners durchgeführt. Im Allgemeinen nimmt man an, dass von diesen Systemen kaum Sicherheitsprobleme ausgehen. Dennoch muss immer mit einer Sicherheitslücke auch in diesen Systemen gerechnet werden.
Honeypots als Applikationen
Backofficer Friendly
DerBackofficer Friendly wurde von Marcus Ranum bei seiner Firma NFR Security entwickelt. Markus Ranum ist der „Vater“ der Firewall. Er entwickelte die erste Firewall DEC Seal für Digital Equipment Corporation in den Jahren 1990-1992. Später entwickelte er das TIS Toolkit bei der Firma Trusted Information Systems (TIS).
Backofficer Friendly ist für die persönliche Verwendung kostenlos von der Homepage zu laden. Auf einem Windows-System installiert, simuliert BOF einen Back Orifice-Server. Zusätzlich erlaubt es die Simulation von FTP-, HTTP- und SMTP-Diensten. Die Verbindungsaufnahmen werden dann protokolliert und können zur Analyse verwendet werden. Die Installation dieses Programms erzeugt kaum zusätzliche Last auf dem System und generiert kaum ein zusätzliches Sicherheitsrisiko, da die Dienste lediglich simuliert werden. Es erfolgte keine echte Interaktion des Angreifers mit echten Diensten.
Hotzone
Marcus Ranum hat auch Hotzone entwickelt. Die erste Vorstellung des Werkzeugs erfolgte während der System Administration, Networking and Security-Konferenz 2002 (SANS 2002) in Orlando, Florida. Hotzone ist ebenfalls ein Emulator wie BOF. Hotzone läuft jedoch unter UNIX/Linux und kann wesentlich mehr Dienste emulieren. Während der SANS2002-Konferenz war Hotzone noch nicht verfügbar. Seine kostenlose Verfügbarkeit wurde jedoch versprochen. Leider hat Marcus Ranum diesbezüglich einen Rückzieher gemacht. Aus Lizenzgründen wird Hotzone nicht öffentlich verfügbar sein.
Tiny Honeypot
Tiny Honeypot (THP) wurde von George Bakos geschrieben. THP erlaubt die Simulation eines Diensts auf jedem Port. Hierzu werden kleine Perl-Programme verwendet, die die Verbindungsanfrage entgegennehmen und jede Art von Dienst simulieren können. THP wurde für Linux geschrieben und benötigt die Netfilter-Architektur für die Implementierung des Honeypots. Da auch hier die Dienste lediglich simuliert werden, geht von THP grundsätzlich keine Gefahr aus. Es wird unter der GNU GPL veröffentlicht.
Deception Toolkit
Das Deception Toolkit (DTK) wurde von Fred Cohen bereits 1998 entwickelt. Es wurde wie THP in Perl programmiert und erlaubt ebenso die Simulation beliebiger Dienste unter UNIX/Linux. Hierzu kann mit einer Script-Sprache das Verhalten des simulierten Diensts definiert werden. Das Deception Toolkit ist kostenlos erhältlich. Eine grafische Oberfläche für die einfache Administration wird kommerziell angeboten.
Honeyd
Honeyd wurde von Niels Provos geschrieben. Es erlaubt ebenfalls die Simulation von beliebigen Netzwerkdiensten. Es unterscheidet sich jedoch massiv von den bisher besprochenen Lösungen, da es auch die Simulation von beliebigen TCP/IP-Stacks erlaubt. So ist es möglich, auf einem Linux-Rechner den TCP/IP-Stack eines AIX 4.0-4.2-Rechners zu simulieren. Dies ist auch mit einem Patch für den TCP/IP-Stack möglich. Dann kann aber nur ein weiteres Betriebssystem simuliert werden. Honeyd erlaubt die Simulation beliebig vieler Betriebssysteme. Wenn ein Angreifer nun einen Nmap-Scan des Rechners durchführt, wird ihm suggeriert, dass er gerade mit einem IBM-AIX-Rechner kommuniziert. Zusätzlich erlaubt Honeyd die Simulation nicht nur eines Rechners, sondern gesamter Netzwerke, wenn die entsprechenden IP-Adressen zur Verfügung stehen. Honeyd wird als Open Source veröffentlicht.
Honeypots als Betriebsystem oder kompletter Rechner
Eine zweite Kategorie von Honeypots stellt das komplette Betriebssystem zur Verfügung. Ein kommerzielles Produkt dieser Art ist ManTrap von Recourse. Die Firma wurde von Symantec übernommen, die Mantrap nun als Symantec Decoy Server vermarkten. ManTrap/Decoy Server ist lauffähig auf Solaris-Systemen und erlaubt die Simulation von Subsystemen in so genannten Jails (Gefängnissen). In diesen Subsystemen hat der Angreifer kompletten Zugriff auf das Betriebssystem. Der Administrator ist in der Lage, in diesen Subsystemen durch Installation Oracle oder Apache zur Verfügung zu stellen. Die Interaktion des Angreifers mit dem System kann dadurch wesentlich tiefer erfolgen. Der Angreifer ist in der Lage, mit den tatsächlichen Diensten zu interagieren und mögliche Sicherheitslücken auszunutzen. Jedoch sorgt ManTrap/Decoy Server dafür, dass der Angreifer das Jail nicht verlassen kann.
Die letzte Kategorie der Honeypots besteht aus kompletten Rechnern. Diese können entweder auf echter Hardware oder in virtuellen Umgebungen wie VMware oder UserModeLinux (UML) implementiert werden. Hierbei wird ein echtes System zum Honeypot, indem sehr großer Aufwand bei der Protokollierung der Ereignisse und der Überwachung der Aktionen auf dem Rechner getrieben wird. Dies ist erforderlich, denn ein Honeypot, auf dem ein Einbruch nicht erkannt wird, verfehlt seinen Zweck vollkommen.
Eine Erweiterung dieses Konzepts stellt das Honeynet dar. Hierbei handelt es sich um einen Aufbau aus mehreren Honeypots, die unterschiedliche Funktionen bieten und den Eindruck eines kompletten Netzwerks erzeugen.
Honeypots und das Gesetz
Die Anwendung von Honeypots ist jedoch nicht unproblematisch. Leider existieren nur sehr wenige Informationen und Aufsätze zu diesem Thema. In der Bundesrepublik Deutschland ist die Beihilfe zu einer Straftat ebenfalls unter Strafe gestellt.
Paragraf 26 und 27 des Strafgesetzbuchs haben folgenden Wortlaut:
§ 26. Anstiftung. Als Anstifter wird gleich einem Täter bestraft, wer vorsätzlich einen anderen zu dessen vorsätzlich begangener rechtswidriger Tat bestimmt hat.
§27. Beihilfe. (1) Als Gehilfe wird bestraft, wer vorsätzlich einem anderen zu dessen vorsätzlich begangener rechtswidriger Tat Hilfe geleistet hat. (2) Die Strafe für den Gehilfen richtet sich nach der Strafdrohung für den Täter. Sie ist nach § 49 Abs. 1 zu mildern.
Einfache Honeypots, die lediglich eine Simulation eines Betriebssystems aufbauen (Tiny Honeypot und Honeyd), stellen meiner Meinung nach kein Problem dar, da der Angreifer keine Straftat begehen kann. Daher kann auch keine Beihilfe geleistet werden. Jedoch kann bereits der Versuch des Angriffs strafbar sein. Dann kann auch die Beihilfe zu einer nicht erfolgreichen Straftat unter Strafe gestellt werden.
Die Installation eines richtigen Betriebssystems ist hier problematischer. Wenn auf diesem Betriebssystem vorsätzlich nicht sämtliche Patches eingespielt werden, so dass ein Einbruch möglich ist, besteht die Möglichkeit, dass dies als Beihilfe zum Einbruch ausgelegt wird. Wird dieser Rechner im Weiteren verwendet, um auf Rechnern dritter Personen einen Schaden anzurichten, so mag es sich hier um eine Beihilfe handeln, die strafbar ist.
Voraussetzung für die Beihilfe ist jedoch die Vorsätzlichkeit. Ein Rechner, der schlecht gewartet wird, erfüllt diese Voraussetzung wahrscheinlich nicht. Ein Honeypot, der bewusst als solcher überwacht wird und bei dem diese Patches nicht eingespielt werden, kann jedoch möglicherweise als Beihilfe angesehen werden.
Straftaten bei der Nutzung von Honeypots
Um welche Straftaten handelt es sich nun?
-
StGB § 202a. Ausspähen von Daten. (1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Hervorzuheben ist jedoch, dass die Verfolgung einen Strafantrag des Verletzten voraussetzt (§205 Abs. 1 StGB). -
StGB § 303a. Datenveränderung. (1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
StGB § 303b. Computersabotage. (1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, dass er
1. eine Tat nach § 303a Abs. 1 begeht oder
2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
StGB § 303c. Strafantrag. In den Fällen der § 303 bis 303b wird die Tat nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.
Eine Verfolgung der Straftat und daher auch die Verfolgung der Beihilfe erfolgt meiner Meinung nach daher nur, wenn zuvor ein Strafantrag gestellt wurde. Dieser Strafantrag müsste von der verletzten Person, dem Besitzer des Honeypots, gestellt werden.
Achtung
Dieser Artikel gibt die persönliche Interpretation der Gesetzeslage des Autors Ralf Spenneberg wieder. Die Interpretation erhebt keinerlei Anspruch auf Richtigkeit und Vollständigkeit. Eine Verwendung der beschriebenen Ausführungen erfolgt auf eigenes Risiko!
Ausblick
Im zweiten und letzten Teil betrachten die beiden Honeypot-Lösungen Tiny Honeypot und honeyd ein wenig genauer. Ihre Installation und ihre Verwendung werden erklärt und vorgestellt. (mec)
Dieser Artikel basiert auf Kapitel 22 des Buches „Intrusion Detection und Prevention mit Snort 2 & Co.“ von Ralf Spenneberg. Das 840 Seiten starke Werk ist im Verlag Addison-Wesley erschienen (ISBN: 3827321344) und kostet in der Druckausgabe 59,95 Euro. Sie können das Buch direkt in unserem Buch-Shop versandkostenfrei bestellen