Grundlagen: Das müssen Sie über Honeypots wissen

Honeypots als Betriebsystem oder kompletter Rechner

Eine zweite Kategorie von Honeypots stellt das komplette Betriebssystem zur Verfügung. Ein kommerzielles Produkt dieser Art ist ManTrap von Recourse. Die Firma wurde von Symantec übernommen, die Mantrap nun als Symantec Decoy Server vermarkten. ManTrap/Decoy Server ist lauffähig auf Solaris-Systemen und erlaubt die Simulation von Subsystemen in so genannten Jails (Gefängnissen). In diesen Subsystemen hat der Angreifer kompletten Zugriff auf das Betriebssystem. Der Administrator ist in der Lage, in diesen Subsystemen durch Installation Oracle oder Apache zur Verfügung zu stellen. Die Interaktion des Angreifers mit dem System kann dadurch wesentlich tiefer erfolgen. Der Angreifer ist in der Lage, mit den tatsächlichen Diensten zu interagieren und mögliche Sicherheitslücken auszunutzen. Jedoch sorgt ManTrap/Decoy Server dafür, dass der Angreifer das Jail nicht verlassen kann.

Die letzte Kategorie der Honeypots besteht aus kompletten Rechnern. Diese können entweder auf echter Hardware oder in virtuellen Umgebungen wie VMware oder UserModeLinux (UML) implementiert werden. Hierbei wird ein echtes System zum Honeypot, indem sehr großer Aufwand bei der Protokollierung der Ereignisse und der Überwachung der Aktionen auf dem Rechner getrieben wird. Dies ist erforderlich, denn ein Honeypot, auf dem ein Einbruch nicht erkannt wird, verfehlt seinen Zweck vollkommen.

Eine Erweiterung dieses Konzepts stellt das Honeynet dar. Hierbei handelt es sich um einen Aufbau aus mehreren Honeypots, die unterschiedliche Funktionen bieten und den Eindruck eines kompletten Netzwerks erzeugen.