Grundlagen: Das müssen Sie über Honeypots wissen

Honeypot als Beitrag zur Sicherheit

Wie kann ein Honeypot zur Sicherheit eines Netzwerks beitragen?

In der Vergangenheit wurde häufig ein Honeypot zur Ablenkung eines Angreifers installiert. Dieser sollte nicht die wichtigen und kritischen Rechner eines Netzwerks angreifen, sondern sich mit dem Honeypot beschäftigen. Diese These ist heute jedoch nicht mehr aufrechtzuerhalten. Mit den modernen automatischen Werkzeugen werden alle Systeme gleichartig und meist auch fast gleichzeitig angegriffen. Besitzen verschiedene Systeme dieselben Sicherheitslücken, so wird ein automatisches Werkzeug die Lücke auf allen Systemen finden und einbrechen. Ein Honeypot kann daher nicht zum Schutz eines Netzwerks eingesetzt werden. In gewissen Fällen kann es sogar einen Angreifer anlocken, der dann seine automatischen Werkzeuge mit mehr Energie auf die Zielsysteme ansetzt.

Ein Honeypot kann jedoch bei der Erkennung der Angriffe helfen. IDS-Systeme machen leider sehr häufig Fehler. Ansonsten wird spätestens beim ersten Einsatz eines IDS-Systems jedem Administrator deutlich werden, dass diese Systeme sowohl positive als auch negative Falschmeldungen erzeugen. Es werden viele Angriffe gemeldet, die in Wirklichkeit keine Angriffe darstellen. Jedes IDS übersieht auch eine gewisse Menge von Angriffen, da es entweder falsch konfiguriert wurde oder diese Angriffe noch unbekannt sind. Ein Honeypot kann zur Erkennung von Angriffen und Einbrüchen eingesetzt werden. Erfolgte ein Einbruch, so ist dies eine echte Meldung. Hier gibt es, eine ordentliche Überwachung des Honeypots vorausgesetzt, keine Falschmeldungen.

Dies kann recht einfach überwacht werden, da jedes Mal, wenn der Honeypot eine Verbindung entgegennimmt oder sogar selbst eine Verbindung aufbaut, von einem (erfolgreichen) Einbruch auszugehen ist.