Praxis: Einsatz von Honeypots

Der erste Artikelteil vermittelte das notwendige Grundlagenwissen zu Honeypots. Dieser Beitrag betrachtet nun die beiden Honeypot-Lösungen Tiny Honeypot und honeyd und erklärt ihre Installation und Verwendung.

Tiny Honeypot (THP) wurde von George Bakos geschrieben. THP erlaubt die Simulation eines Dienstes auf jedem Port. Hierzu werden kleine Perl-Programme verwendet, die die Verbindungsanfrage entgegennehmen und jede Art von Dienst simulieren können. THP wurde für Linux geschrieben und benötigt die Netfilter-Architektur für die Implementierung des Honeypots. Da auch hier die Dienste lediglich simuliert werden, geht von THP grundsätzlich keine Gefahr aus. THP wird unter der GNU GPL veröffentlicht.

Der Kern von THP ist das Perl-Programm logthis. Dieses Perl-Programm wird vom xinetd oder dem inetd bei einer Verbindung auf dem Port 6635 gestartet. Das Programm protokolliert dann die Verbindung und kann in Abhängigkeit vom übergebenen Kommandozeilenargument unterschiedliche Dienstsimulationen starten. Im Paket sind bereits Perl-Skripts enthalten, die den Apache-Webserver, den Microsoft Internet Information Server, eine Root Shell und den WU-FTP-Server simulieren können. Zusätzlich existiert ein Skript nullresp.pl, welches lediglich Daten entgegennimmt, jedoch keine Rückmeldung gibt. Dieses ist insbesondere geeignet, um automatische Werkzeuge, die nach einer erfolgreichen Verbindung sofort den Angriff (zum Beispiel mit einem Bufferoverflow) starten, zu ermitteln. Die übertragenen Daten würden dann in einer Datei gespeichert werden.

Wichtig ist nun, dass bei einer Verbindung zum Beispiel auf dem Port 1433 (Microsoft SQL-Server) diese Verbindung an den Tiny Honeypot weitergeleitet wird. Dies erfolgt beim Tiny Honeypot mit der Netfilter-Architektur. Diese erlaubt eine Änderung der Zieladresse und/oder des Zielports eines Paketes. Hier wird die Destination NAT verwendet, um für alle auf dem Rechner nicht verwendeten Ports die entsprechende Verbindung auf den Port 6635 umzuleiten. Dazu muss jedoch Tiny Honeypot die Ports, auf denen reguläre Dienste des Rechners laufen, kennen, damit diese nicht umgeleitet werden.

Dieser Artikel basiert auf Kapitel 22 des Buches „Intrusion Detection und Prevention mit Snort 2 & Co.“ von Ralf Spenneberg. Das 840 Seiten starke Werk ist im Verlag Addison-Wesley erschienen (ISBN: 3827321344) und kostet in der Druckausgabe 59,95 Euro. Sie können das Buch direkt in unserem Buch-Shop versandkostenfrei bestellen