Praxis: Einsatz von Honeypots

Konfiguration für Tiny Honneypot

Nun fehlt lediglich die Umleitung sämtlicher freier Ports auf den Port 6635. Diese Umleitung (ein Destination NAT) wird mit dem Befehl iptables konfiguriert. Eine genaue Besprechung dieses Befehls würde den Rahmen dieses Buches sprengen. Robert L. Ziegler beschreibt die Möglichkeiten in seinem Buch „Linux Firewalls“. Für die Konfiguration von Tiny Honeypot ist aber ein Verständnis dieses Befehls nicht zwingend erforderlich. (Jedoch ist der Einsatz eines Honeypots, dessen Funktionsweise nicht verstanden wird, vielleicht doch als fahrlässig zu bezeichnen.) Die Anpassung erfolgt in der Datei iptables.rules. Dort sind einige Anpassungen in den ersten Zeilen erforderlich:

# Das externe Interface, auf dem der Honeypot aktiv sein soll
EXTIF="ppp0"

# Ein internes Interface, auf dem der Honeypot nicht aktiv ist
# INTIF="eth0"
# INTNET=

# Wenn nur bestimmte Netzwerke an dem Honeypot vorbei auf Dienste zugreifen
# dürfen, werden sie hier definiert:
# GOODNET="192.168.0.0/24"

# Diese Ports werden nicht umgeleitet, da hier andere echte Dienste laufen
# Komma-separierte Liste!
GOOD_SVCS="22"

# Diese Ports werden auf spezielle Simulationen umgeleitet. Bisher sind 21 und
# 80 unterstützt
HPOT_TCP_SVCS="21,80"

Nun ist noch ein Blick in die Datei thp.conf erforderlich. Diese Datei erlaubt die Angabe des zu simulierenden Webservers und des FTP-Servers. Möglicherweise werden dort noch weitere Modifikationen gewünscht und dann ist THP einsetzbar.

Bei einer Verbindung auf einem beliebigen Port reagiert nun THP mit folgender Ausgabe:

# telnet honeynet.spenneberg.org 27
Trying 217.160.128.61..
Connected to honeynet.spenneberg.org.
Escape character is '^]'
"If you ever want to get anywhere in politics, my boy, you're going to
have to get a toehold in the public eye.

[root@honeynet root]# ls
[root@honeynet root]# dir
[root@honeynet root]# ^]

Tipp:
Wenn die Ausgabe eines root-Promptes nicht gewünscht wird, so kann durch eine Modifikation der Datei /etc/xinetd.d/hpot dies unterdrückt werden. Dazu wird in dieser Datei die Zeile server_args = shell auskommentiert. Nach einem Neustart des xinetd wird nun kein Prompt mehr ausgegeben.