Praxis: Einsatz von Honeypots
Protokollierung
Eine Protokollierung erfolgt in der Datei /var/log/hpot/captures. Hier wird der Beginn der Verbindung, das Ende und die Anzahl der übertragenen Bytes protokolliert.
Aug 05 15:42:43 start thp SID 1028554963, UNIX pid 4035 source 212.93.24.187:33167
Aug 05 15:42:50 end thp SID 1028554963
691 -elapsed time 00:00:07
-total 9 bytes
Zusätzlich wird eine Datei mit der entsprechenden SID erzeugt. Bei dieser Sitzung wurde die Datei /var/log/hpot/1028554963 erzeugt.
# cat /var/log/hpot/1028554963
ls
dir
Diese Angaben verraten jedoch nicht, auf welchem Port ursprünglich die Verbindung erfolgte. Diese Information wird in der Datei /var/log/messages protokolliert.
# grep 15:42 /var/log/messages
Aug 5 15:42:42 P15097491 kernel: HPOT_DATA: IN=eth0 OUT= MAC=00:20:ed:2f:ed:68:00:00:5a:9d:10:ba:08:00 SRC=212.93.24.187 DST=217.160.128.61 LEN=60 TOS=0x10 PREC=0x00 TTL=51 ID=37580 DF PROTO=TCP SPT=33167 DPT=27 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A002ADC880000000001030300)
Wenn der Honeypot zusätzlich auch die RPC-Dienste unterstützen soll, so bietet Tiny Honeypot eine Liste aller möglichen RPC-Dienste fakerpc. Der lokale RPC-Portmapper kann gestartet und mit dieser Liste gefüttert werden. Dann wird er auf die entsprechenden Anfragen immer die erwarteten Anworten liefern und das Vorhandensein der Dienste simulieren. Das Aufsetzen erfolgt folgendermaßen:
# /etc/init.d/portmap start # startet den Portmapper
# pmap_set < fakerpc # lädt die falsche Liste
Achtung:
Wenn der installierte RPC-Portmapper eine Sicherheitslücke aufweist, so kann diese nun ausgenutzt werden. Ein Start des Portmappers sollte daher wohlüberlegt sein.
Der Tiny Honeypot ist also ein sehr gutes Werkzeug, um zunächst jegliche Verbindungsanfrage entgegenzunehmen und einen Angriff zu erlauben. Die übertragenen Informationen werden in lokalen Dateien gespeichert und der Verbindungsaufbau wird in den Dateien /var/log/hpot/captures und /var/log/messages protokolliert. Seine einfache Installation und das geringe Risiko seiner Anwendung machen ihn zur idealen „Einsteigerlösung“.