Grundlagen: Das müssen Sie über Honeypots wissen

Ein Honeypot ist ein System, dessen Aufgabe es ist, missbraucht zu werden. Es ermöglicht die Analyse der Angriffsmethoden und Vorgehensweisen des Angreifers und kann auch als Intrusion Detection System eingesetzt werden.

Der Einsatz eines Honeypots kann unterschiedliche Gründe haben. Zum einen erlaubt ein Honeypot, die Angriffsmethoden und Vorgehensweisen des Angreifers zu analysieren. Er ermöglicht Ihnen, Ihre forensischen Fähigkeiten bei der Analyse von Netzwerkprotokollen und kompromittierten Rechnern auf die Probe zu stellen und gleichzeitig zu verbessern.

Auf der anderen Seite kann ein Honeypot aber auch als IDS eingesetzt werden, denn jede Aktivität auf einem Honeypot kann als verdächtige Aktivität eingestuft werden. Während normale IDS immer verdächtige Ereignisse vor dem Hintergrund normaler Aktivitäten erkennen müssen, und so häufig auch falsch-positive Meldungen liefern, ist jede Honeypot-Aktivität verdächtig. Hier gibt es kaum oder gar keine falsch-positiven Ereignisse.

Dieser Artikel basiert auf Kapitel 22 des Buches „Intrusion Detection und Prevention mit Snort 2 & Co.“ von Ralf Spenneberg. Das 840 Seiten starke Werk ist im Verlag Addison-Wesley erschienen (ISBN: 3827321344) und kostet in der Druckausgabe 59,95 Euro. Sie können das Buch direkt in unserem Buch-Shop versandkostenfrei bestellen