Einsatz-Szenarien
Nachfolgend sind fünf verschiedene Einsatz-Szenarien für Honeypots in Unternehmen erläutert.
Ablenkung der Angreifer in der DMZ
Vor dem eigentlichen Angriff auf eine Unternehmens-IT findet in der Regel eine Erkundung des Ziels statt – beispielsweise ein Scan des erreichbaren Netzwerks, also oft des speziell abgetrennten Bereichs mit Server-Systemen, die Dienste für das Internet anbieten ("Demilitarisierte Zone" – DMZ).
Neben den regulären Servern kann hier ein spezieller Honeypot – eine so genannte Tarpit – nützlich sein: Dieses System bietet scheinbar verschiedene Netzwerkdienste an, verlangsamt aber seine Antworten im Laufe einer Session zusehends. Der Name Tarpit geht auf einen natürlichen Asphaltsee bei Los Angeles zurück, in dem bereits vor mehreren zehntausend Jahren Mammuts und andere Säugetiere "hängen geblieben" und versunken sind. Die ursprüngliche Idee bestand darin, Netzwerk-Würmer durch das zähe Antwortverhalten zu verlangsamen und unschädlich zu machen – durch massiv paralleles Scannen heutiger Wurm-Software ist dies allerdings nicht mehr effektiv.
Wird ein Scan gegen eine solche "Teergrube" durchgeführt, muss ein einzelner Angreifer allerdings dennoch viel Zeit und Geduld mitbringen: Die Verbindungen werden gehalten, aber der Dienst antwortet quälend langsam. Je nach Angriffs-Werkzeug kann die Untersuchung eines einzelnen Dienstes über eine Stunde dauern. Zur Behinderung der Erkundung vor einem Angriff und damit zur Demotivation der Angreifer sind Tarpits daher noch immer sehr geeignet.
Eine Tarpit bietet keinen regulären Dienst an und zugreifende Systeme sind damit grundsätzlich verdächtig – die gewonnenen Informationen können als zusätzliche Bewertung in andere Sicherheitssysteme einfließen.
Es gibt eine Reihe Open-Source-Implementierungen, die in der Regel sehr simpel sind und damit wenig Fehlerpotenzial bieten. Dennoch sollte ein Tarpit-System gründlich abgesichert werden, um zu vermeiden, dass die Angreifer von einem kompromittierten Honeypot aus weitere Systeme attackieren.
Ersatz für ein IDS im internen Netzwerk
In internen Netzen arbeiten oft Intrusion-Detection-Systeme (IDS), um Systeme und Daten zu schützen: Sie belauschen den Netzwerkverkehr und suchen anhand von Signaturen nach illegitimem Verhalten und bekannten Angriffen. Unglücklicherweise ist gerade im internen Netz schwer vorherzusagen, was normaler oder gefährlicher Netzwerkverkehr ist. In der Praxis werden daher oft viele Signaturen deaktiviert oder man muss mit einer hohen Zahl an Falschmeldungen leben.
Ein Honeypot kann hier ähnliche Dienste leisten: Dazu bietet er typische Dienste an und bindet mehrere IP-Adressen aus dem regulären Adressbereich. Kommen zum Beispiel mehrere kleine Netzbereiche zum Einsatz, wäre es möglich, die jeweils ersten und letzten IP-Adressen für den Honeypot zu reservieren. In der Praxis lassen sich bis zu mehrere Tausend Adressen an ein Honeypot-System binden, ohne dass es zu Performance-Problemen kommt.
In diesem Anwendungsszenario genügt teilweise schon die Information, dass ein bestimmtes System einen Verbindungsversuch unternommen hat. Nutzt man hinreichend viele IP-Adressen für den Honeypot, dann ist es auch relativ einfach, zwischen einem "Vertipper" des Benutzers bei der Eingabe der Netzwerk-Adresse und dem systematischen Scan einer Schadsoftware zu unterscheiden.
Bei Einsatz eines Honeypots anstatt eines IDS werden allerdings weniger Gefahren erkannt, da nur Zugriffe direkt auf den Honeypot zu bemerken sind. Im Gegenzug reduziert sich die Rate der Falschmeldungen erheblich – so steigt die Wahrscheinlichkeit, dass auf eine Meldung wirklich reagiert wird. Man sollte hier vorsichtig abwiegen, welche Gefahren entdeckt werden müssen: Eine sich automatisch verbreitende Schadsoftware löst sicher schnell einen Honeypot-Alarm aus – ein manuell agierender Angreifer, der gezielt vorgeht, eher nicht.
Angriffsfrüherkennung für Webanwendungen
Um Angriffe gegen Webanwendungen zu erkennen, werden in der Regel IDS oder spezialisierte Web-Application-Firewalls (WAF) verwendet. Leider sind alltäglich automatisierte wahllose Angriffsversuche zu beobachten, die nur sehr selten Erfolg haben. Doch IDS- und WAF-Systeme können leider kaum zwischen bloßen Angriffsversuchen und tatsächlich gefährlichen oder gar erfolgreichen Angriffen unterscheiden.
Hier eröffnet ein spezieller Honeypot in Form einer vermeintlich verwundbaren Webanwendung neue Möglichkeiten: Zur Sicherheit wird der Lockvogel getrennt von den produktiven Webservern betrieben, ein spezieller Server blendet jedoch dessen Webanwendung in die reguläre Website ein – der Honeypot erscheint dem Angreifer somit als Teil des normalen Internetauftritts. So bleibt ein gewisser Spielraum für Manipulationen, innerhalb dessen ein potenzieller Angreifer "beweisen" kann, dass er tatsächlich eine Gefahr darstellt. Wird beispielsweise ein bestimmter Parameter der Webseite manipuliert, antwortet der Honeypot mit einer vermeintlichen Datenbank-Fehlermeldung – die weiteren Zugriffe der Angreifer werden nun beobachtet, um seine Gefährlichkeit einzuschätzen. Weiterhin könnte es möglich sein, durch Ausnutzung einer vorgeblichen Directory-Traversal-Schwachstelle, eine (spezielle) Passwort-Datenbank zu stehlen: Werden diese Credentials auf der regulären Website verwendet, ist klar, dass dies kein harmloser Angriffsversuch oder nur ein Versehen war.
Erkennung manipulierter Webserver-Inhalte
Drive-By-Downloads sind leider zu einem alltäglichen Phänomen geworden: Angreifer brechen in einen (legitimen) Webserver ein und hinterlegen Exploits zur Ausnutzung von Schwachstellen im Webbrowser der Besucher – für den Betreiber des missbrauchten Webservers ist das in der Regel sehr peinlich, obwohl er selbst ebenfalls ein Opfer der Angreifer war.
Die Absicherung von Webservern und die fortwährende Prüfung ihrer Integrität sind eine umfassende Herausforderung. Manche Organisationen sind zudem in der Position, keinen direkten Zugriff auf einen Webserver zu besitzen, aber dennoch dessen Sicherheit kontrollieren zu wollen – das trifft zum Beispiel auf Hosting-Provider zu. Doch auch in normalen IT-Umgebungen von Firmen kommt es öfter dazu, dass bestimmte Abteilungen für den Inhalt der Webserver zuständig sind und die IT-Security oder Netzwerk-Gruppe keinen direkten Zugriff hat.
In solchen Fällen kann der Einsatz von Client-Honeypots hilfreich sein: Diese werden in einem abgeschotteten Bereich betrieben, sodass eine Gefährdung der produktiven Infrastruktur ausgeschlossen ist. Die Client-Honeypots greifen regelmäßig auf die zu beobachtenden Webseiten zu – führt das Laden einer Seite zu einer Kompromittierung beziehungsweise schickt der Webserver einen Exploit an den Client, dann wird Alarm ausgelöst. Der Webserver wurde dann zwar bereits kompromittiert, aber man hat das Problem selbst zeitnah erkannt und musste es sich nicht etwa von einem Kunden erklären lassen oder gar Tage später davon in der Zeitung lesen.
Honey-Daten als Alarmanlage auf dem File-Server
Allzu oft hört oder liest man (hoffentlich nur in den Nachrichten) von gestohlenen Firmendaten. Haben Angreifer erst Zugriff auf sensitive Informationen, scheint das Schlimmste bereits passiert zu sein. Dies ist jedoch in der Praxis oft nur die halbe Wahrheit: In der Regel werden große Datenmengen transferiert, da die Angreifer selten exakt wissen, was und wo genau sie suchen müssen. Diese Datenmengen aus dem Firmennetz herauszuschmuggeln kostet Zeit – selbst wenn ein Angreifer also bereits weitreichenden Zugriff hat, ist es von großem Vorteil, möglichst schnell davon zu erfahren, um vielleicht das (Aller-)Schlimmste noch verhindern zu können.
In diesem Einsatzszenario besteht die zu beobachtende Ressource aus den Daten selbst: Es kann sich dabei zum Beispiel um Dokumente handeln, die in Verzeichnissen oder auf Datei-Servern lagern, die normalerweise nicht genutzt werden. Ihr Inhalt sollte einigermaßen plausibel erscheinen, muss aber nicht "echt" sein. Der Datei-Server sollte Zugriffe auf diese Dateien protokollieren und entsprechend einen Alarm auslösen. Alternativ ist es möglich, ein bereits vorhandenes Data-Leakage-/-Loss-Prevention-System (DLP) zu verwenden: Dieses sollte einen Alarm auslösen, sobald die "verräterischen" Dokumente das eigene Netzwerk verlassen.
Fazit
Eine 2012 oft diskutierte Erkenntnis war, dass Sicherheitsvorfälle und speziell eine Kompromittierung sich heutzutage kaum noch komplett verhindern lassen. Die Schlussfolgerung daraus ist, dass man sich auf den Fall der Fälle vorbereiten sollte, um dann richtig und schnell reagieren zu können: Gerade zur Erkennung von Angreifern, die den ersten Perimeterschutz eines Netzwerks durchdrungen haben, eignen sich Honeypots sehr gut.
Wer diese Chancen zur frühen Erkennung von Sicherheitsvorfällen nutzen will, muss das "wie" und "wo" jedoch sehr sorgfältig abwägen, um nicht neue Schwachstellen zu erzeugen und so den Angreifern womöglich noch in die Hände zu spielen.
Andreas Bunten ist Senior-Consultant im Competence-Center Security der Controlware GmbH. Im Bereich der Unix-Administration und Security ist er bereits seit 1996 tätig und betreibt seit über zehn Jahren verschiedene Arten von Honeypots.
Literatur
[1] Clifford Stoll, The Cuckoo's Egg, Tracking a Spy Through the Maze of Computer Espionage, Gallery Books Reissue, 2005, ISBN 978-1-4165-0778-9
[2] Lance Spitzner, Honeypots, Tracking Hackers, Addison-Wesley, 2002, ISBN 978-0-321-10895-1
[3] Sebastian Wolfgarten, Virtuelle Leimruten, Honeypots zur Analyse von Angriffen auf Clients und Server, <kes> 2006#2, S. 72
[4] Andreas Bunten, Torsten Voss, Stille Beobachter, SSH-Angreifern mit Honeypots nachstellen, Uptimes 2012-02, S. 13, www.guug.de/uptimes/2012-2/
[5] European Network and Information Security Agency (ENISA), Proactive Detection of Security Incidents II – Honeypots, 2012, www.enisa.europa.eu/activities/cert/support/proactive-detection-of-security-incidents-II-honeypots
![[Aufmachergrafik: heller, corporate design]](fileadmin/_migrated/pics/13-2-066-0.jpg "[Aufmachergrafik: heller, corporate design]")
