praktische aspekte von honeypots im …...timekeeping zdamit die einzelnen ereignisse korreliert...
TRANSCRIPT
![Page 1: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/1.jpg)
Praktische Aspekte von Honeypots im kommerziellen Umfeld
d
![Page 2: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/2.jpg)
Über DN-Systems
Globales Beratungs- und Technologie-Unternehmen
PlanungEvaluierungAuditEigenes Rechner- / Netzwerk-Labor ProjektmanagementIntegrale Sicherheit (nicht nur IT)Investigation / digitale Forensik
![Page 3: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/3.jpg)
Weltweiter ServiceKundenEigene NiederlassungenPartner Niederlassungen
![Page 4: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/4.jpg)
Unsere KundenRZ- und Datacenter-BetreiberInternet-Service-Provider und Backbone-BetreiberTelekommunikations-KonzerneSupply-Chain-BetreiberTransport und LogistikInternational tätige KonzerneBanken und Finanznetz-Betreiber (Kreditkarten-Clearing)Produzenten von Sicherheits- Hard- und SoftwareBehörden und Staaten
![Page 5: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/5.jpg)
Agenda
TheorieAufgaben eines HoneypotsDefinition HoneypotAusprägungenPraktische Aspekte bei dem Betrieb
AufbauTimekeepingTest mit Werkzeugen des AngreifersÜberwachung / Auswertung
![Page 6: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/6.jpg)
Theorie
Herkömmliche Sicherheitsinstrumente im Netz
IDSIPSVPNFirewallsGateways
![Page 7: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/7.jpg)
Warum ein Honeypot?
Als Instrument zur Verteidigung sensibler IT-Systeme Honeypot Systeme sollen die Eindringlinge von den wichtigen Systemen fernhaltenAnalyse von Angriffen Prävention
![Page 8: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/8.jpg)
Aufgaben eines Honeypots
Überwachung von Daten oder Ereignissen (Monitoring) Filtern von Datenpaketen (Filtering) Einbruchsalarm (Intrusion Detection) Systemüberprüfung (Audit) Gegenmaßnahmen (Escalation)
![Page 9: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/9.jpg)
Umfeld im Unternehmen
Diese Aufgaben sind im Unternehmen organisatorisch in einen Prozess einzubinden, der gewährleistet, dass alle anfallenden Daten ausgewertet und den verantwortlichen Personen oder Instanzen zugeführt werden.
![Page 10: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/10.jpg)
Definition Honeypot
Ein Honeypot ist ein fiktives,sicherheitstechnisch verwundbaresSystem, das als Falle für nichtlegitimierte Benutzer und Angreiferfungieren soll.
![Page 11: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/11.jpg)
Im kommerziellen Umfeld
Um sicherheitskritische Angriffe auf sich zu ziehenUm die Ressourcen des Angreifers zu erschöpfen Um Hinweise zu noch unbekannten Angriffsszenarien zu erhaltenUm als Frühwarnsystem zu agieren
![Page 12: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/12.jpg)
Im kommerziellen Umfeld
Um Beweismittel für den Vorsatz der Tat in juristisch verwertbarer Form zu dokumentieren Um die strafrechtliche Identifikation des Angreifers zu ermöglichen Um Konflikte mit geltendem Arbeitsrecht und Datenschutz zu vermeiden
![Page 13: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/13.jpg)
Im Umfeld der Forschung und Lehre
Erforschung der Ziele von Angreifern Analyse von neuen Angriffswerkzeugen
Strategien Philosophien
Erforschung neuer Angriffsvarianten Typisierung von Angreifern Täter- und Persönlichkeitsanalysen
![Page 14: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/14.jpg)
Honeypot-Typen
Man unterscheidet hostbasierende Honeypot-und netzbasierende Honeynet-Varianten. Diese lassen sich nach derzeitigem Stand derTechnik in folgende Untergruppen einteilen:
![Page 15: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/15.jpg)
Type 1Eigenständiges SystemWelches via Sicherheits-Hardware angebunden ist (Vollinstallation: Speziell notwendig für eine forensische Analyse).
Beispiel: Ein Opferrechner auf der Basis alter i586-Hardware.
![Page 16: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/16.jpg)
Type 2Logisch eigenständiges System: Vollinstallation (virtuell; wirtschaftlich sinnvoll, um mehrere Systeme auf einer Hardware zu betreiben), etwa auf der Basis von Virtual Machines (VM).
Beispiel: Usermode Linux, welches als Honeypot einen Server laufen lässt.
![Page 17: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/17.jpg)
Type 3Emulation; One-to-One-BeziehungBeispiel: (einfache, realitätsnahe Darstellung), beispielsweise shadow, dtk)
![Page 18: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/18.jpg)
Type 4Emulation; One-to-Many-Beziehung Hier wird, ohne reelle Hardware zu besitzen, eine komplexe, realitätsnahe Darstellung kompletter IT-Strukturen im Netzwerk mit konnektierten Hosts, Routern und Servern emuliert.Beispiel: Virtuelles Netzwerk mit Honeyd
![Page 19: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/19.jpg)
Type 5Punktuelle Fallen (Traps)Diese Fallen werden auf Produktiv-Servern an speziellen kritischen Schaltstellen - wie dem Mailserver - installiert.Sobald jemand in diese Falle tappt, wird eine Eskalation durchgeführt.Beispiel: "netcat -p 23" oder Teergruben um SPAM auszubremsen.
![Page 20: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/20.jpg)
Type 6Poisoned HoneypotDie Typen 1-5 werden mit "Malicious Code" (Viren, Würmer, Trojaner) ausgestattet. Dadurch entsteht ein so genannter poisoned Honeypot (vergifteterKöder).Diese Variante ist manchmal im militärischen Umfeld möglich, da solch ein System aktiv zurückschlägt.
![Page 21: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/21.jpg)
Täter
Es gibt eine Vielzahl von Angreifern und suspekten Personen, die in ein Honeypot-System einzudringen versuchen.Als Täter kommen verschiedene Persönlichkeiten in Betracht, welche unterschiedliche Bedrohungsszenarien darstellen.
![Page 22: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/22.jpg)
Skript-KinderMotivation, andere Leute zu verärgern und Schaden anzurichten
I.d.R. jugendliche PersonenRelativ niedriger WissensstandBenutzen meistens Tools und Werkzeuge von so genannten Hacker-PagesMassenphänomenZiel- und wahllose Angriffe auf HostsVerursachen den meisten relevanten Verkehr für HoneypotsAngriffe basieren auf Port-Scannern und anderen Tools
![Page 23: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/23.jpg)
Hacker
Motivation, anderen ihre Kenntnisse zu demonstrieren
Relativ hoher Wissensstand Beschränkte finanzielle Ressourcen Benutzen eigene Tools und WerkzeugeInzwischen eher (sehr) selten Arbeiten aber i.d.R. nicht kommerziell Verursachen den für Honeypots relevanten Verkehr
![Page 24: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/24.jpg)
Cracker
Cracker ist die kriminelle Version des Hackers
Bessere monetäre RessourcenProfessioneller bzw. kommerzieller Hintergrund Arbeitet im Bereich der Industriespionage Sucht nach Industrie- und Regierungsgeheimnissen Hauptmotiv ist Geld Ist als professioneller Krimineller einzustufen
![Page 25: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/25.jpg)
Werbemailversender
Suchen gezielt Rechner mit Schwachstellen, um Spam zu versenden
Professioneller bzw. kommerzieller HintergrundVerärgernde Werbebotschaft auf Kosten Dritter Hauptmotiv ist Geld Ist als Krimineller einzustufen
![Page 26: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/26.jpg)
Praktischer Aufbau
Seit 1999 wurde eine Vielzahl von kommerziellen und nicht-kommerziellen Produkten bzw. Paketen für die Honey-Techniken entwickelt.Für die Erprobung in der Praxis und die Vorbereitungen im Unternehmen bietet sich zunächst das Testen mit freien Produkten an. Das spart überdies Lizenzkosten.
![Page 27: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/27.jpg)
Aufbau
• Keine Firewall• Optional ein IDS/IPS• Port-Monitor
– oder HD-Hub Layer-2 Ethernet
• Zentrale Kontrollstelle
![Page 28: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/28.jpg)
TimekeepingDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen Typ-1 oder einen Typ-5-Honeypot, ein Timekeeping-System einzuführen.
In der Praxis hat sich ein NTP-System als sinnvoll erwiesen. Dabei ist darauf zu achten, dass die geringeren Stratum-Server unbedingt durch die vom NTP unterstützten ACLs gegen eine Manipulation vom Honeypot-System abgesichert werden.
![Page 29: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/29.jpg)
Timekeeping# NTP configuration file for the NTP-Server# Ignore all Requests
restrict default ignore
# Allow Administration via ntpq
restrict 127.0.0.1
## Network Clientsrestrict 192.168.101.0 mask 255.255.255.0 nomodify # honey-net
restrict 192.53.103.103restrict 192.53.103.104server 192.53.103.103 #ntp1.ptb.deserver 192.53.103.104 #ntp2.ptb.defudge 127.127.1.0 stratum 10 # local clock is unsynchronized restrict
![Page 30: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/30.jpg)
DNS und HostnameBei dem Eintrag des Netzes bzw. der Host-Adresse in den DNS-Server sollte vermieden werden, dass ein Angreifer auf den "wahren" Zweck dieses Systems schließen kann. In diesem Zusammenhang sollte auf die folgenden Punkte geachtet werden:
Namen wie A-Records oder MX-Einträge wie honey.myzone.de sind zu vermeidenDer Hostname darf nicht via SMTP Banner den Zweck des Rechners verratenReverse-Lookup sollte mit dem Namen übereinstimmenDer höchste MX-Record sollte auf einem SMTP Honeypot zeigen
![Page 31: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/31.jpg)
Süße Versuchung
Oft ist es sinnvoll, einem scheinbar lohnenden Ziel weitere Anreize zu bieten. Gerade im Firmenumfeld können absichtlich platzierte falsche Dokumente auf einem Honeypot-System helfen, einen Innentäter zu ertappen und ihn auf diese Weise zu überführen.
![Page 32: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/32.jpg)
Überwachung
Es ist zu überwachen:Gesamte KommunikationJegliches außergewöhnliche Verhalten Bei VM-Installationen alle Änderungen in der VM
Dadurch hat man jederzeit die Möglichkeit, den aktuellen Stand des Systems einzufrieren, zu analysieren und die Kommunikation über die Systemgrenzen zu kontrollieren.
![Page 33: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/33.jpg)
Notbremse• Einen äußerst wichtigen
Stellenwert beim Betrieb eines Honeypot-Systems nimmt die Notbremse ein.
• Diese kann z.B. über ein einfaches Perl-Skript erfolgen, welches eine IP-Rule etabliert
![Page 34: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/34.jpg)
NotbremseSobald der Verkehr auf dem Honeypot-System
schlagartig ansteigt oder versucht wird, andere Rechner in der DMZ von Honeypot-Systemen anzugreifen, wird die Notbremse aktiv. Durch eine Not-Aus-Funktion wie eine Firewall-Regel ist gewährleistet, dass bei einem Übernahmeversuch der Angriff weitestgehend auf die Honeypot-Zone beschränkt bleibt.
![Page 35: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/35.jpg)
Auswertung Rechnerinhalt
Diese Auswertung kann nur von einem sogenannten Analyse-System, welches nicht im Honeypot-Umfeld lokalisiert ist, durchgeführt werden.
Nachdem das ursprüngliche File-System - sofern es noch verfügbar ist - read-only gemountet worden ist, wird zunächst eine Integritätsüberprüfung der System-Binaries durchgeführt.
![Page 36: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/36.jpg)
Auswertung Logfiles
Neben dem Auswerten der Daten des Honeypot-Systems empfiehlt es sich, auch die Logfiles auszuwertenDiese Logfiles geben Aufschluss über
Kommunikationsbeziehungen der Systeme untereinander Versuchte AngriffeBenutzer und Hackerverhalten
![Page 37: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/37.jpg)
Netzwerkverkehr
Damit der Netzwerkverkehr ausgewertet werden kann, ist es sinnvoll, diesen im PCAP-Format zu speichern. Eine Analyse kann mit freien Tools wie Wireshark oder TCPDump durchgeführt werden.
![Page 38: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/38.jpg)
Netzwerkverkehr
Verdächtige Stellen im Datenstrom des Netzwerkverkehrs werden festgestellt durch
Einträge im SyslogMeldungen von der FirewallVolumen im NetzwerkverkehrDurch das GIDSDurch markiertes Verhalten
![Page 39: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/39.jpg)
SMTP - HoneypotAufgabe eines SMTP Honeypots ist es, Versuche von Spammern zu erkennen, ihre Werbemails zu relayen bzw. eine Mail über dieses System auszuliefern.Die Quelle der IP-Adressen von den Spam-Sendern werden in eine DNS-Zone eingetragen, so dass diese Systeme über eine Realtime-Blockingliste von den eigentlichen Produktiv-MTAs blockiert werden können.Durch ein gezieltes Platzieren der SMTP-Sensoren ist es möglich, neue SPAM-Sender schnell zu erkennen und auszuschalten.
![Page 40: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/40.jpg)
Systemaufbau
Direkt an das Internet angeschlossen ist ein Debian GNU/Linux-System, aufdem der Exim 4.x MTA als Pseudo-MTA fungiert.Dabei ist die MTA-Konfiguration wie folgt zu ändern:
Keine Zustellung in Mailboxen, kein relayJede Domain und jeder Sender wird sofort angenommenDer Message-Body wird in /dev/null entsorgt ;-)
![Page 41: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/41.jpg)
Honeyd - Ein HoneynetzEine weitere Möglichkeit zum Absichern von wireless und drahtgebundenen Netzen besteht mit so genannten Honeynetzen.Im Gegensatz zu einem Honeypot wird bei einem Honeynetz die gesamte Infrastruktur simuliert inklusive Schwachstellen, wobei auch bei dieser Simulation Auswertungsskripte bzw. Aktionen - wie z.B. das Sperren von Firewall Ports oder das Alarmieren - ausgeführt werden können.
![Page 42: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/42.jpg)
Ein Honeypotnetz
Netopia Ethernet
HP Tape BackupPDCWeb DevelopmentServer
Client PC
File Server
Mail Servermail.Yourcompany.com
T1 Connectnet
AdministrationServer
![Page 43: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/43.jpg)
Weitere Informationen
Süße Falle, Honey-Techniken zur Einbruchsvorsorge - Lukas Grunwald, Jochen Schlichting (2003)http://www.heise.de/ix
Honeyd - Network Rhapsody for You http://www.citi.umich.edu/u/provos/honeyd
Running a wireless Honeypot on CeBIT 2003 http://www.phreak.de/cebit2003
![Page 44: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/44.jpg)
Fragen ?
![Page 45: Praktische Aspekte von Honeypots im …...Timekeeping zDamit die einzelnen Ereignisse korreliert werden können,ist es notwendig, für alle Komponenten des Systems, wie z.B. einen](https://reader036.vdocuments.mx/reader036/viewer/2022071021/5fd5efe9c8917c087e7ded6b/html5/thumbnails/45.jpg)
Thank You
DN-Systems International LimitedP.O. Box 500 581 Dubai · U.A.E.Phone: +971-50-2861299 Mail: [email protected]
DN-Systems GmbHHornemannstr. 11-1331137 Hildesheim, GermanyPhone: +49-5121-28989-0 Mail: [email protected]