[utakurt]

Zitat aus www.suse.de:

4.3.1 Honeypot Systeme

Honeypots sind Systeme, die vorgeben, Sicherheitslücken zu haben. Wenn ein Angreifer dieses System entdeckt, wird er es attackieren und keine Probleme haben, die Sicherheitsmechanismen zu überwinden. Der Angreifer denkt, daß er sich auf einem normalen Computersystem befindet, wurde in Wahrheit aber in eine abgeschottete Umgebung umgeleitet. Der SO wird darüber benachrichtigt und hat nun die Möglichkeit das Verhalten des Gegners zu beoabachten und zu analysieren. Somit ist es vielleicht möglich, das Bestreben des Gegners zu erkennen oder sogar neue Angriffsformen zu entdecken.

Das Deception Toolkit (DTK) und ManTrap sind gute Beispiele für ein hostbasiertes Honeypot System. Theoretisch sind auch netzbasierte Honeypots (Honeynet) möglich, die dem Angreifer ein ganzes Netz vorgaukeln, indem sie auf einem Rechner mehrere Virtual Machines (VM) mit virtuellen Netzverbindungen implementieren. Secure Networks, Inc (SNI) hatte mal ein Honeynet angekündigt, es aber anscheinend nie bis zur Auslieferungsreife gebracht.

Honeypots sind sehr zuverlässig beim Erkennen von Attacken, können dem SO aber unnötig Arbeit machen, da jeder noch so unbegabte Angreifer in das System einbrechen kann. Diese Angreifer wollen häufig keine speziellen Informationen stehlen, sondern nur ihre Langeweile vertreiben oder IRC Bots aufsetzen. Solche Angriffe sind zeitraubend und liefern dem SO keine neuen Erkenntnisse. Da ein Honeypot nur eine Falle darstellt, kann es natürlich passieren, daß der Angreifer nicht in sie hineintappt und somit unentdeckt bleibt. Honeypots eignen sich besonders in einer DMZ oder vor einer Firewall, da der Angreifer dort nur wenig Angriffsfläche findet und so die Wahrscheinlichkeit höher ist, daß der Honeypot Ziel der Attacken wird.

Weitere Infos dazu auch hier






http://intranets.ch/weblog/Members/u...net-sicherheit
http://www.sueddeutsche.de/sz/wissen/red-artikel805/