Zum Hauptinhalt springen

Studierendenprojekte

Süße Verlockung für Angreifer

Honeypot Baukasten System zur Angriffserkennung

Bedrohungen für Systeme nehmen durch die ständig fortschreitende Digitalisierung im beruflichen und privaten Umfeld stetig zu. Um auf die sich ständig wandelnden Angriffe angemessen reagieren zu können, müssen sie aufgezeichnet und analysiert werden.

Diese Datenerfassung kann mithilfe von Honeypots erfolgen und sind vor allem für Firmen und Forschungseinrichtungen von Relevanz.
Ein Honeypot ist als eine Art Lockmodul anzusehen. Für den Fall das ein Angriff auf ein Netzwerk erfolgt soll dieser im Idealfall auf dem Honeypot stattfinden, dokumentiert werden und somit spätere Gegenmaßnahmen ermöglichen. Angreifer sollen durch fingierten Bereiche von den produktiven Komponenten abgelenkt werden und folglich diese angreifen. Honeypots sind folglich nicht zur Abwehr gedacht, sondern um angegriffen zu werden.

Im Rahmen dieser Bachelorarbeit wurde ein Baukastensystem für unterschiedliche Arten von Honeypots unter der Berücksichtigung von Skalierbarkeit, Platzierungsmöglichkeiten und Management mithilfe einer graphischen Bedienoberfläche entwickelt. Es wurden fünf Arten implementiert, die gegebenenfalls einzeln aktiviert/deaktiviert werden können. Die Protokolle umfassen: SSH, FTP, HTTP, SMTP und Telnet und decken somit einen Großteil der Attacken ab.
Es wurde sich für den Einsatz von Low-Interaction Honeypots entschieden, da sie leichter zu erstellen sind, weder Ordnerstrukturen noch Netzwerkverkehr oder ähnliches simuliert werden müssen um das System real aussehen zu lassen und Interaktionen zu ermöglichen. Auch im Hinblick auf die Zukunft und mit der Absicht weitere Honeypots in dem Baukasten zu implementieren wurde das System mittels Low-Interaktion Honeypots aufgebaut.

In der grafischen Oberfläche steht die Möglichkeit der visuellen Darstellung von erfolgten Angriffen zu Verfügung. Es werden Verbindungsaufbau, Anmeldeversuche und Verbindungsabbau aufgezeichnet. Hierzu werden die passenden Reports erstellt. Der Report speichert dabei die Zeit des Angriffsversuches, die Adresse des Angreifers, das Herkunftsland der IP Adresse und die verwendeten Anmeldedaten.

Interessanter Fact:
Im Zuge der Testläufe wurden innerhalb weniger Stunden bereits 1700 Angriffe auf den Telnet Service verzeichnet.

Facts:
Typ: Bachelorprojekt
Studiengang: Bachelor Informationstechnik & System-Management

Honeypot-Baukasten

Foto: FH Salzburg