Ökonomische Innovation
Die Honeybox ist eine echte Innovation der vergangenen Jahre und hat dafür den zweiten Platz des Bayerischen Sicherheitspreises 2009 belegt. Um den Einsatz der Honeybox möglichst ökonomisch zu gestalten, wäre es wünschenswert, wenn sie mehrere Sicherheitsniveaus mit einem einzigen Gerät überwachen könnte. Wünschenswert wäre weiterhin eine EAL-Zertifizierung durch das Bundesamt für Sicherheit (BSI).
Für Anwender ist die Honeybox eine Alternative zu IDS-Systemen. Wer dort nichts als Alarme sieht und deswegen schon gar nicht mehr hinschaut, für den lohnt es sich, die Honeybox anzusehen. Positiv fällt auf, dass Anwender bei Internetverbindungen oder internen Netzen mit hohen Bandbreiten (bis 10 GBit/s) keine Hochleistungshardware benötigen, wie es zum Beispiel bei der IDS/IPS-Technik der Fall ist. Sie versetzt sonst die Preise für Sicherheit ins Astronomische. Das macht die Appliance auch für große Betriebe und ISPs interessant.
Secxtreme Honeybox
- Hersteller: Secxtreme, Taufkirchen [5]
- Sensor-Appliance: Grundmodell ist eine 19-Zoll-Hardware-Appliance mit vier Netzwerkports. Sie baut auf einer Nexcom NSA1042N8 auf, hat eine Intel-Celeron-M370-CPU mit 1,5-GHz, 1 GByte DDR2-SDRAM und eine 160-GByte-SATA-II-Festplatte.
- Management: Das Verwaltungs-GUI ist für größere Installationen auch ohne Sensoren als so genannte 0-Port-Variante und als reine Softwarelösung erhältlich. Verteilte Sensoren senden ihre Logs an solche Stationen.
- Lieferumfang: Die Hardware-Appliance kommt zusammen mit einem seriellen Kabel, vier Ethernet-Kabeln, Installationszubehör und einem USB-Stick mit Recovery-Funktion, einem 200-seitigen Handbuch als PDF sowie weiteren Unterlagen zur Hardware. Die Softwareversion, die nur Management beherrscht, liefert Secxtreme auf CD-ROM aus.
- Virtualisierung: Die Softwarevariante startet von CD und installiert ein gehärtetes Debian-System. Der Einsatz als virtuelles Image ist vom Hersteller nicht offiziell supportet.
- Wartung: Enthält Zugang zum Updateserver, der Debian-Pakete und eigene Software aktualisiert. Support per Telefon und E-Mail.
- Preise: Secxtreme verkauft die Honeybox durch Partner im Rahmen individueller Projekte. Der Listenpreis für die 4-Port-Appliance inklusive einem Jahr Wartung ist 8925 Euro brutto, jedes Folgejahr kostet 1190 Euro, die Softwarevariante 3451 Euro. Eine Gewährleistungsverlängerung auf drei Jahre kostet 357 Euro, ein Austausch am nächsten Tag 1012 Euro für den gleichen Zeitraum.
Zero-Day-Attacken
Mit der Sicherheit betraute Anwender fürchten besonders Angriffe, die eine Schwachstelle ausnutzen, deren Ursache bis dato nicht bekannt ist. So greifen musterbasierte Schutzprogramme nicht. In den Jahren 2005 bis 2007 gab es einen großen Hype um die Zero Day Attacks genannten Angriffe, und viele Hersteller von IDS-Systemen, AV-Scannern und anderer Sicherheitssoftware haben in der Folge damit geworben, vor ihnen dennoch zu schützen.
Seit 2007 ist es auch um diese Variante der Angriffe ruhig geworden. Es ist schwer zu beurteilen, ob es sich dabei je um eine reale Gefahr für Unternehmen handelte – oder eher um ein gutes Verkaufsargument der Anbieter. Somit wäre es schon eine kleine Sensation, wenn sich in der Praxis durch den Einsatz von virtuellen Honeypots zeigen würde, dass Zero Day Attacks existieren und die Anwendergemeinde verlässliche Zahlen für deren Verbreitung bekäme.
Infos
- Symantec stellt Mantrap ein: http://www.symantec.com/business/support/release_details.jsp?pid=52775
- Gorecki, Göbel, Engelberth, Trinius, "Einbrüche im High Interaction Honeynet beobachten": Linux-Magazin 02/09, S. 54
- Honeyd: http://www.honeyd.org
- Niels Provos, Thorsten Holz, "Virtual Honeypots: From Botnet Tracking to Intrusion Detection": Addison-Wesley Longman, 2007
- Honeybox von Secxtreme: http://www.sec-xtreme.com/honeypot.html
- BASE-Engine: http://base.secureideas.net
- Tripwire: http://sf.net/projects/tripwire/
Ähnliche Artikel
Nützlichkeit von Honeypots
Konfigurationsmanagement
Themen
