« Zurück 1 2 3 4 5 Weiter »

Aus ADMIN 04/2012
Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Risikolos weiterleiten

Eine Auswertung eingehender Verbindungen auf geschlossenen Ports direkt auf den betroffenen Produktivsystemen würde jedoch auch ein erhöhtes Sicherheitsrisiko sowie einen zusätzlichen Ressourcenbedarf für das Produktivsystem bedeuten. Gleichzeitig ergäbe sich so ein ähnlicher administrativer Aufwand durch nötige Aktualisierungen wie durch den Einsatz dedizierter Honeypots. Schließlich würde durch den Einsatz von Honeypot-Software auf Produktivsystemen ein zusätzliches Sicherheitsrisiko für die betroffenen Systeme entstehen. Denn schließlich könnte es Angreifern gelingen, Sicherheitslücken in der Honeypot-Software auszunutzen, um so auf das Produktivsystem zuzugreifen.

Um dies zu vermeiden und gleichzeitig eine zentrale Auswertung der unerwünschten Verbindungen zu ermöglichen, verwendet HoneypotMe eine separate, dedizierte Analysekomponente. Unerwünschte Verbindungen leitet HoneypotMe transparent von den Produktivsystemen an diese Analysekomponente weiter, die sie anschließend annimmt und detailliert auswertet. Um alle Informationen zu erhalten, die auch direkt am betroffenen Produktivsystem anfallen, werden solche Verbindungsaufbauversuche von HoneypotMe transparent an die Analysekomponente getunnelt.

Transparente Tunnel

Antwortnachrichten gelangen anschließend über den Tunnel zurück an das angegriffene System, das sie an das angreifende System weiterleitet. Der Vorteil solcher getunnelter Verbindungen gegenüber einer Proxy-Lösung besteht darin, dass die Analysekomponente sowohl Informationen über das angreifende als auch über das angegriffene System erhält. Darüber hinaus bleiben alle in den Verbindungsdaten enthaltenen Metadaten, insbesondere die Paket-Header, erhalten, aus denen sich weitere Informationen über das angreifende System ableiten lassen.

Eine wesentliche Herausforderung bei der Weiterleitung einzelner Ports von Produktivsystemen zu der Analysekomponente ist die Auswahl der weiterzuleitenden Ports. Zwar ist auf einigen Ports keine reguläre Interaktion zu erwarten, doch unterscheiden sich diese Ports von Betriebssystem zu Betriebssystem und je nach Einsatzzweck des Hosts. Sie lassen sich daher nicht verallgemeinern. So ist es zwar beispielsweise unwahrscheinlich, dass der Port 1439 des MS-SQL-Datenbankservers auf Linux-Systemen für produktive Zwecke eingesetzt wird. Jede Interaktion mit diesem Port ließe sich demnach analog zum Konzept klassischer Honeypots generell als bösartige Interaktion ansehen. Unter Windows sähe die Sache aber anders aus. Darüber hinaus kann die Menge der produktiv verwendeten Ports über den Beobachtungszeitraum variieren.

« Zurück 1 2 3 4 5 Weiter »

Ähnliche Artikel

comments powered by Disqus

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing