Analyse

Die weitere Analyse ergab insgesamt 8855 Angriffe aus dem Netz der Universität Bonn. Diese hohe Zahl an Angriffen resultiert jedoch größtenteils daraus, dass jeder Verbindungsaufbauversuch auf einen geschlossenen Port als separater Angriff gewertet wird. Dadurch verursacht etwa ein einzelner Port-Scan bereits eine hohe Anzahl registrierter Angriffe. Tatsächlich konnten Port-Scans von drei unterschiedlichen IP-Adressen aus dem Netz der Universität registriert werden, welche jeweils parallel auf allen vier überwachten Systemen liefen. Die Anzahl der Verbindungsaufbauversuche pro Port-Scan auf ein mit HoneypotMe überwachtes System betrug dabei zwischen 11 und 1180. Dieses Beispiel zeigt, dass es mithilfe von HoneypotMe auch ohne den Einsatz zusätzlicher Ressourcen möglich ist, Angriffe auf Produktivsysteme zu registrieren und auszuwerten. Die Wahrscheinlichkeit, einen Angriff aus dem Netz der Universität Bonn zu registrieren, ist so höher als es alleine mit Sensoren in anderen Netzen möglich wäre.

Fazit

Mithilfe von HoneypotMe ist es möglich, die eingeschränkte Sichtbarkeit von klassischen Honeypots auf eine Vielzahl an Systemen zu erweitern, sodass sich auch größere Netze vollständig mithilfe von Honeypots zu überwachen lassen. So können detaillierte Informationen über Angriffe in den zu überwachenden Netzen gewonnen und entsprechende Gegenmaßnahmen getroffen werden. Darüber hinaus erhöht der Einsatz von HoneypotMe direkt die Sicherheit der zu überwachenden Systeme, da es für Angreifer nicht möglich ist, reale Ports von solchen der Analysekomponente zu unterscheiden.Damit lassen sich Angreifer durch simulierte verwundbare Dienste von realen Verwundbarkeiten ablenken.

Im Gegensatz zu Honeypots auf dedizierten Ressourcen lassen sich mithilfe von HoneypotMe jedoch nur solche Angriffe erkennen, die keine real verfügbaren Dienste zum Ziel haben. Daher könnte HoneypotMe einzelne Angriffsversuche übersehen. Besteht ein Netz jedoch aus heterogenen Systemen mit unterschiedlichen verfügbaren Diensten, so ist die Wahrscheinlichkeit hoch, dass sich über einen längeren Zeitraum Angriffe auf beliebige Ports registrieren lassen.

Der Vorteil des hier vorgestellten Verfahrens liegt insbesondere darin, dass man keine zusätzlichen Ressourcen für den Einsatz von HoneypotMe benötigt. Die Installation sowie der Betrieb der Sensoren brauchen darüber hinaus kein Hintergrundwissen. Durch den Einsatz der Sensoren entsteht kein zusätzliches Sicherheitsrisiko für die Systeme, da Datenpakete ausschließlich weiter getunnelt werden und eine Verbindung weder aufbaut noch analysiert wird. Die einzelnen Sensoren benötigen aus diesem Grund keine Aktualisierungen, um neue Angriffe zu erkennen, da die Analyse die externe Analysekomponente übernimmt.

Die Analysekomponente selbst muss nicht in den Netzen laufen, in denen sich die Sensoren befinden. Denkbar wäre, sie in einen speziell abgesicherten Netzbereich auszulagern oder vollständig von Dritten betreiben zu lassen. Die von den Sensoren verwendete Analysekomponente lässt sich darüber hinaus flexibel austauschen, sodass für den jeweiligen Einsatzbereich passende Analysekomponenten verwendbar sind. ( jcb )