OpenCanary zur Erkennung von Angriffen

Die Idee, mit Honeypots Angreifer auf speziell präparierte Systeme eindringen zu lassen, um mehr über die Angreifer selbst und ihre genutzten Methoden zu erfahren, ist lange etabliert. So soll das Vorgehen der Täter ermittelt werden, vor allem, wie diese sich im Netzwerk weiterbewegen (Lateral Movement) oder auf welche Informationen sie zugreifen. Es gibt auch Honeypots für E-Mail-Spam: Extra für diesen Zweck erstellte E-Mailkonten werden in nicht-sichtbaren Bereichen von Webseiten veröffentlicht. Die Annahme ist nun, dass Bots diese Adressen sammeln und für die Verbreitung von Spam verwenden. Die eingehenden E-Mails sind damit alle Spam und können helfen, den Filter zu verbessern.

Mit OpenCanary [1] setzen Sie im Handumdrehen Netzwerkdienste auf und können sich bei Zugriffen informieren lassen. Dabei sind der Fantasie so gut wie keine Grenzen gesetzt. Zum einen besteht die Möglichkeit, OpenCanary einfach auf öffentlichen Adressen laufen zu lassen, die nicht anderweitig genutzt werden. Hier bieten sich oft benachbarte IP-Adressen von öffentlich verfügbaren Diensten, aber auch benachbarte oder ungenutzte Ports auf diesen Maschinen an. Wenn Sie einen Webserver betreiben, dann beantwortet dieser in der Regel Anfragen auf den Ports 80 und 443. Oft werden diese Anfragen heutzutage mit dem Webserver als Proxy an eigentlich interne Dienste weitergeleitet. Angreifer versuchen daher etwa über die Ports 8001, 8080, 8443 oder 9000 an schlechter abgesicherte oder

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.