OpenCanary zur Erkennung von Angriffen

Wenn der Vogel nicht mehr singt

Kanarienvögel wurden früher von Bergleuten mit hinunter in die Grube genommen, weil sie sehr empfindlich auf Kohlenmonoxid reagieren. Fiel der Kanarienvogel von der Stange, mussten sich die Bergleute auf den Weg in Richtung frischer Luft begeben. Dadurch hat sich der Kanarienvogel sinnbildlich auch in die IT-Sicherheit eingeschlichen. Hier dient ein Canary der Erkennung von Angriffen. OpenCanary ist eine solche Variante, die Sie schnell und einfach im Netzwerk einsetzen können.
Aus IT-Administrator 01/2023
IT-Administrator läutet das neue Jahr mit dem Themenschwerpunkt "Collaboration" ein. Darin zeigen wir unter anderem, wie eine sichere Zusammenarbeit mit ... (mehr)

Die Idee, mit Honeypots Angreifer auf speziell präparierte Systeme eindringen zu lassen, um mehr über die Angreifer selbst und ihre genutzten Methoden zu erfahren, ist lange etabliert. So soll das Vorgehen der Täter ermittelt werden, vor allem, wie diese sich im Netzwerk weiterbewegen (Lateral Movement) oder auf welche Informationen sie zugreifen. Es gibt auch Honeypots für E-Mail-Spam: Extra für diesen Zweck erstellte E-Mailkonten werden in nicht-sichtbaren Bereichen von Webseiten veröffentlicht. Die Annahme ist nun, dass Bots diese Adressen sammeln und für die Verbreitung von Spam verwenden. Die eingehenden E-Mails sind damit alle Spam und können helfen, den Filter zu verbessern.

Mit OpenCanary [1] setzen Sie im Handumdrehen Netzwerkdienste auf und können sich bei Zugriffen informieren lassen. Dabei sind der Fantasie so gut wie keine Grenzen gesetzt. Zum einen besteht die Möglichkeit, OpenCanary einfach auf öffentlichen Adressen laufen zu lassen, die nicht anderweitig genutzt werden. Hier bieten sich oft benachbarte IP-Adressen von öffentlich verfügbaren Diensten, aber auch benachbarte oder ungenutzte Ports auf diesen Maschinen an. Wenn Sie einen Webserver betreiben, dann beantwortet dieser in der Regel Anfragen auf den Ports 80 und 443. Oft werden diese Anfragen heutzutage mit dem Webserver als Proxy an eigentlich interne Dienste weitergeleitet. Angreifer versuchen daher etwa über die Ports 8001, 8080, 8443 oder 9000 an schlechter abgesicherte oder verwundbare Server oder interne Informationen zu gelangen.

Betreiben Sie nun einen Honeypot mit einer öffentlichen IP-Adresse, stellen Sie rasch fest, dass unheimlich viele Anfragen gegen diesen Honeypot laufen. Die meisten davon sind vermutlich nur Scans, oft ausgelöst durch (meist) legitime Systeme, etwa Schwachstellenscanner wie Shodan [2] oder Sicherheitsforscher in aller Welt. Wenn Sie für jedes Event einen Alarm generieren, übersehen Sie die tatsächlichen Angriffe in der großen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing