Mit Honeynet Hacker fangen

Honeywall, das Honeynet der neuesten Generation

Praxis & Tipps | Praxis

Mit Speck fängt man Mäuse, mit Honeypots Hacker – und hält sie damit von den wirklich wichtigen Systemen fern.

Honeypots und Honeynets sind bereits seit einiger Zeit als effektive Sicherheitskomponenten bekannt. Dennoch findet man sie noch immer hauptsächlich im Hochschulumfeld. Das könnte sich mit der Toolsammlung "Roo" ändern: Denn damit steht ein (kostenloses) Instrument zur Verfügung, das es erlaubt, ein Honeynet einfach aufzusetzen und zu administrieren sowie potenzielle und tatsächliche Angriffe effizient zu analysieren.

Sehen sich IT-Verantwortliche mit Angriffen auf ihre Systeme konfrontiert, stehen sie vor der Frage, ob es sich um einen gezielten Angriff (etwa Wirtschaftsspionage) oder um "Grundrauschen" aus dem Internet (Portscans, Wurm-Attacken et cetera) handelt. Und obwohl Firewalls oder gar Intrusion-Detection-Systeme (IDS/IPS) im Einsatz sind, ist diese Frage meist gar nicht oder nur mit erheblichem Aufwand zu beantworten.

Seit einigen Jahren diskutieren Sicherheitsexperten daher den Einsatz so genannter "Honeypots" [Siehe L.Grunwald, J.Schlichting; Netzsicherheit; Süße Falle; Honey-Techniken zur Einbruchsvorsorge; iX 6/03, S.102]: Ähnlich wie echte Honigtöpfe in freier Natur Bären und allerlei weiteres Getier anlocken sollen, handelt es sich bei Honeypots um dedizierte Systeme, deren einziger Zweck darin besteht, Angreifer anzulocken und kompromittiert zu werden. Da auf den Systemen keine produktiven Anwendungen laufen dürfen, ist – so sagt die Theorie – jegliche Aktivität zumindest verdächtig.

Betreibt man im Rahmen einer Infrastruktur gleich mehrere Honeypots, spricht man auch von Honeynets. Und obgleich Honeynets äußerst mächtige Werkzeuge beim Umgang mit Sicherheitsvorfällen sind, halten sich vor allem Firmen mit deren Einsatz noch immer sehr zurück. Neben der oft recht aufwendigen Administration derartiger "Opfersysteme" (insbesondere in heterogenen Umgebungen) schreckt in der Praxis meist das verbleibende Restrisiko ab: Schließlich könnte ein Angreifer ein erfolgreich kompromittiertes System auch dazu verwenden, weitere Systeme, zum Beispiel von Mitbewerbern, anzugreifen.

Problematisch ist ferner die mangelnde Korrelation der gesammelten Logdaten. Selbst ein einzeln aufgesetzter Honeypot erzeugt an verschiedensten Stellen Logs (Firewall, IDS, Netzwerkpakete et cetera), die der Administrator erst manuell zueinander in Beziehung bringen muss, will er einem Verdacht nachgehen.

An genau dieser Stelle setzt Roo an: Es sammelt an zentraler Stelle – daher auch der Name "Honeywall" – die Logdaten verschiedenster Quellen wie Argus, Snort, Sebek, p0f und weitere, "normalisiert" sie und schreibt sie in eine MySQL-Datenbank. Eine definierte Schnittstelle bietet anschließend umfangreiche Möglichkeiten für deren Auswertung. Diese Datenaggregation übernimmt der neue Daemon hflowd, der eine bedeutende Rolle in Roo spielt.

Das grundlegende Konzept hinter Roo sieht dabei die folgenden vier Auswertungen vor:

  1. Für jede (versuchte) Verbindung von einem Honeypot nach außen: Zeige die dazugehörige auslösende eingehende Verbindung an.
  2. Für eine eingehende Verbindung: Zeige alle zu dieser Verbindung gehörenden Honeypot-Aktivitäten (Prozesse) an.
  3. Zeige alle dazu gehörenden Netzwerkpakete an.
  4. Zeige die Tastatureingaben des Angreifers auf dem Honeypot an.
Walleye wertet die Prozesse auf einem Honeypot aus.

Die webbasierte Schnittstelle "Walleye" ("on the honeywall") bietet dabei die Verknüpfung dieser Auswertungen bis hin zu kompletten Prozessbäumen sowie Netzwerkmitschnitten an.

Eine potenzielle Überwachungsarchitektur: Alle Produktivsysteme sind von den zu überwachenden Rechner getrennt.

Bei Roo handelt es sich um ein cirka 300 MByte großes ISO-Image, das auf eine CD gebrannt und anschließend sofort gebootet werden kann. Es basiert auf einem gehärteten und stark abgespeckten Fedora Core 3. Aber Achtung: Im Gegensatz zu den meisten Live-Linux-Distributionen wie Knoppix lässt sich die Honeywall nicht von der CD starten – das gesamte System installiert sich auf der Festplatte, sobald man nach dem Booten der CD die Return-Taste drückt. Das erhöht nicht nur die Performance der Honeywall, es vereinfacht auch die Administration des Systems erheblich.

Roo lässt sich mit mindestens zwei, besser drei Netzwerkkarten betreiben: Zwei baut man als "Layer 2 Bridge" zwischen Internet und den zu überwachenden Honeypots ein, sie besitzen daher keine eigene IP-Adresse. Eine optionale dritte Netzwerkkarte – mit eigener IP-Adresse – dient dem SSL oder SSH-geschützten administrativen Zugriff auf die Honeywall.

Die Installation gestaltet sich denkbar einfach: Nachdem das komplette System automatisch auf die Festplatte kopiert wurde, führt ein einfaches Textmenü den Benutzer durch sämtliche Konfigurationsoptionen und nach wenigen Minuten ist die neue Honeywall einsatzbereit. Man braucht jetzt lediglich einen oder mehrere "Opferrechner", die die Honeywall überwachen soll. Dafür eignet sich prinzipiell jeder Rechner, auf dem keine produktiven Anwendungen laufen.

Anzeige