Fazit

Honeywall, das Honeynet der neuesten Generation

Praxis & Tipps | Praxis

Seite 4: Fazit

Mit der Honeywall "Roo" hat das Honeynet-Projekt ein großer Schritt nach vorne gemacht. Eine beeindruckende Zusammenstellung von Toolkits erlaubt an zentraler Stelle ein einfaches und insbesondere effektives Aufsetzen sowie Administrieren von kompletten Honeynet-Umgebungen. Die vielen umfangreichen Analysemöglichkeiten machen den Einsatz der Honeywall vor allem im Firmen-Umfeld interessant. Im Gegensatz zu den in der Praxis oft wenig bis gar nicht brauchbaren IDS/IPS-Systemen erlaubt sie – vor allem in Kombination mit Sebek und mwcollect – die ausführliche Nachbearbeitung von Vorfällen. Sie hat ihre Stärke vor allem bei der Beantwortung von Fragen nach gezielten Angriffen auf das eigene Netzwerk.

Wo viel Licht ist, findet man naturgemäß auch Schatten: Während die eigentliche Honeywall-Funktion mit minimalen Systemressourcen auskommt, basiert die Analyseumgebung Walleye auf Perl- und Python-Skripts sowie MySQL. Lässt man die Honeywall mehrere Wochen ohne Unterbrechung laufen, wächst die Datenbank sehr schnell an, was die rein webbasierte Auswertung im Laufe der Zeit immer mehr verlangsamt. Wer die Möglichkeit hat, sollte daher seine Datenbank auf leistungsfähigere Systeme exportieren (was die Honeywall anbietet). Ferner laufen noch nicht sämtliche Skripts völlig fehlerfrei – das kann jedoch auch kaum eine kommerzielle Software von sich behaupten. Aufgrund des offenen Quellcodes kann man aber Änderungen jederzeit schnell selbst durchführen und am besten sofort an die Entwickler schicken – diese nehmen Verbesserungsvorschläge dankend entgegen, wie die deutliche Weiterentwicklung seit der Version 1.0 zeigt.

Weiterführende Literatur zum Thema Honeynets ist derzeit leider noch dünn gesät, eine deutsche Übersetzung des Handbuchs steht Online bereit. Man darf gespannt sein, wie sich Roo in nächster Zeit weiterentwickeln wird – die jüngste Idee des Honeynet-Projekts klingt jedenfalls äußerst viel versprechend: Honeygrid. (rek)

Konfiguration der Honeywall Roo

HwPUBLIC_IP=xxx.yyy.15.227
HwLAN_BCAST_ADDRESS=xxx.yyy.15.239
HwHOSTNAME=SecorvoWall
HwSUMNET=xxx.yyy.15.227/255
HwUDPRATE=5
HwSEBEK_DST_IP=192.168.0.44
HwALERT=yes
HwROACHMOTEL_ENABLE=no
HwINET_IFACE=eth0
HwQUEUE=yes
HwTIME_SVR=
HwMANAGE_NETMASK=255.255.255.240
HwSEBEK_DST_PORT=1101
HwSEBEK_LOG=no
HwSCALE=minute
HwFWFENCE=/etc/fencelist.txt
HwMODE=bridge
HwALLOWED_TCP_IN=22 443
HwALIAS_MASK=255.255.255.0
HwMANAGE_IP=xxx.yyy.15.230
HwFWBLACK=/etc/blacklist.txt
HwHONEYWALL_RUN=yes
HwSSHD_PORT=22
HwLAN_IFACE=eth1
HwMANAGE_GATEWAY=xxx.yyy.15.225
HwDOMAIN=secorvo.de
HwMANAGE_IFACE=eth2
Hw_UP_SYSLOG=1
HwICMPRATE=5
HwPRIV_IP=10.0.0.1
HwALERT_EMAIL=root@localhost
HwDNS_SVRS=xxx.yyy.12.2
Hw_UP_HOST=
HwOTHERRATE=5
HwMANAGE_DNS=xxx.yyy.12.2
HwFWWHITE=/etc/whitelist.txt
HwRESTRICT=yes
HwMANAGE_STARTUP=yes
HwSEBEK=yes
HwSSHD_REMOTE_ROOT_LOGIN=no
HwHEADLESS=no
HwFENCELIST_ENABLE=no
HwWALLEYE=yes
HwALLOWED_TCP_OUT=22 25 43 80 443
HwALLOWED_UDP_OUT=53 123
HwDNS_HOST=xxx.yyy.15.227
HwHFLOW_DB=1.1
HwSSHD_STARTUP=yes
HwHPOT_IP=10.0.0.20
HwLAN_IP_RANGE=xxx.yyy.15.224/28
HwSEBEK_FATE=DROP
HwBWLIST_ENABLE=no
HwTCPRATE=5
HwMANAGER=xxx.yyy.15.226
HwMANAGE_DIALOG=yes

Der ursprüngliche Artikel erschien in der iX 01/2006.

Anzeige
Anzeige