Honeypots

Honeypots sind absichtlich verwundbare oder besonders interessante Systeme, die in ein Netzwerk gestellt werden, um Angreifer anzulocken, auszuleiten oder zu überwachen. Sie dienen der Erkennung, Analyse und imitiertem Täuschen von Angriffen.

Zweck

• Frühwarnung bei Angriffsversuchen (z. B. Portscans, Exploits, Brute-Force)
• Aufzeichnung von Angreiferverhalten zur Analyse
• Ablenkung von produktiven Systemen (Täuschung/Tarpitting)
• Training, Forschung, Test von Erkennungsmechanismen

Typen

Low Interaction Honeypots

• Simulieren Dienste (z. B. Fake-SSH oder HTTP)
• Geringes Risiko, da kein echtes Betriebssystem
• Sicher, aber eingeschränkte Erkennungstiefe
• Beispiele: Honeyd, Portspoof, OpenCanary

High Interaction Honeypots

• Echte Systeme mit echter Schwachstelle oder Backdoor
• Volle Interaktion möglich (z. B. Shell, File-System, Netzwerk)
• Höheres Risiko – müssen gut isoliert werden (z. B. via VM, DMZ)
• Beispiele: Cowrie, Dionaea, Kippo

Typische Einsatzszenarien

• SSH-Brute-Force-Fallen
• Webserver mit Fake-Verwaltungskonsole
• SMB-Dienste mit offener Freigabe
• DNS/FTP/SMTP zum Logging von Anfragen
• Offene Datenbanken (MongoDB, Redis) mit Falleintrag

Bekannte Honeypot-Tools

• Honeyd – simuliert ganze Netzwerke (Low Interaction)
• Cowrie – Fake-SSH mit Shell-Emulation und Logging
• Portspoof – täuscht beliebig viele offene Ports vor
• Dionaea – Malware-Sammelhoneypot für Windows-Exploits
• OpenCanary – Modularer Python-basierter Honeypot
• Kippo – Vorgänger von Cowrie, SSH-Emulation

Grenzen

• Honeypots dürfen nicht produktiv sein – sonst Angriffsrisiko
• Gute Tarnung nötig – auffällige Honeypots werden umgangen
• Passive Systeme (Low Interaction) erkennen nur eingeschränkt
• Aktive Systeme (High Interaction) benötigen Monitoring, Logging, Isolation

Ergänzungen und Integration

• ELK Stack oder Graylog zur Auswertung von Honeypot-Logs
• Suricata, Wazuh zur kombinierten Erkennung mit realen Hosts
• Canarytokens als Lightweight-Honeypots (z. B. Datei- oder Link-Fallen)