Honeypots

Honeypots oder auch Hönigtöpfe werden Dienste in einem Netzwerk genannt, die Angriffe auf einem Netzwerk protokollieren und teilweise auch abwehren sollen. Ein Honeypot ist ein spezieller Server oder auch nur ein Dienst auf einem Server, der in einem Netzwerk installiert wird, aber für normale Nutzer, die das Netzwerk benutzen dürfen, unsichtbar ist. Der Idee besteht nun darin, dass mögliche Angreifer durch absichtliche Schwachstellen, wie offene Ports oder Fake-Daten auf diese Server gelockt werden, woraus auch der Name entstanden ist. Allein aus der Erkenntnis heraus, dass solch ein Honeypot nun genutzt wird, wird dies als Angriff betrachtet, da normale, legitime Nutzer diesen Dienst nicht nutzen würden. Weiterhin unterscheidet man bei Honeypots zwischen drei Typen: Low-Interaction, High-Interaction und Tarpits. Low-Interaction-Honeypots sind einfache Programme, die Dienste simulieren und meist nur einen einfachen Alarm ausrufen. High-Interaction-Honeypots sind hingegen ganze Server, die unter anderem in Firmennetzwerken eingerichtet werden. Sie simulieren eine Vielzahl von Diensten und haben neben der Überwachung und Protokollierung noch die Aufgabe, mögliche neue Angriffstaktiken zu erkennen. Als dritten Typ zählt man auch Tarpits, auf deutsch Teergruben, zu den Honeypots. Tarpits sollen im Gegensatz zu den beiden anderen Typen nicht nur das Verhalten studieren und blockieren, sondern den Angreifer auch passiv Abwehren. Dazu simulieren Tarpits zum Beispiel virtuelle Netzwerke, in denen dann die Bots und Würmer gefangen werden. Eine weitere Möglichkeit eines Tarpits ist das Anbieten eines offenen Proxy-Servers. Ein potentieller Spam-Bot würde dann diesen Proxy-Server nutzen um seine Spam-Nachrichten zu verschicken. Jedoch verlangsamt der Tarpit diesen Proxy-Server so, dass ein effektives Versenden von Spam-Nachrichten nicht mehr möglich ist.