profile

Michael Mayer

WTF sind Honeypots?

Published about 13 hours ago • 3 min read

Wenn Hacker wie die “Feuchten Banditen” in Kevin allein zu Haus unbemerkt durch dein Netzwerk schleichen, möchtest du das sicher wissen.

Der Film ist ein Paradebeispiel für Honeypots! Kevin lockt sie von einer Falle in die nächste und die Diebe tappen einfach hinein. Marv geht nicht durch die vereiste Haustür, sondern findet eine offene Kellertür, und sein Kopf wird von einem Bunsenbrenner gegrillt. Herrlich! Da bekommt man schon zu Ostern wieder Lust auf den Film. 😂

Was sind Honeypots genau?

Hacker sind auf einer Mission und springen in deinem Netzwerk von Endpunkt zu Endpunkt, um ihr Ziel zu erreichen. Dabei nutzen sie vorhandene Schwachstellen aus oder verwenden gefundene Credentials. Netzwerke hacken ist wie Osternester suchen. Man schaut hinter jeden Busch und unter jeden Stein, was sich dahinter verbirgt. Ein paar Bugs oder doch der Goldhase?

Honeypots sind absichtlich falsch platzierte Systeme, die von niemandem benutzt werden. Schaut jemand genauer hin oder greift tatsächlich zu, geht der stille Alarm los.

Wofür brauche ich Honeypots?

Sie sind eine einfache Methode, um Angriffe frühzeitig zu erkennen. Vielleicht hast du nicht die Möglichkeit, systematisch deinen gesamten Netzwerkverkehr auf jeden verdächtigen Ping zu untersuchen. Ein Honeypot kann das zwar auch nicht für dich tun, aber er wird auf jeden Fall Alarm schlagen, wenn ihn jemand benutzt. Denn deine Administratoren werden die Ports des Honeypot-Servers nicht scannen, die Angreifer aber schon.

Ein weiterer Vorteil ist, dass er deine sensiblen Produktivsysteme nicht beeinträchtigt. Es ist einfach ein zusätzliches System in deinem Netzwerk.

Man darf auch nicht vergessen, dass Honeypots auch dazu verwendet werden können, bereits existierende Eindringlinge zu identifizieren. Angreifer kennen die Netzwerke oft besser als die Administratoren selbst. Neue Systeme sind für sie ebenfalls interessant, da sie nicht immer über alle Sicherheitspatches und Härtungsmaßnahmen verfügen und daher leichter anzugreifen sind.

Wie sehen Honeypots aus?

Du machst dir die Welt, widdewidde sie dir gefällt. Nein, im Ernst, alles kann zum Honeypot werden. Hier ein paar Beispiele:

Ein alter Server, den du nicht mehr benötigst, oder sogar eine dedizierte VM. Installiere dort dein Monitoring und überwache die Zugriffe auf HTTP, FTP, RDP, SSH, oder SMB.

Eine alte Firewall oder ein ausrangiertes NAS. Wichtig ist nur, dass du die Möglichkeit hast, es von innen heraus zu überwachen. SNMP würde schon reichen, oder ein Mail-Alert, wenn sich jemand einloggt.

Eine überwachte Datei auf dem zentralen File Share. Du kannst eine Datei, die für Angreifer interessant ist, auf einem öffentlichen oder Abteilungs-Share ablegen. Eine "Passwort.txt" ist der Klassiker, kann aber auch zu offensichtlich sein.

Du kannst Credentials in den Arbeitsspeicher von Clients legen. Das nennt sich Honey-Token. Es kann zum Beispiel ein Active Directory Service Account sein, der scheinbar für den Zugriff auf den File-Share für die Installation einer Software benötigt wird. Die Nutzung kann dann zentral über das AD überwacht werden.

Du kannst eine Honeypot-Software wie Open Canary auf einem vorhandenen Server installieren.

Du kannst auch eine fertige Lösung wie Thinkst Canary kaufen. Sie sind schnell eingerichtet, warten sich selbst und können vielseitig konfiguriert werden, wie zum Beispiel PDFs, AWS API Keys, Credentials, Windows Server, Linux Server und vieles mehr. Leider sind sie nicht günstig, aber preiswert.

Was kann ich falsch machen?

Im schlimmsten Fall funktioniert dein Honeypot nicht und du merkst nicht, dass du einen Angreifer in deinem Netzwerk hast. Hier ein paar Beispiele:

Wenn dein alter Server zu gebrechlich ist und den Geist aufgibt, dann ist der Honeypot tot und du bekommst es nicht mit, weil du ihn ja absichtlich nicht “benutzen” wolltest. Alt ist ok, aber schrottreif sollte er nicht sein. Du vermeidest Unfälle im Straßenverkehr, indem du vorausschauend fährst, aber wenn es kracht, willst du auch keinen verschlissenen Sicherheitsgurt haben.

Du könntest auch Probleme mit dem Monitoring haben und nicht mitbekommen, wenn der Honeypot benutzt wurde. Entweder funktioniert der Alarm nicht oder er wurde gar nicht erst ausgelöst.

Wenn du den Honeypot nicht regelmäßig testest, merkst du nicht, wenn etwas nicht stimmt. Deine IT-Administratoren können das tun und auch nach dem Rechten sehen. Du kannst ihn ruhig während eines Pentests oder einer Red Team Simulation aktiv lassen und schauen, ob du einen Alarm bekommst. Die mögen es nämlich nicht, wenn sie entdeckt werden. 😬

Wenn dein Honeypot allerdings zu offensichtlich ist, wird er von erfahrenen Angreifern gemieden. Wenn du zum Beispiel ein perfekt organisiertes und zu 100% gepatchtes Netzwerk hast, aber dein Honeypot Schwachstellen hat, die 10 Jahre alt sind, dann ist etwas faul.

Du darfst auch nicht den Fehler machen, in der AD Computerbeschreibung, im Asset Management oder im Intranet in grossen Lettern “DAS IST EIN HONEYPOT” zu schreiben. Auch Angreifer lesen gerne die Dokumentation, weil es ihnen die Arbeit sehr erleichtert.

Fazit

Honeypots werden für meinen Geschmack viel zu selten eingesetzt. Es gibt keine Garantie, dass sie wirklich funktionieren, was für die Berechnung des ROI (Return Of Invest) nicht gerade förderlich ist. Gerade für KMUs ist aber eine Open Source Variante wie Open Canary optimal. Einfach zu implementieren und im Best-Case rettet es dir den Arsch. Im Worst-Case hast du etwas gelernt.

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Letzte Woche ging es um Passwort-Manager für Anwender, heute um Passwort-Manager für Computer. Zumindest indirekt. 😉 In deinem Netzwerk hast du bestimmt hunderte Windows Clients und Windows Server, die über sogenannte Golden-Master-Images aufgesetzt werden. Das spart viel Arbeit und Zeit und schafft eine Basis, auf die du dich verlassen kannst. Das Problem ist nur, dass du damit auch überall dasselbe Passwort für deinen lokalen Administrator gesetzt hast. Selbst wenn die Clients und Server...

8 days ago • 4 min read

Ich weiß echt nicht, was mich gerade mehr traurig macht. Dass wir 2025 immer noch Passwörter haben, oder dass wir darüber diskutieren, wie man sie richtig verwendet. Wer kennt es nicht, dass man bei der Verwandtschaft sitzt, beim Laptop den E-Mail-Client neu verbindet und der Onkel einen Schweißausbruch bekommt, wenn man ihm nach dem Passwort fragt. – "Passwort? Ich hab kein Passwort. Das hast du doch." Meist ist dann doch eines der drei Lieblingskennwörter, die vom Online-Banking bis hin zum...

15 days ago • 3 min read

Flache Landschaften lassen sich nur mit viel Manpower verteidigen, genauso wie flache Netzwerke. Es gab also definitiv Gründe, warum Burgen früher auf Bergen und Hügeln errichtet wurden. Vielleicht nicht in Holland, aber zumindest in Österreich. 🏰 😎 Das zarte Burgfräulein hätte heutzutage in der DMZ gegen Hacker keine Chance, genauso wenig wie damals gegen Räuber mitten auf dem Marktplatz. Aber warum bauen dann die meisten Firmen, ihre Netzwerke trotzdem genauso auf? Ihr einziger Schutz ist...

21 days ago • 4 min read