Hallo @all,

ich habe bereits seit längerem vor mich etwas intensiver mit Honeypots / Honeynets auseinanderzusetzen und vielleicht sogar selbst eins zu betreiben.

Für alle die wissen möchten was das ist: http://de.wikipedia.org/wiki/Honeypot

Als erstes habe ich die sehr guten Whitepapers von honeynet.org durchgearbeitet: http://www.honeynet.org/papers/index.html

Danach im Web gestöbert um mehr Anregungen zu bekommen:
http://www.spenneberg.com/talks/honeynet/honeynet.html
http://www.tracking-hackers.com/
http://www.honeyd.org/
http://www.honeypots.net/
http://kassel.ccc.de/project/honey/


Meine Fragen:

1. Wer von euch betreibt ein(en) Honeypot / Honeynet?
2. Welche Strategien verfolgt ihr mit euren Installationen?
3. Wer hat andere informative Quellen für mich?


mfg
cane

Hi Cane,

vielleicht kennst du das hier noch nicht:
Guck mal (http://www-i4.informatik.rwth-aachen.de/lufg/research/projects/honeynet/honeynetproject.de.html)

Grüße
DaGrrr

Danke DaGrrr, die Seite ist sehr interessant für mich :)

mfg
cane

http://www.linuxforen.de/forums/showpost.php?p=427811&postcount=10

Mir fällt dazu noch spontan "VMWARE" ein, um ein "interessantes" Netzwerk auf einem PC zu emulieren. Sollte theoretisch auch mit Qemu zum Nulltarif möglich sein.

Danke, ich habe mir bereits alle Möglichkeiten angeschaut einen Honeypot zu realisieren...

Meine Entscheidung wird wohl für das System fallen das am schwersten als Honeypot zu identifizeren ist.

Folgendes Paper zeigt Möglichkeiten auf einen Honeypot zu identifizieren:
http://www-i4.informatik.rwth-aachen.de/lufg/research/projects/honeynet/material/2005-itunderground-anti-honeypots.pdf

mfg
cane

Hi!

Hast du schon erfolgreich irgendetwas durchgeführt?

Ich habe eben bei Heise gelesen ein Viertel aller Internet-PCs seien Mitglied eines Bot-Netzes. Ich habe mir daraufhin folgendes Experiment ausgedacht:

Ich nehmen meinen Linux-Rechner und möchte beide Netzwerkkarten zu einer Brücke zusammen-iptablen. Den Router konfiguriere ich natürlich auf durchzug. Dahinter drahte ich einen Bastelrechner mit einer kleinen Festplatte (2GB oder sowas) an und installiere einfach ein blankes Windows XP oder 2000.

Jetzt möchte ich an der Linux Maschine live mitverfolgen, was über die Strippen geht. Auch interessant wäre ein Filesystemvergleich, wo man vorher/nachher sehen kann, welche Daten geändert wurden.

Erfahrungen/Anregungen?

Gruß Stephan

Ich nehmen meinen Linux-Rechner und möchte beide Netzwerkkarten zu einer Brücke zusammen-iptablen. Den Router konfiguriere ich natürlich auf durchzug. Dahinter drahte ich einen Bastelrechner mit einer kleinen Festplatte (2GB oder sowas) an und installiere einfach ein blankes Windows XP oder 2000.


Bitte tu das nicht! Wenn Du den Router "auf Durchzug" stellst verhinderst Du keinerlei Attacken auf andere Pcs die von deinem "Honeypot" ausgehen wenn er denn infiziert wird.

Lies dir erstmal alle gängigen Papers durch, ein Honeypot ist eine rechtlich und administrativ komplexe Angelegenheit!

mfg
cane

Bitte tu das nicht! Wenn Du den Router "auf Durchzug" stellst verhinderst Du keinerlei Attacken auf andere Pcs die von deinem "Honeypot" ausgehen wenn er denn infiziert wird.

Lies dir erstmal alle gängigen Papers durch, ein Honeypot ist eine rechtlich und administrativ komplexe Angelegenheit!

mfg
cane

Ich möchte die Komplexität ein wenig raus lassen. Ich werde bei diesem Aufbau nichts anderes im Netzwerk laufen lassen. Ich will mir einfach für ne halbe Stunde ansehen, ob und was mit dem Rechner passiert.

Hast du bei dir denn mal eins aufgebaut?

Gruß Stephan

Ich möchte die Komplexität ein wenig raus lassen. Ich werde bei diesem Aufbau nichts anderes im Netzwerk laufen lassen. Ich will mir einfach für ne halbe Stunde ansehen, ob und was mit dem Rechner passiert.
Dann nimm Nepenthes (http://nepenthes.mwcollect.org/). Das emuliert die Schwachstellen und du kannst zuschauen. Schadcode kann darüber nicht ausgeführt werden.