High Interaction Honeynet – Entwicklung eines erweiterbaren Monitoring Konzepts

Master Studiengang Information Security

Dipl.-Ing. Silvia Riesenberger, BSc

Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage

Während Tools zur Implementierung von Low Interaction Honeypots immer mächtiger werden, stagniert die Zahl der High Interaction Honeypot Lösungen. Recherchen haben gezeigt, dass sich aktuelle Honeypot Projekte entweder auf spezielle Systemumgebungen fokussieren oder nur einen eingeschränkten Interaktionsumfang bieten. Dabei stellt sich die Frage, ob es möglich ist, durch die Kombination bereits bestehender Honeypot Tools ein plattformübergreifendes High Interaction Honeynet zu realisieren. Die Antwort lautet Nein, da die eingesetzten Lösungen zur Überwachung auf verschiedenen Ansätzen beruhen und somit die Erstellung eines zentralen Monitoring Konzepts nicht anwendbar macht. Außerdem kommt hinzu, dass High Interaction Honeypots auf Basis von virtuellen Hostsystemen aufgrund von logischen Aspekten und Mechanismen, die das Ausführen von Malware in einer Sandbox verhindern, nicht eingesetzt werden können. Denn während die Nutzung eines Hypervisors im Serverumfeld allgegenwärtig ist, deuten unterschiedliche virtualisierte Desktopbetriebssysteme auf ein Honeynet hin.

Ziele

Ziel dieser Arbeit ist die Entwicklung eines erweiterbaren, zentralen und plattformunabhängigen High Interaction Honeynet Monitoring Konzepts, das sich auf physische und virtuelle Hostsysteme anwenden lässt. Die Erhebung von Daten bei einem Angriff soll individuell angepasst und erweitert werden können. Dabei muss der, durch die Überwachung entstandene Overhead, auf den Hostsystemen so gering wie möglich gehalten werden. Systemaktivitäten, die im Zuge der Informationsbeschaffung auftreten, müssen so getarnt werden, dass sie im Hintergrundrauschen verschwinden.

Ergebnis

Als Grundlage für das Systemdesign wurde die Cyber Kill Chain nach Lockheed Martin und die Datenerhebung unterschiedlicher Honeypotsysteme aufgearbeitet. Das entwickelte Konzept gliedert sich in die Bereiche Honeynet, Honeywall und Analysenetzwerk. Durch host- und netzwerkbasierte Überwachungsmethoden werden Aktivitäten auf den High Interaction Honeypot Systemen ermittelt und an einen Managementserver im Analysenetzwerk gesendet. Die erhobenen Daten werden auf einem zentralen Informationsspeicher abgelegt und stehen dort für die weitere Analyse zur Verfügung.