Monitoringarchitektur für die Beobachtung und Auswertung von Informationen aus High-Interaction Honeypot-Systemen

Bachelor Studiengang IT Security

Thomas Zwettler, BSc
18.09.2015

Ausgangslage

Die meisten Maßnahmen, die heute verwendet werden, um ein Netzwerk gegen Eindringlinge abzusichern, sind morgen bereits veraltet. Auch die Methoden, um in ein Netzwerk einzubrechen, ändern bzw. verbessern sich laufend. Aus diesem Grund ist es nicht nur wichtig, ein Netzwerk gegen Angreifer von außen abzusichern. Ist ein Eindringling bereits in das Netzwerk vorgedrungen, müssen ebenfalls Vorkehrungen getroffen werden, um ihn von den eigentlichen „interessanten“ Komponenten abzulenken.

Ziel

In dieser Arbeit wurde eine Monitoring-Architektur für High-interaction Honeypots (vollständig simulierte Systeme, die Angreifern eine Vielzahl echter Services vorgaukeln) konfiguriert, welche im Falle eines möglichen Eindringens in den überwachten Honeypot Alarm-E-Mails versendet. So können Bewegungen und Aktionen eines Angreifers aufgezeichnet werden, um die Methoden, wie in Netzwerke eingebrochen wird, besser zu verstehen. Die Monitoring-Architektur wurde für heterogene Betriebssysteme entwickelt und basiert auf den Grundlagen einer Forschungswerkstatt von vier Studenten des Masterstudiums IT-Security an der Fachhochschule St.Pölten aus dem Jahr 2013.

Ergebnis

Die Monitoring-Architektur wurde mit Icinga2 konfiguriert und stellt vor allem für Linux Clients eine gute Variante dar, das System zu überwachen. Des Weiteren wird bei einer möglichen Intrusion eine Alert-Mail versendet. Die Weboberfläche gibt eine gute Übersicht über die Hardwareeigenschaften eines Clients und stuft diese je nach Wert in verschiedene Statuslevels ein. Icinga2 bietet durch seine Kompatibilität mit allen Nagios-Plugins und Bash-Skripts gute Voraussetzungen, um je nach Bedarf erweitert zu werden. Die Unterstützung der Community und die umfassende Dokumentation sind ein weiterer Vorteil dieses Systems.

Ausblick

Die Entwicklung eines Monitoringtools für Honeypots mit heterogenen Betriebssystemen bietet viele Ausbaumöglichkeiten. Je nach Einsatz der Monitoring-Architektur kann das System auf verschiedenste Weise erweitert werden. Vor allem im Bereich Intrusion Detection bei Windows Honeypots lassen sich wichtige zusätzliche Informationen direkt aus dem Betriebssystem-Kernel sammeln. Dies wäre ein weiterer Ansatz für eine aufbauende Arbeit zum Thema Rootkits als Hilfsmittel für Intrusion Detection.

FH-Betreuer: Dipl.-Ing. (FH) Thomas Brandstetter, MBA