Unsichtbare Integration von entfernten hoch-interaktiven Honeypots

Bachelor Studiengang IT Security

Ing. Martin Valicek, BSc

Betreuer: Dipl.-Ing. Dr.techn. Martin Pirker, Bakk.techn.

Ausgangslage

Diese Arbeit geht davon aus, dass Honeypots als Mittel zur Enttarnung von Schadsoftware eingesetzt werden. Die verschiedenen Varianten von Honeypots werden erläutert, wobei die jeweiligen Einsatzzwecke hervorgehoben werden. Ausgehend von der Unterscheidung der Tätigkeitsfelder „Netzwerk-Administration“ und „Sicherheitsanalyse“ wird auch eine Standort-Trennung der in einem Firmennetzwerk eingesetzten Computersysteme von hoch-interaktiven Honeypots, die z. B. in Forschungslaboren betrieben werden, als sinnvoll dargestellt. Um eine solche Trennung von Betriebsstandorten zu erreichen, müssen Honeypots netzwerktechnisch (möglichst) unsichtbar verbunden werden, vor allem, damit Schadsoftware die Honeypots nicht sofort als solche erkennt.

Ziel

Das Ziel der Arbeit ist es, unterschiedliche Arten der Anbindung von entfernten Honeypots an eine bestehende Netzwerk-Infrastruktur zu untersuchen. Dabei werden verschiedene Parameter zur Messung herangezogen, um bestimmen zu können, ob der entfernt angebundene Honeypot netzwerktechnisch erkannt werden kann. Die Anbindung erfolgt über ein sogenanntes „Tunnel-Programm“, wobei zwei unterschiedliche Varianten verglichen werden: eine Verbindung wird auf OSI Schicht 3 („Vermittlungsschicht“) aufgebaut und verglichen mit einer Anbindung über OSI Schicht 2 („Sicherungsschicht“). Dabei werden Netzwerk-relevante Parameter getestet, die während einer Übertragung erkennbar machen können, dass der Honeypot nicht-physikalisch im lokalen Netzwerksegment angebunden ist. In allen Fällen muss darauf geachtet werden, dass der Normalbetrieb innerhalb eines Firmennetzwerks nicht beeinträchtigt wird. Die getesteten Parameter umfassen vor allem die Anzahl der „Hop-Counts“ (Anzahl von Übergängen zwischen Netzwerken auf Ebene der Vermittlungsschicht), die „Round-Trip-Time“ (die Dauer vom Absenden eines Pakets bis zum Erhalt des Antwort-Pakets) und des Datendurchsatzes sowie dem Unterschied des „Overheads“ zwischen den beiden Anbindungsarten.

Ergebnis

Die Verbindung mittels Sicherungsschicht erwies sich in einigen Testergebnissen als vorteilhaft. Dazu zählen der geringere „Hop-Count“ und der höhere Datendurchsatz. Ein Vorteil der Anbindung auf der Verbindungsschicht lag in dem geringeren „Overhead“ der Datenpakete.

Ausblick

Da bei den durchgeführten Testaufbauten keine besondere Rücksicht auf Sicherheit, Stabilität und Feldtauglichkeit genommen wurde, wird eine Weiterführung des Projektes angestrebt, bei dem unter anderem auch Dauertests im tatsächlichen Firmenumfeld eine zentrale Rolle spielen müssen.