Begriff
Honeypot
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Ein Honigtopf für Bären (Hacker). Du stellst einen Server ins Internet, der absichtlich unsicher aussieht. "Passwort: admin123". Wenn sich jemand einloggt, weißt du: Das ist ein Hacker. (Denn kein echter User kennt diesen Server). Du beobachtest ihn. Was tippt er? Welche Tools lädt er hoch? Du lernst seine Methoden kennen, ohne dass dein echtes System in Gefahr ist.
Merksatz: Ein speziell präpariertes System oder Netzwerksegment, das dazu dient, Angreifer anzulocken, um ihre Aktivitäten zu protokollieren und Frühwarnungen zu generieren, ohne Produktionsdaten zu gefährden.
Canary Token: Eine "Honeypot-Datei". Du legst eine Word-Datei "Passwörter.docx" auf deinen Desktop. Wenn jemand sie öffnet, funkt sie heimlich an dich ("Alarm! Jemand hat die Datei geöffnet!"). So merkst du, wenn ein Hacker in deinem Netz ist.
1. Low vs. High Interaction
- Low Interaction (Dionaea, Cowrie): Simuliert nur bestimmte Services (SSH, FTP). Der Hacker kann sich einloggen, aber nur 5 Befehle tippen (die simuliert sind). Sicher, pflegeleicht.
- High Interaction: Ein echtes, verwundbares Windows/Linux. Der Hacker kann wirklich alles machen (Kernel-Exploits, Rootkits). Extrem riskant (Hacker könnte den Honeypot nutzen, um andere anzugreifen), aber liefert die besten Daten über Zero-Day-Exploits. Muss extrem gut isoliert sein.
2. Honeytokens / Honeyuser
Statt ganzer Server: Fake-Daten.
- Ein Datenbank-User
admin_backup, der nie genutzt wird. Wenn er sich einloggt -> Alarm. - Ein AWS-Key in Github, der keine Rechte hat, aber Alarme auslöst (Canary).
3. Deception Technology
Die moderne Enterprise-Variante. Man flutet das interne Netzwerk mit tausenden Fake-PCs und Fake-Services. Für den Hacker ist das Netzwerk ein Minenfeld. Er weiß nicht, was echt ist und was Falle. Das macht Lateral Movement extrem schwer.
Tarpits (Teergruben) & LaBrea
Das Problem an Standard-Honeypots ist oft, dass moderne Botnet-Scanner (z. B. Masscan, Zmap) einen offene Port in Nanosekunden abhorchen und weiterziehen.
Ein Tarpit (z. B. auf Basis von LaBrea) fängt den Scanner fies ab. Wenn der Hacker das TCP-SYN-Paket schickt, antwortet das Tarpit mit extrem geringen TCP-Window-Sizes (z. B. Window = 0).
Dem Scanner wird signalisiert: "Ich hab die Verbindung verstanden, aber mein Buffer ist grad voll, bitte wart kurz." Der Hacker-Scanner pausiert seinen Thread und wartet sekunden- oder minutenlang, was das gesamte Botnet massiv ausbremst. Ein Tarpit bindet prozeßtechnisch tausende illegitime Hacker-Netzwerkverbindungen gleichzeitig und raubt dem Angreifer seine wichtigste Ressource: Zeit.
Network Isolation & Sandboxing Hell
Wer einen "High Interaction Honeypot" (z. B. eine echte Windows Server 2019 VM mit ungepatchtem RDP) ins Netz stellt, spielt wortwörtlich mit dem Feuer. Wird der Server von einer Ransomware-Gang gekapert, nutzt diese den Honeypot sofort, um von dort aus deine echten Domain Controller anzugreifen (Lateral Movement). Um dies zu verhindern, müssen diese Hosts hochkomplex gesandboxed werden. Sie hängen in VLANs ohne Default Gateway oder mit strikten Egress-Filtern in der Firewall, die ausschließlich TCP-Verbindungen nach draußen hart droppen. Zudem wird der Hypervisor (MicroVMs wie Firecracker) gehärtet, damit Kernel-Exploits nicht aus der Gast-VM in den Host-Kernel entkommen können.
Threat Intelligence & IoC-Feeding
Was macht man mit den Petabytes an Logs eines Honeypots (Cowrie für SSH)? Die rein technische Blockade ist nett, aber der echte Wert liegt in der Actionable Intelligence. Ein Skript fischt in Echtzeit die IP-Adressen und SHA256-Hashes von Malware-Binaries aus dem Honeypot und pumpt diese als IoC (Indicators of Compromise) in MISP oder direkt in die Perimeter-Firewall (Palo Alto, Fortinet) der echten Produktions-Infrastruktur. Blockt der Honeypot in Netz A einen neuen Wurm, ist das echte Netz B drei Millisekunden später durch globale Blocklisten präventiv vor demselben Wurm geschützt.
Quick-Check
Legal?
Ja, in der eigenen Firma ("Hausrecht"). Aber: Man darf den Hacker nicht "hacken" (Hackback ist illegal).Tarpit?
Ein Honeypot, der den Hacker nicht nur beobachtet, sondern nervt. Er antwortet extrem langsam auf TCP-Pakete (LaBrea). Der Scanner des Hackers hängt sich auf.Blue Team vs. Red Team?
Honeypots sind Werkzeuge des Blue Teams (Verteidiger). Das Red Team (Pentesters) hasst sie, weil sie einen Angriff sofort verraten.