Aufbau eines Honeypot mit virtuellen Systemen, Teil 2
Virtuelle Honigtöpfchen
Der erste Teil dieses Berichts zeigte, wie die Nutzung virtueller Sitzungen als Honeypot die Sicherheitsüberwachung erleichtern kann. Dieser abschließende Teil erläutert, wie leicht sich Einbruchsversuche auf diese Weise nachweisen lassen und welche weiteren Vorteile der Einsatz solcher Lösungen bringen kann.
Ein IDS ermöglicht bereits im Vorfeld die Benachrichtigung über potenzielle Einbrüche in die virtuellen Sitzungen. Es steht eine ganze Reihe von IDS-Typen zur Auswahl; allgemein ist aber jedes Host-basierende IDS akzeptabel (wie beispielsweise Snort). Normalerweise ist es völlig ausreichend, ein IDS mit dem Standardsatz von Regeln und Signaturen zu betreiben. Damit aber eine Reduzierung der Wahrscheinlichkeit von Fehlalarmen und eine bessere Rückmeldung für den Einsatz und die Nutzung des Honeypots erreicht wird, ist es durchaus sinnvoll, die Regeln entsprechend anzupassen. Um sicher zustellen, dass das IDS auch tatsächlich den gesamten Datenverkehr von und zu den virtuellen Sitzungen erfasst, wird es so eingerichtet, dass es mit der zweiten Netzwerkkarte den gesamten über die erste Netzwerkkarte laufenden Datenverkehr überwacht.
