Honeypots sind ein großartiges Konzept und decken Hacker schon seit dem Kindergarten in Netzwerken auf.

Sie sind ein wichtiger Bestandteil eines jeden Sicherheitskonzepts. Noch zu wenige Unternehmen nutzen Honeypots, obwohl sie sehr effektiv sind. Das liegt zum einen an dem Wartungsaufwand und zum anderen daran, dass die bestehenden Open-Source-Lösungen für Hacker zu einfach zu erkennen sind.

SentryBox löst das, und es entsteht kein weiterer Aufwand bei der Administration zu einem sehr guten Kosten-Sicherheits-Verhältnis.

"Meine Daten sind sicher, da sie in der Cloud liegen!"

Diesen Satz hören wir des Öfteren von Kunden, die ihr Unternehmen in der Cloud hosten. Das ist, als würde man das beste Schloss einbauen und dann den Schlüssel an die Haustür kleben. Sicherlich lässt sich das Risiko durch Cloud Hosting vom lokalen Netzwerk in die Cloud verlagern. Jedoch greift man auf die Daten über ein lokales Netzwerk zu. Dies kann ein LAN/WLAN sein oder auch ein VPN-Zugang.

Befindet sich ein Hacker nun in diesem Netzwerk und erbeutet die VPN-Zugangsdaten oder SSH-Keys zu den Cloud-Servern, so hat er auch direkten Zugriff auf die Daten in der Cloud. Um die Angriffsfläche so gering wie möglich zu halten, ist es notwendig, auch das lokale Netzwerk zu sichern.

Jedes System ist nur so sicher, wie der schwächste Teil. Um die Angriffsfläche so gering wie möglich zu halten, ist es angebracht, auch das lokale Netzwerk zu sichern.

In nur 5 Minuten ist die SentryBox installiert. Auspacken, anschließen und die Persönlichkeit auswählen.

Schon läuft die SentryBox und tarnt sich als ein Gerät aus dem Netzwerk, stellt einen SSH-Login, Webserver mit Admin-Panels bereit, liefert Dateien aus und achtet auf Portscans.

Die SentryBox wird an das interne Firmennetzwerk angeschlossen. Sie tut so, als wäre sie ein unscheinbares Netzwerkgerät. Welches das ist, kann vorher konfiguriert werden. Typischerweise ist es ein Router, eine Backup-Station, ein Linux-Gerät oder ein Windows-PC. Während du deinen Frappuccino schlürfst und dich auf deine Arbeit fokussierst, lauert die SentryBox auf Angreifer.

Ein Hacker, der ins Netzwerk eingedrungen ist, versucht dieses nun Stück für Stück zu übernehmen und nach wertvollen Daten zu suchen. Er findet einen verlockenden Datenbestand auf einem Backup-Gerät und loggt sich dort ein. Leider war das die SentryBox, und der Vorfall wurde jetzt gemeldet.
‍
Jetzt weiß man nicht nur, dass ein Problem besteht, sondern auch, welchen Computer der Angreifer bereits übernommen hat.

Ja, das ist schon möglich. Leider endet die Arbeit nicht damit, dass man den Honeypot aufsetzt. Man benötigt eine stabile Hardware, dauerhafte Software-Updates, eine Implementierung der Benachrichtigungen und eine Prüfung, ob das Gerät überhaupt noch online ist.

Meist bieten die Open-Source-Lösungen nur wenige Protokolle und kein ganzes Gerät. Das macht sie einfacher zu erkennen. Und das alles ohne Aufwand – einstecken, Persönlichkeit wählen, fertig.

Um die SentryBox zu erkennen, muss der Hacker mit ihr interagieren. Dazu werden meist Tools wie Nmap genutzt, um einen Fingerprint durchzuführen. Dies führt bereits zu einem Alarm, und es ist für den Angreifer zu spät.

Mit vielen SentryBoxen, die im Netzwerk verteilt und verschieden konfiguriert sind, ist es für den Hacker wie Minesweeper auf der höchsten Schwierigkeitsstufe.