Lockfalle für Hacker mit wenigen Handgriffen einrichten

Die T-Pot-Plattform vereint mehere Honeypots, kommt vorkonfiguriert daher und soll auf Linux-Systemen out of the box in rund 30 Minuten einsatzbereit sein. Das versicherte André Vorbach, Security Experte bei der Deutschen Telekom, gegenüber heise Security im Zuge einer Präsentation auf der CeBIT. Derzeit befinde sich der T-Pot noch im öffentlichen Beta-Stadium. Ziel des Open-Source-Projektes ist es, eine Community aufzubauen und das Überwachungs-Tool zu optimieren.

Der T-Pot basiert auf einem Vanilla-Ubuntu-ISO. Bei Bedarf können Nutzer die ISO-Datei auch selbst erstellen und so etwa eine den eigenen Bedürfnissen angepasste Version bauen. Die Installation gelingt auf Wunsch auch in einer virtuellen Maschine.

Für eine korrekte Funktionsweise muss der T-Pot aus dem Internet erreichbar sein und im besten Fall lässt man ihn als Exposed Host laufen. Bei Bedarf ist auch eine Verbindung via SSH realisierbar. Updates wollen die T-Pot-Entwickler automatisch ausliefern. Dabei stellen sie etwa eine Filterung von Fehlalarmen in Aussicht.

Die T-Pot setzt auf gängige Hacker-Fallen wie etwa Glastopf und Kippo. Die Entwicklungs-Plattform Docker bildet dabei die Schnittstelle zur T-Pot-Plattform und erlaubt den Einsatz verschiedener Honeypot-Instanzen im gleichen Netzwerk.

In der Praxis überwacht T-Pot neben der gesamten TCP-Netzwerk-Bandbreite auch einige UDP-Ports und leitet den Datenverkehr von Attacken an die verschiedenen Honeypot-Instanzen weiter. Die Entwickler setzen bei der Überwachung und Auswertung zudem auf die Tools Suricata, Elasticsearch und die hauseigene Ewsposter-Applikation. Die Ergebnisse der Analysen der Community findet man in einem separaten Kanal des Sicherheitstachos der Telekom. Auf Wunsch können Nutzer die Übermittlung aber auch unterbinden. (des)