Re: Honeypot-Rechner

Markus Deckmann wrote:
> ich würde mir aus persönlichem Interesse gerne ein paar Viren und
Würmer
> einfangen und will mir dafür einen eigenen PC herrichten auf dem ich
> diese Spielchen machen kann.
> Die Frage die sich mir jetzt stellt ist die folgende. Ich benötige auf
> jeden Fall Internet um überhaupt auf die entsprechenden Seiten surfen zu
> können auf denen ich die Schädlinge einfangen kann.

Wenn Du die Verbreitungsmechanismen anschauen willst, ja.

> Muss ich hierzu wirklich ein komplett eigenes Netz aufbauen

Halte ich für sinnvoll.

> oder reicht es wenn ich ein anderes Subnetz verwende und den Rechner
> an den gleichen Router hänge an dem auch meine restlichen PCs hängen?

Ehrlich gesagt: Wenn Du Dir diese Frage stellst, solltest Du es lassen.

Was man bei einer solchen Aktion definitiv möchte ist:

Extreme Trennung infizierter Systeme von _allem_ anderen. Und zwar auch
und gerade vom Internet.

Natürlich stehen die Chancen eher schlecht, dass einen jemand verklagt,
weil von seinem Rechner aus DDoS Angriffe gefahren werden oder
Massenmails versandt werden, oder ... schließlich tun das ja tausende
andere Idioten durch Unkenntnis.

Aber _wenn_ man dabei erwischt wird, dass man auch noch Kenntnis hatte
und sogar die Infektion mit einem gewissen Vorsatz herbeigeführt hat
und dann noch andere belästigt, dann wird es eckig.

> Oder gehe ich hier die Gefahr ein das ich mir über das Netzwerk auch
> auf den anderen Rechnern etwas einfange?

Tja, das hängt davon ab, wie sicher Deine "anderen" Rechner sind.

Auf den Netzen hier würde ich das keinesfalls machen, weil dort
hinter der Firewall relativ großzügige Trust-Beziehungen herrschen,
weil man damit leichter arbeiten kann. NFS ist praktisch, aber nur
solange sicher, wie _alle_ potentiellen Clients im Netzsegment sicher
sind.

Für solche Experimente nehme ich eine weitere Firewall in Betrieb, die
ich an das existente DMZ-Segment hänge, und die extrem rigide
outbound-Verbindungen filtert (inbound natürlich auch).

Das erwürgt natürlich ggf. einige Nachlade-Mechanismen. Die schaltet man
dann Stück für Stück frei.

Ist ein bisschen problematisch mit P2P-Typ Botnetzen a la Stormnet.

> Eine weitere Frage für meine Sammlung und Tests ist die Sicherung der
> eingefangenen Viren. Kann ich befallene Dateien einfach auf CD brennen
> und mir sicher sein das der Virus dort unverändert vorhanden ist oder
> ist für die korrekte Aufbewahrung von Viren etwas anderes zu
> beachten.

Wenn Du nicht ganz genau weißt, wie das alles zusammenhängt, ist es
ziemlich schwierig, irgendwas zu sichern.

Am besten sind eigentlich eingefrorene VM-Images. Es gibt ja schließlich
auch sowas wie SQL-Slammer. Das landet ja niemals irgendwo auf der Disk.

Überhaupt bieten sich VMs zur Analyse an. Die sind schneller
zurückgesetzt.

CU, Andy

[ Auf dieses Posting antworten ]

Antworten

Markus Deckmann (27.04.2008 14:56)

Jan Goebel (27.04.2008 17:25)

Markus Deckmann (27.04.2008 19:02)

Andreas Beck (28.04.2008 02:11)

Rainer Sokoll (28.04.2008 20:59)

Markus Deckmann (28.04.2008 23:49)

Bernd Eckenfels (28.04.2008 23:56)

Markus Deckmann (29.04.2008 02:09)

Ansgar Wiechers (29.04.2008 02:34)

Markus Deckmann (29.04.2008 04:00)

Bernd Eckenfels (29.04.2008 08:19)
Markus Deckmann (29.04.2008 13:35)
Ansgar Wiechers (29.04.2008 15:18)
Markus Deckmann (29.04.2008 22:49)
Ansgar Wiechers (29.04.2008 23:37)
Markus Deckmann (30.04.2008 00:33)
Ansgar Wiechers (30.04.2008 01:15)
Bernd Eckenfels (30.04.2008 02:44)
Ansgar Wiechers (30.04.2008 03:20)
Markus Deckmann (30.04.2008 12:03)
Helmut Hullen (30.04.2008 12:42)
Markus Deckmann (30.04.2008 14:27)
Heiko Schlenker (30.04.2008 15:28)
Markus Deckmann (30.04.2008 16:08)
Markus Deckmann (30.04.2008 16:09)
Heiko Schlenker (30.04.2008 13:45)
Markus Deckmann (30.04.2008 14:54)
R. Meyer (30.04.2008 19:20)
Helmut Hullen (29.04.2008 23:47)
Markus Deckmann (30.04.2008 00:13)
Helmut Hullen (30.04.2008 08:19)
Markus Deckmann (30.04.2008 11:52)
Ansgar Wiechers (30.04.2008 01:11)
Helmut Hullen (30.04.2008 08:32)