Angreifer ins Leere laufen lassen – Fallen für Hacker einrichten und verstehen

Stellt euch vor, ihr könntet Hackern eine Falle stellen. Eine scheinbar verwundbare Maschine, die Angreifer anlockt – während ihr im Hintergrund gemütlich zuschaut, wie sie sich verhalten, welche Methoden sie nutzen und woher sie kommen. Genau das ist die Idee eines Honeypots.

Honeypots sind keine neuen Technologien, aber sie erleben gerade eine Renaissance. In einer Zeit, in der automatisierte Angriffe und Bots das Internet durchkämmen, sind sie ein wertvolles Werkzeug, um Angreifer zu erkennen, zu studieren und von echten Systemen fernzuhalten .

In diesem Guide zeigen wir euch, was Honeypots sind, welche Arten es gibt und wie ihr Schritt für Schritt euren eigenen Honeypot einrichtet – von der einfachen Port-Falle bis zum vollständigen System, das Angreifer in die Irre führt.

🎯 Was ist ein Honeypot überhaupt?

Ein Honeypot ist eine absichtlich verwundbar gemachte Ressource in einem Netzwerk, die dazu dient, Angreifer anzulocken und ihr Verhalten zu analysieren . Der Name kommt von der Idee, dass man einen "Topf Honig" aufstellt, um Bienen (Hacker) anzuziehen.

Die Grundidee:

• Ihr richtet ein System, einen Dienst oder eine Datei ein, die keinen legitimen Zweck hat.

• Jeder Zugriff darauf ist per Definition verdächtig.

• Ihr beobachtet und analysiert diese Zugriffe, um Angreifer zu verstehen und abzuwehren.

Zwei Haupttypen von Honeypots:

Typ	Beschreibung	Einsatzgebiet
Produktions-Honeypots	Einfache Fallen im eigenen Netzwerk, die Angreifer erkennen und ablenken sollen.	Schutz der echten Infrastruktur
Forschungs-Honeypots	Komplexe Systeme, die detaillierte Informationen über Angriffsmethoden sammeln.	Sicherheitsforschung, Erkenntnisgewinn

Was ein Honeypot kann:

• Angreifer erkennen, bevor sie an echte Systeme kommen

• Angriffsmuster analysieren (Welche Ports werden gescannt? Welche Passwörter probiert?)

• Zeit gewinnen, indem Angreifer sich mit der Falle beschäftigen

• Frühwarnsystem für neue Bedrohungen sein

• Rechtliche Beweise für Angriffe sammeln (mit Vorsicht!)

🏗️ Die verschiedenen Arten von Honeypots

Bevor wir einrichten, schauen wir uns die verschiedenen Typen an:

1. Low-Interaction Honeypots

Simulieren nur bestimmte Dienste und sind einfach einzurichten. Perfekt für Einsteiger.

Beispiele:

• Emulierte SSH-Server

• Gefälschte Web-Anmeldeformulare

• Port-Fallen

2. Medium-Interaction Honeypots

Bieten mehr Interaktionsmöglichkeiten, ohne ein vollständiges System zu sein.

Beispiele:

• Dionaea (fängt Malware)

• Cowrie (SSH/Telnet Honeypot)

• Glastopf (Web Honeypot)

3. High-Interaction Honeypots

Vollständige, reale Systeme mit echten Schwachstellen. Sehr aufwendig, aber auch sehr erkenntnisreich.

Beispiele:

• Echte Server mit Monitoring

• Virtuelle Maschinen mit Köderdaten

🛠️ Honeypot einrichten: Schritt-für-Schritt-Anleitungen

Option 1: Einfacher Port-Honeypot mit Netcat (für absolute Einsteiger)

Der einfachste Honeypot der Welt: Ein offener Port, der jede Verbindung protokolliert.

Linux:

bash

# Einfachen TCP-Honeypot auf Port 2222 einrichten
while true; do nc -l -p 2222 -v >> honeypot.log 2>&1; done

Windows (PowerShell):

powershell

# Einfachen TCP-Listener erstellen
$listener = [System.Net.Sockets.TcpListener]::new(2222)
$listener.Start()
while($true) {
    $client = $listener.AcceptTcpClient()
    $remote = $client.Client.RemoteEndPoint.ToString()
    "$(Get-Date): Verbindung von $remote" | Out-File -FilePath honeypot.log -Append
    $client.Close()
}

Jeder Verbindungsversuch wird in honeypot.log protokolliert. Das ist kein echter Honeypot, aber ein erster Schritt zum Verständnis.

Option 2: Cowrie – Der SSH/Telnet Honeypot (für Fortgeschrittene)

Cowrie ist einer der beliebtesten Medium-Interaction Honeypots. Er simuliert einen SSH- und Telnet-Server und protokolliert alle Interaktionen – inklusive der eingegebenen Befehle und heruntergeladener Malware .

Installation auf Ubuntu/Debian:

bash

# System aktualisieren
sudo apt update && sudo apt upgrade -y

# Abhängigkeiten installieren
sudo apt install -y python3-virtualenv libssl-dev libffi-dev build-essential python3-dev git

# Cowrie-Benutzer anlegen (Sicherheit!)
sudo adduser --disabled-password --gecos "" cowrie

# Cowrie herunterladen
sudo -u cowrie git clone https://github.com/cowrie/cowrie.git /home/cowrie/cowrie

# Virtuelle Umgebung einrichten
cd /home/cowrie/cowrie
sudo -u cowrie python3 -m virtualenv cowrie-env
sudo -u cowrie source cowrie-env/bin/activate
sudo -u cowrie pip install --upgrade pip
sudo -u cowrie pip install -r requirements.txt

Konfiguration anpassen:

bash

# Beispiel-Konfiguration kopieren
sudo -u cowrie cp /home/cowrie/cowrie/cowrie.cfg.dist /home/cowrie/cowrie/cowrie.cfg

# Konfiguration editieren
sudo -u cowrie nano /home/cowrie/cowrie/cowrie.cfg

Wichtige Einstellungen in cowrie.cfg:

ini

# Host und Port (Standard: 2222, aber wir wollen 22)
# Achtung: Wenn ihr Port 22 verwendet, muss euer echter SSH-Dienst umziehen!
[ssh]
listen_port = 22
listen_addr = 0.0.0.0

# Telnet optional aktivieren
[telnet]
enabled = true
listen_port = 23
listen_addr = 0.0.0.0

# Protokollierung
[output]
logfile_enabled = true
logfile = /home/cowrie/cowrie/var/log/cowrie/cowrie.log
jsonlog_enabled = true

Echten SSH-Dienst umziehen (wichtig!)

Damit Cowrie Port 22 übernehmen kann, muss euer echter SSH-Dienst auf einen anderen Port umziehen:

bash

# SSH-Konfiguration editieren
sudo nano /etc/ssh/sshd_config

# Port ändern (z.B. auf 2222)
Port 2222

# SSH neustarten
sudo systemctl restart sshd

Cowrie starten:

bash

# Als cowrie-Benutzer
sudo -u cowrie /home/cowrie/cowrie/bin/cowrie start

# Status prüfen
sudo -u cowrie /home/cowrie/cowrie/bin/cowrie status

# Logs beobachten
sudo -u cowrie tail -f /home/cowrie/cowrie/var/log/cowrie/cowrie.log

Cowrie als Systemd-Dienst einrichten:

bash

# Service-Datei erstellen
sudo nano /etc/systemd/system/cowrie.service

ini

[Unit]
Description=Cowrie SSH/Telnet Honeypot
After=network.target

[Service]
User=cowrie
Group=cowrie
WorkingDirectory=/home/cowrie/cowrie
ExecStart=/home/cowrie/cowrie/bin/cowrie start
ExecStop=/home/cowrie/cowrie/bin/cowrie stop
ExecReload=/home/cowrie/cowrie/bin/cowrie restart
Type=forking
Restart=always
RestartSec=10

[Install]
WantedBy=multi-user.target

bash

# Service aktivieren und starten
sudo systemctl daemon-reload
sudo systemctl enable cowrie
sudo systemctl start cowrie

Option 3: Dionaea – Der Malware-Fänger

Dionaea ist ein Honeypot, der speziell darauf ausgelegt ist, Malware zu fangen. Er emuliert verschiedene Dienste wie SMB, FTP, HTTP, MySQL und mehr .

Installation:

bash

# Abhängigkeiten installieren
sudo apt update
sudo apt install -y build-essential cmake check libssl-dev libsqlite3-dev libmysqlclient-dev libpq-dev libglib2.0-dev libcurl4-openssl-dev libreadline-dev autoconf libtool

# Dionaea herunterladen und kompilieren
cd /opt
sudo git clone https://github.com/DinoTools/dionaea.git
cd dionaea
sudo mkdir build
cd build
sudo cmake -DCMAKE_INSTALL_PREFIX=/opt/dionaea ..
sudo make
sudo make install

Konfiguration:

bash

# Konfigurationsverzeichnis erstellen
sudo mkdir -p /etc/dionaea

# Beispiel-Konfiguration kopieren
sudo cp /opt/dionaea/etc/dionaea/dionaea.conf.dist /etc/dionaea/dionaea.conf

Dionaea als Dienst einrichten:

bash

# Service-Datei erstellen
sudo nano /etc/systemd/system/dionaea.service

ini

[Unit]
Description=Dionaea Honeypot
After=network.target

[Service]
User=nobody
Group=nogroup
WorkingDirectory=/opt/dionaea
ExecStart=/opt/dionaea/bin/dionaea -c /etc/dionaea/dionaea.conf
Restart=always
RestartSec=10

[Install]
WantedBy=multi-user.target

bash

# Service starten
sudo systemctl daemon-reload
sudo systemctl enable dionaea
sudo systemctl start dionaea

📊 Logs auswerten: Was verraten die Angreifer?

Das Spannendste an Honeypots ist die Analyse der gesammelten Daten.

Cowrie-Logs verstehen

Cowrie speichert alle Interaktionen in JSON-Format:

bash

# Letzte 10 Angriffe anzeigen
tail -n 10 /home/cowrie/cowrie/var/log/cowrie/cowrie.json | jq '.'

Wichtige Informationen:

• src_ip: IP-Adresse des Angreifers

• timestamp: Zeitpunkt des Angriffs

• command: Eingegebene Befehle

• username/password: Versuchte Logins

Top-Angreifer-IPs finden:

bash

cat /home/cowrie/cowrie/var/log/cowrie/cowrie.json | jq -r '.src_ip' | sort | uniq -c | sort -nr | head -20

Häufigste Login-Versuche:

bash

cat /home/cowrie/cowrie/var/log/cowrie/cowrie.json | jq -r '"\(.username):\(.password)"' | sort | uniq -c | sort -nr | head -20

🛡️ Honeypots sicher betreiben: Was ihr beachten müsst

Honeypots sind mächtige Werkzeuge, aber sie bergen auch Risiken:

1. Isolation ist alles

Ein Honeypot sollte streng vom restlichen Netzwerk getrennt sein. Nutzt:

• Separate VLANs

• Firewall-Regeln, die ausgehenden Verkehr blockieren

• Virtuelle Maschinen ohne Zugriff auf das Host-System

2. Rechtliche Aspekte

Honeypots bewegen sich in einer rechtlichen Grauzone. Beachtet:

• Ihr dürft Angreifer nicht aktiv zu Straftaten verleiten

• Das Abfangen von Kommunikation kann strafbar sein

• Dokumentiert, dass es sich um einen Honeypot handelt (für euch selbst)

3. Ressourcen im Blick behalten

Ein erfolgreicher Honeypot kann viele Angreifer anziehen – und Ressourcen verbrauchen. Überwacht CPU und RAM.

4. Keine echten Daten verwenden

Honeypots sollten keine echten Kundendaten enthalten. Alles, was ihr dort platziert, ist Köder.

🏗️ Fortgeschrittene Honeypot-Architektur

Für ambitionierte Projekte hier eine erweiterte Architektur:

text

                    ┌─────────────────┐
                    │   Internet       │
                    └────────┬────────┘
                             │
                    ┌────────▼────────┐
                    │   Firewall       │
                    │  (Port Forward)  │
                    └────────┬────────┘
                             │
              ┌──────────────┼──────────────┐
              │              │              │
      ┌───────▼───────┐ ┌────▼────┐ ┌──────▼──────┐
      │   Cowrie      │ │ Dionaea │ │   Glastopf  │
      │  (SSH/Telnet) │ │ (Malware)│ │   (Web)     │
      └───────────────┘ └─────────┘ └─────────────┘
              │              │              │
              └──────────────┼──────────────┘
                             │
                    ┌────────▼────────┐
                    │   Log-Server     │
                    │  (ELK-Stack)     │
                    └─────────────────┘

Log-Server mit ELK-Stack (Elasticsearch, Logstash, Kibana)

Für die zentrale Auswertung aller Honeypot-Logs:

bash

# Elasticsearch installieren
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt install elasticsearch logstash kibana

# Dienste starten
sudo systemctl enable elasticsearch logstash kibana
sudo systemctl start elasticsearch

Logstash-Konfiguration für Cowrie:

bash

sudo nano /etc/logstash/conf.d/cowrie.conf

ruby

input {
  file {
    path => "/home/cowrie/cowrie/var/log/cowrie/cowrie.json"
    codec => json
    type => "cowrie"
  }
}

filter {
  if [type] == "cowrie" {
    geoip {
      source => "src_ip"
      target => "geoip"
    }
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "cowrie-%{+YYYY.MM.dd}"
  }
}

🎯 Honeypots in der Praxis: Was ihr lernen könnt

Typische Erkenntnisse aus Honeypot-Daten:

1. Häufigste Angriffsvektoren: Welche Dienste werden am meisten attackiert?

2. Verwendete Passwörter: Die Top-10 der versuchten Logins

3. Geografische Verteilung: Woher kommen die Angreifer?

4. Automatisierte Tools: Welche Scanner und Bots sind unterwegs?

5. Malware-Verhalten: Was passiert nach einem erfolgreichen Einbruch?

Beispiel-Auswertung nach einer Woche:

bash

# SSH-Login-Versuche insgesamt
grep -c "login attempt" /home/cowrie/cowrie/var/log/cowrie/cowrie.log

# Erfolgreiche Logins (wenn ihr das zulasst)
grep "login success" /home/cowrie/cowrie/var/log/cowrie/cowrie.log

# Heruntergeladene Dateien
ls -la /home/cowrie/cowrie/var/lib/cowrie/downloads/

🏁 Fazit: Honeypots sind ein mächtiges Werkzeug

Honeypots sind mehr als nur eine technische Spielerei. Sie sind ein aktives Frühwarnsystem, das euch hilft, Angreifer zu verstehen und eure echten Systeme besser zu schützen.

Die wichtigsten Punkte nochmal:

✅ Fangt klein an – ein einfacher Port-Listener ist schon ein Anfang
✅ Isoliert eure Honeypots – sie dürfen keine Brücke zu echten Systemen sein
✅ Wertet die Logs aus – die gesammelten Daten sind Gold wert
✅ Bleibt dran – Angriffsmuster ändern sich ständig
✅ Teilt eure Erkenntnisse – die Sicherheits-Community profitiert davon

Bei NexoraHost unterstützen wir euch mit leistungsstarken Servern, auf denen ihr eure Honeypots betreiben könnt – sicher isoliert und mit voller Kontrolle.

👉 Jetzt den passenden Server für eure Honeypot-Projekte finden 👈

PS: Ihr habt Fragen zu Honeypots oder braucht Hilfe bei der Einrichtung?

Dann schreibt uns einfach! Unser Support hilft euch gerne – ob bei der Installation, der richtigen Isolierung oder der Auswertung der Logs. Bei NexoraHost seid ihr nicht nur Kunde, sondern Teil der Familie – und gemeinsam machen wir das Internet ein Stück sicherer! 🛡️