Die grundlegenden Eigenschaften der Honeypot-Appliance sind mit denen der generischen Security-Appliance identisch, da diese die Basis bildet. Das betrifft auch den Support.

Für eine einfache und schnelle Inbetriebnahme sind eine Reihe von Templates vordefiniert. Die Templates enthalten die Konfigurationen für verschiedene Betriebssysteme und Betriebssystem-Versionen. Derzeit stehen folgende Templates zur Verfügung:

• Cisco Router
• Cray Supercomputer
• HP Printserver
• HP Switch
• MacOS 10
• Solaris 2.7
• Solaris 2.8
• Suse Linux 7.0
• Suse Linux 8.0
• Suse Linux 8.2
• Suse Linux 10.0
• Debian Linux 4.0
• Windows 2000 Professional SP 4
• Windows 2000 Server SP2
• Windows 2000 Server SP2 mit installiertem Exchange Mail Server
• Windows 2000 Server SP3
• Windows 2000 Server SP4
• Windows 2000 Server SP4 mit installiertem IIS
• Windows 2003 Server SP1
• Windows 2000 Server SP1 mit installiertem IIS
• Windows XP SP1

Alle verwendeten Marken sind Eigentum der jeweiligen Markeninhaber.

Die Honeypot-Appliance bietet verschiedene Low-Interaction Emulationen von Diensten an. Diese Module sammeln die Eingabedaten der Angreifer und ermöglichen teilweise eine einfache Interaktion (z. B. telnetd und fingerd) mit realistischen Ausgaben.

 TCP-Services

• echo (tcp/7)
• discard (tcp/9)
• ftpd (tcp/20 und tcp/21)
• sshv1d (tcp/22)
• sshv2d (tcp22)
• telnetd (tcp/23)
• smtpd (tcp/25)
• fingerd (tcp/79)
• IIS (tcp/80)
• pop3 (tcp/110)
• imap (tcp/143)
• lpd (tcp/515)
• VNC (tcp/5900)
• squid2 (tcp/3128, tcp/8080)
• cmd.exe Backdoor Shell (tcp/diverse)
• generic (tcp)

UDP-Services

• echo (tcp/7)
• discard (tcp/9)
• generic (udp)

Grundsätzlich können diese Emulationen auch auf allen anderen Ports und mehrfach je virtuellem Honeypot konfiguriert werden.  Zusätzlich können einfache Port-Emulationen auf jedem beliebigen TCP- und UDP-Port aktiviert werden.

Zusätzlich zur Erkennung von Zugriffen auf die virtuellen Honeypots kann der Datenverkehr der Angreifer komplett aufgezeichnet werden. Dazu steht ein Datenrekorder zur Verfügung, der im Round-Robin-Verfahren alle Daten der Honeypot-Interfaces aufzeichnet.

Diese Daten können zur Beweissicherung oder zur weitergehenden Analyse verwendet werden. Die Aufzeichnung erfolgt im PCAP-Format.

Alle Alarme der einzelnen Honeypot-Appliances können auf einem zentralen Management-System zusammen geführt werden. Dabei ist die Korrelation nach verschiedenen Kriterien möglich. Damit kann ein gezielter Drill-down durchgeführt werden.

Das Management setzt auf einer Datenbank auf und ist über eine sichere HTTPS-Verbindung per Browser zu bedienen.

Bei kleineren Installationen kann das Management auf einer der Appliances mit installiert werden. Bei größeren Installationen ist ein eigener Server mit entsprechender Leistung empfehlenswert.

Für den Einsatz der Honeypot Appliance sind bestimmte Hardware-Voraussetzungen gegeben. Diese unterscheiden sich auch dahingehend, ob das Management mit der Datenbank auf einem eigenen System installiert werden soll und wieviele Systeme an das Management angeschlossen werden. Hier die groben Richtwerte:

Netzwerk-Interfaces:

• 1 x dediziertes Management (alternativ auch im Sharing Mode mit einem Honeypot Interface; nicht empfohlen)
• 1 - 7 Honeypot-Interfaces

Für die Honeypot-Interfaces ist eine Geschwindigkeit von 100 MBit in der Regel ausreichend. Das Management-Interface sollte über 1 GBit angebunden werden.

Prozessor:

Je nach Ausbau ab 1.5 GHz Taktfrequenz. Bei Installation der Management-Komponente ist mindestens ein aktueller Dual-Core Prozessor empfehlenswert.

RAM:

Je nach Ausbau ab 512 MB RAM. Bei Installation der Management-Komponente ab 1 GB RAM

Betriebssystem-Unterstützung:

Die Appliance basiert auf einem aktuellen Debian-System. Wenn die verwendete Hardware von Debian unterstützt wird, läuft die Appliance in der Regel auch darauf.

Für ein genaues Sizing sprechen Sie uns bitte an.

Die hier gemachten Angaben sind ohne Gewähr. Die tatsächlichen Produkteigenschaften können im Zuge der technischen Weiterentwicklung abweichen.