Irochka - stock.adobe.com

T-Pot: Den kostenlosen professionellen Honeypot nutzen

Mit T-Pot von Telekom Security können Unternehmen kostenlos Honeypots betreiben und so identifizieren, von wo Cyberattacken auf die Firma stattfinden und welcher Art diese sind.

T-Pot ist eine Open Source-Honeypot-Plattform von Telekom Security, der in ansprechender, grafischer Form anzeigt, von wo Cyberattacken eingehen und welche Natur diese sind. Der Betrieb ist auf einem physischen Computer oder einer virtuellen Maschine (VM) möglich.

Mit T-Pot lassen sich dutzende Honeypots in einer Umgebung als Docker-Container betreiben. Eine Liste ist auf der GitHub-Seite des Projektes zu finden. Dazu kommen Sicherheits-Analyse-Tools wie Suricata, Spiderfoot, P0f, Elastic Stack und weitere Werkzeuge.

Admins können mit einem Honeypot den Verkehr aus unsicheren Netzwerken analysieren. Sinnvoll ist das zum Beispiel für die Untersuchung des Verkehrs aus dem Internet, um sich auf Cyberangriffe vorzubereiten.

Voraussetzungen für den Betrieb von T-Pot

T-Pot benötigt einen Computer oder eine VM mit mindestens acht GByte Arbeitsspeicher und sechs CPU-Kernen. Außerdem wird mindestens 128 GByte Speicherplatz benötigt. Der Download kann als ISO-Datei erfolgen. Die Datei hat eine Größe von etwa 50 MByte, bei der Installation lädt das System aber Daten nach. Erfahrene Nutzer können sich auch eine eigene Honeypot-Plattform zusammenbauen und die ISO-Datei erstellen. Basis von T-Pot ist Debian. Die Installation und Einrichtung erfolgt über einen Assistenten, der keine Fragen offenlässt.

Die Einrichtung von T-Pot erfolgt über einen Assistenten.
Abbildung 1: Die Einrichtung von T-Pot erfolgt über einen Assistenten.

In einer umfangreichen Umgebung lässt sich T-Pot in einem Cluster auf mehrere Knoten verteilen, der Standalone-Betrieb reicht in vielen Fällen aber aus. Nach der Grundinstallation führt ein Assistent durch die Einrichtung. Hier werden Benutzernamen, Kennwörter und Netzwerkschnittstellen konfiguriert.

Die Einrichtung von T-Pot ist sehr flexibel und ermöglicht auch den Aufbau einer komplexeren Infrastruktur.
Abbildung 2: Die Einrichtung von T-Pot ist sehr flexibel und ermöglicht auch den Aufbau einer komplexeren Infrastruktur.

Erste Schritte mit T-Pot

Nach der Installation steht zunächst die Konsole von T-Pot zur Verfügung. Hier sind die URLs für den Zugriff des Webusers und des Admins zu sehen. Die Anmeldung an der Konsole oder per SSH erfolgt zunächst mit dem Standardnutzer tsec und dem Kennwort, das während der Installation angegeben wurde.

Nach der Anmeldung erfolgt die Prüfung der einzelnen Honeypot-Container durch Eingabe des Befehls dps.sh. Der Befehl zeigt die laufenden Honeypots und deren verwendete Ports. Wichtig ist daher noch, dass in der Firewall oder dem Router die entsprechenden Ports zum Honeypot weitergeleitet werden, damit dieser die Angriffe messen kann. Die Liste der Ports ist auf der GitHub-Seite aufgeführt und umfasst auch die Honypots, die diesen Port benötigen.

T-Pot: In der Konsole oder per SSH sind die laufenden Honeypots zu sehen sowie deren Ports.
Abbildung 3: In der Konsole oder per SSH sind die laufenden Honeypots zu sehen sowie deren Ports.

Über die Adresse mit der Kennzeichnung Web sind die verschiedenen Werkzeuge von T-Pot zu erreichen, zum Beispiel die Attack Map, das Cockpit, Cyberchef, Elasticvue, Kibana oder Spiderfoot. Diese Werkzeuge stehen zur Verfügung, um Hackerangriffe mit T-Pot zu identifizieren. Die Anmeldung erfolgt mit dem Webbenutzer, der im Rahmen der Installation angelegt wurde.

Die Analyse-Werkzeuge von T-Pot.
Abbildung 4: Die Analyse-Werkzeuge von T-Pot.

Das Cockpit stellt die Weboberfläche zur Verwaltung der Umgebung zur Verfügung. Über Cyberchef können Sie Daten analysieren und sich mit Elastic Stack alle aufgezeichneten Ereignisse visualisieren lassen. Für das Durchsuchen ist Elasticvue verantwortlich.

T-Pot: Mit Elastic Stack kann der Zustand der Honeypots und der Angriffe überprüft werden.
Abbildung 5: Mit Elastic Stack kann der Zustand der Honeypots und der Angriffe überprüft werden.

T-Pot ist in der Lage PCAP-Dateien zu extrahieren und zu analysieren. Dazu kommt das Tool Fatt zum Einsatz. Die Attack Map zeigt auf einer animierten Weltkarte die aktuellen Angriffe in visualisierter Form. An dieser Stelle ist es auch möglich zu scrollen und teilweise sogar die Städte in Erfahrung zu bringen, aus denen die Angriffe stammen.

CyberChef ist eine vielseitige Open-Source-Webanwendung, entwickelt von der britischen GCHQ (Government Communications Headquarters), um komplexe Codierungs-, Verschlüsselungs-, Konvertierungs- und Datenanalyseaufgaben durchzuführen. Die Plattform bietet eine Schnittstelle, die es ermöglicht, verschiedene Operationen wie Datenformatkonvertierungen, Verschlüsselungs- und Entschlüsselungsprozesse, sowie Hashing-Funktionen durchzuziehen. CyberChef wird häufig in der Computer-Forensik eingesetzt. das Tool ist besonders nützlich für die schnelle Analyse und Transformation von Daten ohne die Notwendigkeit, separate Tools oder Skripte zu verwenden.

T-Pot: CyberChef hilft bei der Analyse von Netzwerkdaten und auch von Informationen, welche die T-Pots in Honeypot mitschneiden.
Abbildung 6: CyberChef hilft bei der Analyse von Netzwerkdaten und auch von Informationen, welche die T-Pots in Honeypot mitschneiden.

Sobald die Ports an der Firewall oder dem Router zu T-Pot umgeleitet werden, füllen sich die Angriffe, die über die Attack Map zu sehen sind. Das SecurityMeter zeigt aktuell laufende Angriffe, die über das Telekom-Netz registriert werden. Diese können Sie mit den Angriffen vergleichen, die auf der Attack Map zu sehen sind und von den Honeypots der T-Pot-Installation erkannt wurden.

Das Security Meter in T-Port zeigt laufende Angriffe in Echtzeit an.
Abbildung 7: Das Security Meter in T-Port zeigt laufende Angriffe in Echtzeit an.

Über Details ist im SecurityMeter zu sehen welche Menge an Angriffen stattgefunden hat. Hier ist es möglich nach angegriffenen Ports und nach URLs zu suchen, gefiltert nach Tag, Woche und Monat. Details zu den Angriffen und den involvierten IP-Adressen sind wiederum auf der Attack Map zu sehen. Hier sind Angriffe und deren IP-Adresse in Echtzeit zu erkennen.

T-Pot: Informationen zu den Angriffen auf Honeypots anzeigen.
Abbildung 8: Informationen zu den Angriffen auf Honeypots anzeigen.

T-Pot verwalten

Nach der Anmeldung mit dem Admin-Benutzer am Cockpit stehen auf der linken Seite die Menüpunkte zur Verfügung, mit denen die Umgebung verwaltet wird. Die Anmeldung kann an dieser Stelle auch mit dem Benutzer tsec erfolgen sowie dem Kennwort, das bei der Installation eingegeben wurde. Der Admin-Bereich ist wiederum auch direkt über die URL und den Port zu erreichen, der in der Konsole angezeigt wird.

Auf der Seite ist die Auslastung des Systems zu sehen. Hier können Sie das System auch neu starten. Bei Protokolle zeigt das System die letzten Aktionen an. Mit dem Menüpunkt Speicher sind das Dashboard und die aktuellen Schreib- und Lesevorgänge erreichbar. Hier ist zu sehen, ob und wie aktuell Angriffe auf die Honeypots erfolgen. An dieser Stelle spielen die Informationen unter Netzwerk eine Rolle, da die Oberfläche an dieser Stelle die Netzwerkschnittstellen und IP-Adressen der Honeypots sowie deren Auslastung zeigt. Auch das ist ein wichtiger Faktor bei der Angriffsanalyse. Über Konto lassen sich weitere Benutzerkonten anlegen, mit denen verschiedene Anwender mit dem System arbeiten können. Standardmäßig wird mit dem Benutzerkonto tsec gearbeitet.

T-Pot: Im Dashboard können Admins den Status der Netzwerkverbindungen der verschiedenen Honeypots überprüfen.
Abbildung 9: Im Dashboard können Admins den Status der Netzwerkverbindungen der verschiedenen Honeypots überprüfen.

Der Menüpunkt Dienste zeigt die gestarteten Systemdienste auf dem Server sowie deren Status. Im oberen Bereich ist es dazu möglich, zwischen Sockets, Diensten und Zielen umzuschalten, um zu erkennen, ob die einzelnen Honeypot-Container problemlos laufen oder ob es Probleme mit dem System gibt. Aktualisieren lässt sich das System über den Bereich Software Updates. Mit Terminal können Admins direkt im Dashboard mit dem Terminal arbeiten, um das System zu verwalten. Auch hier zeigt dps.sh an, ob die einzelnen Container funktionieren.

Erfahren Sie mehr über Netzwerksicherheit