Seit gestern läuft mein Honypot mit zwei Sensoren auf einem Ubuntu-basierten Virtual Private Server. Um mir die Arbeit zu erleichtern, habe ich dazu das Modern Honeynet Framework (MHS) verwendet, das zum einen nicht nur ein Webinterface für das Management der Sensoren und des Honeypots bietet, sondern auch Sensoren deployen kann. Allerdings ist MHS etwas wählerisch, was die unterstützten Linux-Versionen angeht, von daher sollte man vor der Installation prüfen, ob MHS zum verwendeten VPS kompatibel ist.

Wichtig: Ich würde keinesfalls empfehlen, einen Honeypot auf einem Produktivsystem laufen zu lassen! Wie andere Anwendungen kann auch ein Honeypot Bugs enthalten, was dann möglicherweise im schlimmsten Fall dazu führt, dass ein Angreifer das Honeypot-System kompromittieren oder gar vollständig übernehmen kann. Für meinen Honeypot verwende ich einen Server von CloudatCost, einem kanadischen Anbieter – dort gibt es nämlich Server für eine Einmalgebühr ohne laufende monatliche Kosten, für die es Stand März 2017 außerdem noch einen ordentlichen Rabatt in Höhe von 80%(!) gibt.

Die Einrichtung des Honeypots hat mich dank MHS gerade mal 15 Minuten gekostet, und weitere Sensoren lassen sich ebenfalls recht schnell aufsetzen. Interessant (aber für mich nicht überraschend) war die Tatsache, dass bereits nach wenigen Minuten die ersten Scans bzw. Attacken zu sehen waren. Nach 24 Stunden schon Trends abzuleiten, halte ich für verfrüht, aber man kann durchaus schon Tendenzen erkennen, z.B. Zugriffe auf MySQL-Server. Localhost steht deshalb auf Platz 1, weil ich lokal Portscans mit nmap durchgeführt habe, um die Sensoren zu testen.