Details
Dieses abgeschlossene Projekt der Europäischen Union baut ein Netzwerk aus Honeypots auf (ein "Honeynet"), um neuartige Angriffsmethoden frühzeitig erkennen und entsprechend reagieren zu können.
Ein "Honigtopf" (englisch "Honeypot") ist ein Dienst mit der Aufgabe, Angriffe auf ein Netzwerk zu protokollieren. Das kann ein Programm sein, das einen oder mehrere Dienste zur Verfügung stellt, oder ein Server. Honigtöpfe dienen so der Überwachung eines Netzwerkes. Die Grundidee ist, in einem Netzwerk einen oder mehrere Honeypots zu installieren, die legitimen Netznutzern unbekannt sind und daher niemals angesprochen werden. Ein Angreifer, der nicht zwischen echten Servern / Programmen und Honeypots unterscheidet, weil er routinemäßig alle Netzkomponenten auf Schwachstellen untersucht, wird früher oder später die von einem Honeypot angebotenen Dienste in Anspruch nehmen. Dabei wird er von dem Honeypot protokolliert. Der bloße Versuch, mit einem Honeypot zu kommunizieren, wird als potentieller Angriff betrachtet.
Mit Hilfe eines Honeypot-Programmes werden Netzwerkdienste (Mail-Server, Datei-Server, etc.) eines einzelnen Rechners oder sogar ein vollständiges Netzwerk simuliert. Erfolgt ein unberechtigter Zugriff auf einen derartigen virtuellen Dienst, werden alle ausgeführten Aktionen protokolliert und gegebenenfalls ein Alarm ausgelöst.
Das NoAH-Projekt verfolgt neben dem Aufbau eines Honeynets das Ziel, Angriffssignaturen (Muster) von neuen Angriffen automatisch zu erkennen. Die im Rahmen des Forschungsprojekts erarbeitete Sensorik wird in den Projekten GEANT3 und CarmentiS weitergenutzt.