Gästenetzwerk und Honeypot in einem?!

Ich hatte vor kurzem ein paar Freunde bei mir zu besuch. Über ihr Handy wurden sie ziemlich getrollt und da es nicht ernst zunehmen war, machten wir uns einen riesen Spaß daraus. Im Nachhinein kam allerdings der Gedanke was hatte passieren können?!

Darum habe ich mir überlegt ein Gästenetzwerk mit einem Honeypot zu verbinden. Mein Gedanke war wenn Freunde mir Angreifer oder andere Nettigkeiten in mein Netzwerk bringen, dann würde ich diesen Problemen gerne in einer Kontrollierten Umgebung (Gäste Netzwerk) begegnen, wo ich vielleicht mit Hilfe eines Honeypots alles zurückverfolgen und dementsprechend reagieren kann.
Mir geht es in erster Linie darum, ich möchte nicht mein Netzwerk gefährden, indem ich meinen unwissenden Freunden meinen WLAN-Key gebe. Dennoch im Fall der Fälle hätte ich gerne alle Informationen und Begebenheiten geklärt um ein Eindringen in mein Netzwerk zu verhindern.

Ich hoffe ihr könnt mir da ein wenig weiterhelfen und mir vielleicht sagen was ich dazu brauche bzw. ob das überhaupt so funktioniert wie ich mir das vorstelle. Jede Produktive Frage beantworte ich gerne.

Einen schönen Tag wünsch ich euch
Chris

Einen Router mit Gastzugang. Gibts bei Amazon ab 20 EUR. Damit eröffnest du ein neues WLAN mit anderem Namen und anderem pw neben deinem bestehenden welches dann nur den Zugriff aufs www erlaubt, nicht aber auf dein Netzwerk. Du surfst weiter wie gewohnt in deinem WLAN und dein Besuch in seinem.

Um den Traffic auszulesen gibt’s Software (sog. Sniffer). Da bin ich aber nicht so bewandert drin, daher breche ich hier ab.

Das ist echt sehr nett von dir Ich glaube ein wenig Erfahrung habe ich ja doch und mir ist natürlich völlig bewusst welche Hardware ich dafür benötige Auch mit Sniffern kenne ich mich aus und das ist leider nicht wonach ich suche da ich absolut keine Daten abgreifen möchte sondern, ehrlich nur angreifer von außen, sobald der verdacht besteht auf den Honeypot-Netzwerkzugang umzuschalten (neu Verbinden) um dort so viele Informationen über meinen Angreifer zu bekommen um Gegenmaßnahmen einzuleiten.

Deine Frage klang so gar nicht danach. Aber trotzdem gern geschehen!

Hallo Chris,

ich glaube Du hast im Ganzen das System noch nicht ganz verstanden!
Kasi hat es bereits richtig erklärt. Du brauchst erstmal ein getrenntes Netz. Das bieten eben Router oder WLAN Accesspoints mit der „Gatszugang“ Option. Damit hast Du eben schonmal ein von Deinem eigentlichen Netz getrenntes Netzwerk. In diesem getrennten Netz mußt Du ja aber dann noch irgendwie die von Dir beschriebenen Trolle/bösen Buben auftreiben bzw. identifizieren. Dazu mußt Du ja den Traffic darin irgendwie analysieren und DAS geht nun mal mit einem Sniffer.
Ein Honeypout (siehe auch https://de.wikipedia.org/wiki/Honeypot
) ist hierzu das falsche Werkzeug. Du KÖNNTEST das natürlich so machen, aber Du müsstest eh den Honeypot dann auf Dein Angriffsszenario anpassen und DAZU wirst Du auch wieder … wer hätte es gedacht … um einen Sniffer nicht herumkommen. Wie soll Dein Netzwerk nämlich wissen was Du an „Angreifern“ rausfiltern willst? Wie soll Dein Netzwerk die Parameter wisen nach denen gefiltert werden soll? Richtig, das mußt DU dem System mitteilen. Es gibt sicher noch „Ferfeinerungen“ diese Komplexes wie z.B. mit einem Proxy auf dem man den eingehenden und ausgehenden Traffic mitprotokolliert, aber das willst Du ja eher nicht.

Da man sich aber dieses ganze „nur angreifer von außen, sobald der verdacht besteht auf den
Honeypot-Netzwerkzugang umzuschalten (neu Verbinden) um dort so viele
Informationen über meinen Angreifer zu bekommen um Gegenmaßnahmen
einzuleiten.“ sparen will nimmt man eigentlich eine Firewall wie z.B. iptables oder was ähnliches in dem man eben den „Angreifern“ von aussen alles verbietet und den Rechner, denen man vertraut eben alles „erlaubt“ was notwendig ist. Alles andere ist IMHO zwar ganz gut wenn man was lernen will, aber letztendlich wird man bei der Firewall landen Welchen Weg DU jetzt letzendlich gehen willst bleibt Dir überlassen. Enjoy.

Super vielen Dank für die Antwort.
Wenn ich von außen alles verbiete ist es dann dennoch möglich einen Gästezugang einzurichten ohne jedesmal vorher dem „Router“ das gerät als vertrauenswürdig zu bestätigen? Währe mühsam. Ich habe mich leider noch nicht viel mit Firewalls beschäftigt, gerade mal ein paar Ports weitergeleitet. Ist es möglich das die Firewall mich über Zugriff versuche Informiert auch wenn diese misslungen sind? Und kann mir die Firewall in diesem Fall dann auch Daten des Angriffes liefern soweit möglich. Klar wenn man hinter einem Proxy oder VPN sitzt steht man an und weiß genau so wenig wie vorher aber wäre das grundsätzlich möglich?

Nochmals vielen Danke für die Antwort

Ich weiß ehrlich gesagt nicht genau, was du da machen willst.

Wenn dein Router ein Gäste-WLAN bereitstellen kann, dann wird es auf diesem keinen MAC-Filter geben, denn das wäre kontraproduktiv. Schließlich sollen sich hier ja explizit deine Gäste mit ihren bisher unbekannten Geräten verbinden dürfen.
Deren Geräte sind dann auch getrennt von deinem Netz, sie können also nicht auf deinen Rechner zugreifen.

Und eine Firewall auf einem Router funktioniert so, daß sie prinzipiell jeden Datenverkehr raus lässt. Rein lässt sie dagegen nur Daten von Stellen, an die vorher auch was raus geschickt wurde.
Beim Port-Forwarding wird natürlich auch die Ports in der Firewall geöffnet, so daß hier jeder eingehende Datenverkehr durch kommt.

Die Firewall auf einem Router loggt normalerweise nicht, wenn sie was geblockt hat. Die meisten Leute interessiert es nicht, der Speicher ist begrenzt (Es gibt täglich hunderte oder tausende Zugriffsversuche!), und die wenigsten Zugriffsversuche von außen stammen tatsächlich von „bösen Buben“.

Etwas anders sieht es aus, wenn du hinter dem Router irgendwelche Server betreibst. Hast du nen Web-Server, erstellt der meist auch ein Log-File mit allen Zugriffen. Neben den Zugriffen auf tatsächlich existierende Inhalte sieht man da auch häufig, daß versucht wird, irgendwelche merkwürdigen Seiten aufzurufen, die es auf deinem Server gar nicht gibt. Meist wird hier von außen versucht, irgendwelche Sicherheitslücken zu finden.

Und dann könntest du Server-Dienste haben, für die man normalerweise immer Passwörter benötigt, z.B. FTP. Da siehst du dann auch häufig, daß ein einzelner „Böser Bube“ alle möglichen Benutzernamen und Passwörter durchprobiert.

Aber selbst dann: Du siehst, daß da ein Zugriff(sversuch) von einer bestimmten IP-Adresse kam, manchmal auch sehr viele Versuche von einer Adresse.
Das war’s dann aber auch schon, über die IP kann man das Land und vielleicht die ungefähre Region des bösen Bubens herausfinden, mehr aber auch nicht.

Bei dem beschriebenen Szenario wären es aber Angreifer von innen, aus deinem eigenen WLAN.

Deswegen habe ich ein separates Gäste-WLAN mit einem Ticket-Zugang. Wer Internet haben will, bekommt einen Voucher, kann sich anmelden und drei Stunden nach der Aktivierung ist der Zugang wieder weg.
Das ginge aber sicher zu weit für dich, immerhin habe ich dafür Technik im Wert von >1000€ im Einsatz.

Also belass es beim Gäste-WLAN, somit wären deine Gäste von deinen eigenen Geräten separiert.

Angreifer von Außen blockiert deine Firewall, in die du ja bereits leider Löcher gebohrt hast. Ich hoffe, du wusstest, was du getan hast, als du das gemacht hast.

Welche Geräte müssen denn bei dir aus dem Internet direkt erreichbar sein?

Ich habe z.B. Kameras. Die befinden sich allerdings in der dafür errichteten DMZ.

Und dazu kommt ja auch, korrigiere mich wenn ich da falsch liege, dass ein WLAN mit einem sicheren pw (30 Zeichen, alphanumerisch, Gross/Klein, Sonderzeichen) für den WPA2-Key und deaktiviertem WPS nur über einen brute force Angriff zu knacken wäre der in diesem Fall SEHR lange dauern würde.

Angriffe auf die eigentliche Verschlüsselung von WPA2, also auf AES, sind im privaten Bereich doch eher unwahrscheinlich.