Step 6: Intelligenter Honeypot
Referenz: https://docs.beelzebub.ai/getting-started/quickstart
Honeypots sind ein effektives Mittel, um Angreifer frühzeitig zu erkennen. In diesem Setup kommt Beelzebub als leichtgewichtiger Honeypot zum Einsatz, während Wazuh die zentrale Überwachung und Alarmierung übernimmt.
Beelzebub simuliert gezielt verwundbare Dienste und protokolliert alle Verbindungs- und Zugriffsversuche. Diese Events werden als Logdateien ausgegeben und über ein Docker-Volume für das Host-System verfügbar gemacht. Der Wazuh Agent überwacht diese Logdateien direkt und verarbeitet die Einträge.
Sobald ein Angreifer mit dem Honeypot interagiert, erkennt Wazuh das entsprechende Ereignis und löst anhand definierter Regeln einen Alarm aus. Dadurch werden verdächtige Aktivitäten wie Verbindungsversuche, Scans oder fehlerhafte Authentifizierungen sofort sichtbar – lange bevor produktive Systeme betroffen sind.
Die Kombination aus Beelzebub und Wazuh ermöglicht somit eine frühe Erkennung von Angriffen, eine zentrale Auswertung im Wazuh-Dashboard und eine solide Grundlage für weiterführende Incident-Response-Maßnahmen.
Voraussetzungen
- Raspberry Pi 4 (4 GB oder mehr empfohlen)
- Raspberry Pi OS 64-Bit
- Docker & Docker Compose
- Netzwerkverbindung (LAN empfohlen)
Installation in wenigen Schritten
1. System vorbereiten
sudo apt update && sudo apt full-upgrade -y
sudo reboot
2. Docker installieren
curl -fsSL https://get.docker.com | sudo sh
sudo apt install -y docker-compose-plugin
3. Beelzebub herunterladen und starten
git clone https://github.com/mariocandela/beelzebub.git
cd beelzebub
docker compose up -d
Nach wenigen Sekunden läuft der Honeypot bereits im Hintergrund.
SSH-Port freigeben für den Honeypot
Damit Beelzebub z. B. Port 22 nutzen kann, wird der echte SSH-Dienst des Raspberry Pi auf einen anderen Port verschoben (z. B. 2200):
sudo nano /etc/ssh/sshd_config
Port 2200
sudo systemctl restart ssh
Logs für Analyse bereitstellen
Damit die Angriffe später ausgewertet werden können (z. B. mit Wazuh), werden die Logs aus dem Container auf den Host geschrieben:
volumes:
- /var/log/beelzebub:/opt/beelzebub/logs
Die Logs liegen anschließend unter:
/var/log/beelzebub/
Weitere Beiträge
👉 Step 1: Security Monitoring im KMU
👉 Step 2: Erweitertes Monitoring mit Sysmon
👉 Step 3: Powershell Logging
👉 Step 4: Wazuh Rule Suppression
👉 Step 5: Casemanagement mit Casebender
👉 Step 6: Intelligenter Honeypot