Los honeypots pueden clasificarse en función de su despliegue (uso/acción) y en función de su nivel de implicación. Basándose en el despliegue, los honeypots pueden clasificarse como:
- puntos de miel de producción
- puntos de miel de investigación
- pots de miel puros
- pots de miel de alta interacción
- pots de miel de baja interacción
Los puntos de miel de producción son fáciles de usar, capturan sólo información limitada y son utilizados principalmente por las corporaciones. Los honeypots de producción son colocados dentro de la red de producción con otros servidores de producción por una organización para mejorar su estado general de seguridad. Normalmente, los honeypots de producción son honeypots de baja interacción, que son más fáciles de desplegar. Proporcionan menos información sobre los ataques o los atacantes que los honeypots de investigación.
Los honeypots de investigación se ejecutan para recopilar información sobre los motivos y las tácticas de la comunidad de sombrero negro que tiene como objetivo diferentes redes. Estos honeypots no añaden valor directo a una organización específica; en cambio, se utilizan para investigar las amenazas a las que se enfrentan las organizaciones y para aprender a protegerse mejor contra esas amenazas. Los honeypots de investigación son complejos de desplegar y mantener, capturan amplia información y son utilizados principalmente por organizaciones de investigación, militares o gubernamentales.
En base a los criterios de diseño, los honeypots pueden clasificarse como:
Los honeypots puros son sistemas de producción completos. Las actividades del atacante se monitorizan mediante una escucha de errores que se ha instalado en el enlace del honeypot con la red. No es necesario instalar ningún otro software. Aunque un honeypot puro es útil, el sigilo de los mecanismos de defensa puede garantizarse mediante un mecanismo más controlado.
Los honeypots de alta interacción imitan las actividades de los sistemas de producción que alojan una variedad de servicios y, por lo tanto, un atacante puede disponer de muchos servicios para perder su tiempo. Al emplear máquinas virtuales, se pueden alojar varios honeypots en una sola máquina física. Por lo tanto, incluso si el honeypot se ve comprometido, puede ser restaurado más rápidamente. En general, los honeypots de alta interacción proporcionan más seguridad al ser difíciles de detectar, pero son caros de mantener. Si no se dispone de máquinas virtuales, hay que mantener un ordenador físico para cada honeypot, lo que puede resultar exorbitantemente caro. Ejemplo: Honeynet.
Los honeypots de baja interacción simulan únicamente los servicios solicitados frecuentemente por los atacantes. Como consumen relativamente pocos recursos, se pueden alojar fácilmente varias máquinas virtuales en un sistema físico, los sistemas virtuales tienen un tiempo de respuesta corto y se requiere menos código, lo que reduce la complejidad de la seguridad del sistema virtual. Ejemplo: Honeyd.
Tecnología de engañoEditar
Recientemente, ha surgido un nuevo segmento de mercado llamado tecnología de engaño que utiliza la tecnología básica de honeypot con la adición de automatización avanzada para la escala. La tecnología de engaño aborda el despliegue automatizado de recursos de honeypot en una gran empresa comercial o institución gubernamental.
Honeypots de malwareEditar
Los honeypots de malware se utilizan para detectar malware explotando los vectores de replicación y ataque conocidos del malware. Los vectores de replicación, como las unidades flash USB, pueden verificarse fácilmente en busca de pruebas de modificaciones, ya sea por medios manuales o utilizando honeypots de propósito especial que emulan las unidades. El malware se utiliza cada vez más para buscar y robar criptomonedas.
Versiones de spamEdit
Los spammers abusan de recursos vulnerables como los relés de correo abiertos y los proxies abiertos. Se trata de servidores que aceptan el correo electrónico de cualquier persona en Internet -incluidos los spammers- y lo envían a su destino. Algunos administradores de sistemas han creado programas honeypot que se hacen pasar por estos recursos abusables para descubrir la actividad de los spammers.
Hay varias capacidades que estos honeypots proporcionan a estos administradores, y la existencia de estos sistemas abusables falsos hace que el abuso sea más difícil o arriesgado. Los honeypots pueden ser una poderosa contramedida contra el abuso por parte de aquellos que dependen de un volumen muy alto de abuso (por ejemplo, los spammers).
Estos honeypots pueden revelar la dirección IP del abusador y proporcionar una captura de spam masivo (que permite a los operadores determinar las URLs y los mecanismos de respuesta de los spammers). Como describe M. Edwards en ITPRo Today:
Típicamente, los spammers prueban un servidor de correo para la retransmisión abierta simplemente enviando ellos mismos un mensaje de correo electrónico. Si el spammer recibe el mensaje de correo electrónico, el servidor de correo obviamente permite la retransmisión abierta. Sin embargo, los operadores de Honeypot pueden utilizar la prueba de retransmisión para frustrar a los spammers. El honeypot capta el mensaje de correo electrónico de prueba de retransmisión, devuelve el mensaje de correo electrónico de prueba y, posteriormente, bloquea todos los demás mensajes de correo electrónico de ese emisor de spam. Los spammers siguen utilizando el honeypot antispam para enviar spam, pero el spam nunca se entrega. Mientras tanto, el operador del honeypot puede notificar a los ISP de los spammers y hacer que se cancelen sus cuentas de Internet. Si los operadores de los honeypots detectan a los spammers que utilizan servidores proxy abiertos, también pueden notificar al operador del servidor proxy para que bloquee el servidor y evite más usos indebidos.
El origen aparente puede ser otro sistema abusado. Los spammers y otros abusadores pueden utilizar una cadena de estos sistemas abusados para dificultar la detección del punto de partida original del tráfico abusivo.
Esto en sí mismo es indicativo del poder de los honeypots como herramientas antispam. En los primeros días de los honeypots antispam, los spammers, con poca preocupación por ocultar su ubicación, se sentían seguros probando vulnerabilidades y enviando spam directamente desde sus propios sistemas. Los honeypots hicieron que el abuso fuera más arriesgado y difícil.
El spam sigue fluyendo a través de los relés abiertos, pero el volumen es mucho menor que en 2001-02. Aunque la mayor parte del spam se origina en Estados Unidos, los spammers saltan a través de los relés abiertos más allá de las fronteras políticas para enmascarar su origen. Los operadores de honeypots pueden utilizar las pruebas de retransmisión interceptadas para reconocer y frustrar los intentos de retransmisión de spam a través de sus honeypots. «Frustrar» puede significar «aceptar el spam de retransmisión pero rechazar su entrega». Los operadores de honeypots pueden descubrir otros detalles relativos al spam y al spammer examinando los mensajes de spam capturados.
Los honeypots de retransmisión abiertos incluyen Jackpot, escrito en Java por Jack Cleaver; smtpot.py, escrito en Python por Karl A. Krueger; y spamhole, escrito en C. El Bubblegum Proxypot es un honeypot (o «proxypot») de código abierto.
Trampa de correo electrónicoEdit
Una dirección de correo electrónico que no se utiliza para otro fin que el de recibir spam también puede considerarse un honeypot de spam. En comparación con el término «spamtrap», el término «honeypot» podría ser más adecuado para los sistemas y técnicas que se utilizan para detectar o contraatacar las sondas. Con una trampa de spam, el spam llega a su destino «legítimamente», exactamente como llegaría el correo electrónico que no es spam.
Una amalgama de estas técnicas es el Proyecto Honey Pot, un proyecto distribuido y de código abierto que utiliza páginas honeypot instaladas en sitios web de todo el mundo. Estas páginas honeypot difunden direcciones de correo electrónico spamtrap etiquetadas de forma única y así se puede rastrear a los spammers -el correo spam correspondiente se envía posteriormente a estas direcciones de correo electrónico spamtrap.
Se trata de un honeypot de base de datos
Las bases de datos suelen ser atacadas por intrusos mediante inyección SQL. Como estas actividades no son reconocidas por los cortafuegos básicos, las empresas suelen utilizar cortafuegos de bases de datos para protegerse. Algunos de los cortafuegos de bases de datos SQL disponibles proporcionan/apoyan arquitecturas honeypot para que el intruso se ejecute contra una base de datos trampa mientras la aplicación web sigue funcionando.