Les honeypots peuvent être classés en fonction de leur déploiement (utilisation/action) et en fonction de leur niveau d’implication. Sur la base du déploiement, les pots de miel peuvent être classés comme suit :
- les honeypots de production
- les honeypots de recherche
Les honeypots de production sont faciles à utiliser, ne capturent que des informations limitées et sont utilisés principalement par les entreprises. Les honeypots de production sont placés à l’intérieur du réseau de production avec d’autres serveurs de production par une organisation pour améliorer leur état général de sécurité. Normalement, les honeypots de production sont des honeypots à faible interaction, qui sont plus faciles à déployer. Ils donnent moins d’informations sur les attaques ou les attaquants que les honeypots de recherche.
Les honeypots de recherche sont exécutés pour recueillir des informations sur les motifs et les tactiques de la communauté black hat ciblant différents réseaux. Ces honeypots n’ajoutent pas de valeur directe à une organisation spécifique ; ils sont plutôt utilisés pour étudier les menaces auxquelles les organisations sont confrontées et pour apprendre comment mieux se protéger contre ces menaces. Les honeypots de recherche sont complexes à déployer et à maintenir, capturent de nombreuses informations et sont utilisés principalement par des organisations de recherche, militaires ou gouvernementales.
Selon les critères de conception, les honeypots peuvent être classés comme suit :
- pure honeypots
- high-interaction honeypots
- low-interaction honeypots
Les honeypots purs sont des systèmes de production à part entière. Les activités de l’attaquant sont surveillées à l’aide d’un robinet de bogue qui a été installé sur le lien du honeypot avec le réseau. Aucun autre logiciel ne doit être installé. Même si un pur honeypot est utile, la furtivité des mécanismes de défense peut être assurée par un mécanisme plus contrôlé.
Les honeypots à forte interaction imitent les activités des systèmes de production qui hébergent une variété de services et, par conséquent, un attaquant peut avoir droit à de nombreux services pour perdre son temps. En utilisant des machines virtuelles, plusieurs pots de miel peuvent être hébergés sur une seule machine physique. Par conséquent, même si le pot de miel est compromis, il peut être restauré plus rapidement. En général, les pots de miel à forte interaction offrent plus de sécurité en étant difficiles à détecter, mais ils sont coûteux à entretenir. Si les machines virtuelles ne sont pas disponibles, un ordinateur physique doit être maintenu pour chaque pot de miel, ce qui peut être exorbitant. Exemple : Honeynet.
Les honeypots à faible interaction simulent uniquement les services fréquemment demandés par les attaquants. Comme ils consomment relativement peu de ressources, plusieurs machines virtuelles peuvent facilement être hébergées sur un système physique, les systèmes virtuels ont un temps de réponse court et moins de code est nécessaire, ce qui réduit la complexité de la sécurité du système virtuel. Exemple : Honeyd.
Modification de la technologie de déception
Récemment, un nouveau segment de marché appelé technologie de déception a émergé en utilisant la technologie de base des pots de miel avec l’ajout d’une automatisation avancée pour l’échelle. La technologie de déception aborde le déploiement automatisé des ressources de honeypot sur une grande entreprise commerciale ou une institution gouvernementale.
Malware honeypotsEdit
Les honeypots de logiciels malveillants sont utilisés pour détecter les logiciels malveillants en exploitant les vecteurs de réplication et d’attaque connus des logiciels malveillants. Les vecteurs de réplication tels que les clés USB peuvent facilement être vérifiés pour trouver des preuves de modifications, soit par des moyens manuels, soit en utilisant des honeypots à usage spécial qui émulent les lecteurs. Les logiciels malveillants sont de plus en plus utilisés pour rechercher et voler des crypto-monnaies.
Versions de spamEdit
Les spammeurs abusent de ressources vulnérables telles que les relais de messagerie ouverts et les proxys ouverts. Il s’agit de serveurs qui acceptent les courriels de n’importe qui sur Internet – y compris les spammeurs – et les envoient à leur destination. Certains administrateurs système ont créé des programmes de pots de miel qui se font passer pour ces ressources abusives afin de découvrir l’activité des spammeurs.
Ces pots de miel offrent plusieurs capacités à ces administrateurs, et l’existence de ces faux systèmes abusifs rend les abus plus difficiles ou plus risqués. Les pots de miel peuvent constituer une puissante contre-mesure aux abus de ceux qui s’appuient sur des abus à très haut volume (par exemple, les spammeurs).
Ces pots de miel peuvent révéler l’adresse IP de l’abuseur et fournir une capture de spam en masse (ce qui permet aux opérateurs de déterminer les URL et les mécanismes de réponse des spammeurs). Comme décrit par M. Edwards sur ITPRo Today:
Typiquement, les spammeurs testent un serveur de messagerie pour le relais ouvert en s’envoyant simplement un message électronique. Si le spammeur reçoit le message électronique, le serveur de messagerie autorise manifestement le relais ouvert. Les opérateurs de pots de miel, cependant, peuvent utiliser le test de relais pour déjouer les spammeurs. Le pot de miel capte le message électronique de test de relais, renvoie le message électronique de test et bloque ensuite tous les autres messages électroniques provenant de ce spammeur. Les spammeurs continuent d’utiliser le pot de miel antispam pour envoyer des spams, mais ceux-ci ne sont jamais distribués. Pendant ce temps, l’opérateur du pot de miel peut notifier les FAI des spammeurs et faire annuler leurs comptes Internet. Si les opérateurs de pots de miel détectent des spammeurs qui utilisent des serveurs proxy ouverts, ils peuvent également notifier l’opérateur du serveur proxy pour qu’il verrouille le serveur afin d’empêcher tout autre abus.
La source apparente peut être un autre système abusé. Les spammeurs et autres abuseurs peuvent utiliser une chaîne de tels systèmes abusés pour rendre difficile la détection du point de départ initial du trafic abusif.
Ceci est en soi révélateur de la puissance des pots de miel comme outils anti-spam. Aux premiers jours des honeypots anti-spam, les spammeurs, peu soucieux de cacher leur emplacement, se sentaient en sécurité pour tester les vulnérabilités et envoyer du spam directement à partir de leurs propres systèmes. Les pots de miel ont rendu l’abus plus risqué et plus difficile.
Le spam passe toujours par des relais ouverts, mais le volume est beaucoup plus faible qu’en 2001-02. Si la plupart des spams proviennent des États-Unis, les spammeurs sautent par des relais ouverts au-delà des frontières politiques pour masquer leur origine. Les opérateurs de pots de miel peuvent utiliser les tests de relais interceptés pour reconnaître et contrecarrer les tentatives de relais de spam par leurs pots de miel. Le terme « déjouer » peut signifier « accepter le spam relayé mais refuser de le livrer ». Les opérateurs de pots de miel peuvent découvrir d’autres détails concernant le spam et le spammeur en examinant les messages de spam capturés.
Les pots de miel de relais ouverts comprennent Jackpot, écrit en Java par Jack Cleaver ; smtpot.py, écrit en Python par Karl A. Krueger ; et spamhole, écrit en C. Le Bubblegum Proxypot est un honeypot (ou » proxypot « ) open source.
Email trapEdit
Une adresse électronique qui n’est pas utilisée à d’autres fins que de recevoir du spam peut également être considérée comme un pot de miel pour spam. Par rapport au terme « spamtrap », le terme « honeypot » pourrait être plus adapté aux systèmes et techniques qui sont utilisés pour détecter ou contre-attaquer les sondes. Avec un spamtrap, le spam arrive à sa destination de manière « légitime » – exactement comme arriverait un courriel non spam.
Un amalgame de ces techniques est le Project Honey Pot, un projet distribué et open source qui utilise des pages de honeypot installées sur des sites web du monde entier. Ces pages honeypot diffusent des adresses électroniques spamtrap marquées de manière unique et les spammeurs peuvent alors être suivis – le courrier indésirable correspondant est ensuite envoyé à ces adresses électroniques spamtrap.
Moneypot de base de donnéesEdit
Les bases de données sont souvent attaquées par des intrus utilisant l’injection SQL. Comme ces activités ne sont pas reconnues par les pare-feu de base, les entreprises utilisent souvent des pare-feu de base de données pour se protéger. Certains des pare-feu de base de données SQL disponibles fournissent/supportent des architectures de pot de miel de sorte que l’intrus s’exécute contre une base de données piège tandis que l’application web reste fonctionnelle.