Honeypots können auf der Grundlage ihres Einsatzes (Verwendung/Aktion) und auf der Grundlage des Grades ihrer Beteiligung klassifiziert werden. Basierend auf dem Einsatz, können Honeypots klassifiziert werden als:
- Produktions-Honeypots
- Forschungs-Honeypots
Produktions-Honeypots sind einfach zu bedienen, erfassen nur begrenzte Informationen und werden hauptsächlich von Unternehmen genutzt. Produktions-Honeypots werden von einem Unternehmen zusammen mit anderen Produktionsservern im Produktionsnetzwerk platziert, um den allgemeinen Sicherheitsstatus zu verbessern. Normalerweise sind Produktions-Honeypots Honeypots mit geringer Interaktion, die einfacher zu implementieren sind. Sie geben weniger Informationen über die Angriffe oder Angreifer als Forschungs-Honeypots.
Forschungs-Honeypots werden betrieben, um Informationen über die Motive und Taktiken der Black-Hat-Community zu sammeln, die auf verschiedene Netzwerke abzielen. Diese Honeypots bieten keinen direkten Mehrwert für eine bestimmte Organisation; stattdessen werden sie verwendet, um die Bedrohungen zu erforschen, denen Organisationen ausgesetzt sind, und um zu lernen, wie man sich besser gegen diese Bedrohungen schützen kann. Forschungs-Honeypots sind komplex in der Bereitstellung und Wartung, erfassen umfangreiche Informationen und werden hauptsächlich von Forschungs-, Militär- oder Regierungsorganisationen eingesetzt.
Basierend auf Designkriterien können Honeypots klassifiziert werden als:
- reine Honeypots
- Honeypots mit hoher Interaktion
- Honeypots mit geringer Interaktion
Reine Honeypots sind vollwertige Produktionssysteme. Die Aktivitäten des Angreifers werden mit Hilfe eines Abhörgerätes überwacht, das auf der Verbindung des Honeypots zum Netzwerk installiert wurde. Es muss keine weitere Software installiert werden. Auch wenn ein reiner Honeypot nützlich ist, kann die Tarnkappe der Abwehrmechanismen durch einen kontrollierteren Mechanismus sichergestellt werden.
Honeypots mit hoher Interaktion imitieren die Aktivitäten der Produktionssysteme, die eine Vielzahl von Diensten hosten, so dass einem Angreifer viele Dienste zur Verfügung stehen. Durch den Einsatz von virtuellen Maschinen können mehrere Honeypots auf einer einzigen physischen Maschine gehostet werden. Daher kann der Honeypot, selbst wenn er kompromittiert wird, schneller wiederhergestellt werden. Im Allgemeinen bieten Honeypots mit hoher Interaktion mehr Sicherheit, da sie schwer zu entdecken sind, aber sie sind teuer in der Wartung. Wenn keine virtuellen Maschinen verfügbar sind, muss für jeden Honeypot ein physischer Computer gewartet werden, was exorbitant teuer sein kann. Beispiel: Honeynet.
Honeypots mit geringer Interaktion simulieren nur die von Angreifern häufig nachgefragten Dienste. Da sie relativ wenige Ressourcen verbrauchen, können mehrere virtuelle Maschinen problemlos auf einem physischen System gehostet werden, die virtuellen Systeme haben eine kurze Reaktionszeit und es wird weniger Code benötigt. Beispiel: Honeyd.
Täuschungstechnologie
In jüngster Zeit ist ein neues Marktsegment namens Täuschungstechnologie entstanden, das auf der grundlegenden Honeypot-Technologie aufbaut und diese um eine fortgeschrittene Automatisierung zur Skalierung ergänzt. Die Deception-Technologie befasst sich mit der automatisierten Bereitstellung von Honeypot-Ressourcen in einem großen Unternehmen oder einer Regierungseinrichtung.
Malware-HoneypotsBearbeiten
Malware-Honeypots werden zur Erkennung von Malware eingesetzt, indem die bekannten Replikations- und Angriffsvektoren von Malware ausgenutzt werden. Replikationsvektoren wie USB-Flash-Laufwerke können leicht auf Anzeichen von Modifikationen überprüft werden, entweder mit manuellen Mitteln oder mit Hilfe von speziellen Honeypots, die Laufwerke emulieren. Malware wird zunehmend eingesetzt, um nach Kryptowährungen zu suchen und diese zu stehlen.
Spam-VersionenEditieren
Spammer missbrauchen anfällige Ressourcen wie offene Mail-Relays und offene Proxys. Das sind Server, die E-Mails von jedem im Internet – auch von Spammern – annehmen und an ihr Ziel senden. Einige Systemadministratoren haben Honeypot-Programme erstellt, die sich als diese missbrauchbaren Ressourcen ausgeben, um Spammer-Aktivitäten zu entdecken.
Es gibt mehrere Möglichkeiten, die solche Honeypots den Administratoren bieten, und die Existenz solcher gefälschter missbrauchbarer Systeme erschwert oder riskiert den Missbrauch. Honeypots können eine wirksame Gegenmaßnahme gegen den Missbrauch durch diejenigen sein, die auf ein sehr hohes Missbrauchsvolumen angewiesen sind (z. B. Spammer).
Diese Honeypots können die IP-Adresse des Missbrauchers aufdecken und eine Massenerfassung von Spam ermöglichen (wodurch die Betreiber die URLs und Antwortmechanismen der Spammer ermitteln können). Wie von M. Edwards bei ITPRo Today beschrieben:
Typischerweise testen Spammer einen Mail-Server auf offenes Relaying, indem sie sich einfach eine E-Mail-Nachricht schicken. Wenn der Spammer die E-Mail-Nachricht empfängt, erlaubt der Mail-Server offensichtlich Open Relaying. Honeypot-Betreiber können jedoch den Relay-Test nutzen, um Spammer zu vereiteln. Der Honeypot fängt die Relay-Test-E-Mail-Nachricht ab, sendet die Test-E-Mail-Nachricht zurück und blockiert anschließend alle anderen E-Mail-Nachrichten von diesem Spammer. Die Spammer nutzen den Antispam-Honeypot weiterhin für Spamming, aber der Spam wird nie zugestellt. In der Zwischenzeit kann der Honeypot-Betreiber die ISPs der Spammer benachrichtigen und deren Internet-Konten sperren lassen. Wenn Honeypot-Betreiber Spammer entdecken, die Open-Proxy-Server verwenden, können sie auch den Betreiber des Proxy-Servers benachrichtigen, damit dieser den Server sperrt, um weiteren Missbrauch zu verhindern.
Die scheinbare Quelle kann ein anderes missbrauchtes System sein. Spammer und andere Missbraucher können eine Kette solcher missbrauchter Systeme verwenden, um die Erkennung des ursprünglichen Ausgangspunkts des Missbrauchsverkehrs zu erschweren.
Dies allein ist schon ein Hinweis auf die Leistungsfähigkeit von Honeypots als Anti-Spam-Tools. In den Anfängen der Anti-Spam-Honeypots fühlten sich die Spammer sicher, da sie ihren Standort nicht verstecken mussten, und testeten auf Schwachstellen und versendeten Spam direkt von ihren eigenen Systemen. Honeypots machten den Missbrauch risikoreicher und schwieriger.
Spam fließt zwar immer noch über offene Relays, aber das Volumen ist deutlich geringer als in den Jahren 2001-02. Während der meiste Spam seinen Ursprung in den USA hat, springen Spammer durch offene Relays über politische Grenzen hinweg, um ihre Herkunft zu verschleiern. Honeypot-Betreiber können abgefangene Relay-Tests nutzen, um Versuche zu erkennen und zu vereiteln, Spam über ihre Honeypots weiterzuleiten. „Vereiteln“ kann dabei bedeuten, dass sie den Relay-Spam zwar akzeptieren, aber nicht zustellen. Honeypot-Betreiber können durch die Untersuchung der abgefangenen Spam-Nachrichten weitere Details über den Spam und den Spammer herausfinden.
Zu den offenen Relay-Honeypots gehören Jackpot, geschrieben in Java von Jack Cleaver; smtpot.py, geschrieben in Python von Karl A. Krueger; und spamhole, geschrieben in C. Der Bubblegum Proxypot ist ein quelloffener Honeypot (oder „Proxypot“).
Email trapEdit
Eine E-Mail-Adresse, die zu keinem anderen Zweck als zum Empfang von Spam verwendet wird, kann auch als Spam-Honeypot bezeichnet werden. Im Vergleich zum Begriff „Spamfalle“ ist der Begriff „Honeypot“ für Systeme und Techniken, die zur Erkennung oder Abwehr von Spams eingesetzt werden, besser geeignet. Bei einer Spamfalle kommt der Spam „legitim“ am Ziel an – genau so, wie eine Nicht-Spam-E-Mail ankommen würde.
Eine Verschmelzung dieser Techniken ist Project Honey Pot, ein verteiltes Open-Source-Projekt, das Honeypot-Seiten verwendet, die auf Websites in aller Welt installiert sind. Diese Honeypot-Seiten verbreiten eindeutig gekennzeichnete Spamtrap-E-Mail-Adressen, so dass Spammer aufgespürt werden können – die entsprechende Spam-Mail wird dann an diese Spamtrap-E-Mail-Adressen gesendet.
Datenbank-HoneypotEdit
Datenbanken werden häufig von Eindringlingen mittels SQL-Injection angegriffen. Da solche Aktivitäten von einfachen Firewalls nicht erkannt werden, setzen Unternehmen zum Schutz oft Datenbank-Firewalls ein. Einige der verfügbaren SQL-Datenbank-Firewalls bieten/unterstützen Honeypot-Architekturen, sodass der Eindringling gegen eine Fallen-Datenbank läuft, während die Webanwendung funktionsfähig bleibt.