Honeypots kunnen worden ingedeeld op basis van hun inzet (gebruik/actie) en op basis van hun mate van betrokkenheid. Op basis van de inzet kunnen honeypots worden ingedeeld in:
- productiehoneypots
- onderzoekshoneypots
Productiehoneypots zijn eenvoudig te gebruiken, vangen slechts beperkte informatie op, en worden voornamelijk door bedrijven gebruikt. Productie honeypots worden door een organisatie in het productienetwerk geplaatst met andere productie servers om hun algemene staat van beveiliging te verbeteren. Normaal gesproken zijn productiehoneypots honeypots met een lage interactie, die gemakkelijker in te zetten zijn. Ze geven minder informatie over de aanvallen of aanvallers dan onderzoekshoneypots.
Onderzoekshoneypots worden gebruikt om informatie te verzamelen over de motieven en tactieken van de black hat gemeenschap die zich op verschillende netwerken richt. Deze honeypots hebben geen directe toegevoegde waarde voor een specifieke organisatie; in plaats daarvan worden ze gebruikt om onderzoek te doen naar de bedreigingen waar organisaties mee te maken hebben en om te leren hoe ze zich beter tegen die bedreigingen kunnen beschermen. Onderzoekshoneypots zijn complex om in te zetten en te onderhouden, leggen uitgebreide informatie vast, en worden voornamelijk gebruikt door onderzoeks-, militaire of overheidsorganisaties.
Gebaseerd op ontwerpcriteria kunnen honeypots worden geclassificeerd als:
- pure honeypots
- high-interaction honeypots
- low-interaction honeypots
Pure honeypots zijn volwaardige productiesystemen. De activiteiten van de aanvaller worden in de gaten gehouden met behulp van een bug tap die is geïnstalleerd op de verbinding van de honeypot met het netwerk. Er hoeft geen andere software te worden geïnstalleerd. Ook al is een zuivere honeypot nuttig, de heimelijkheid van de verdedigingsmechanismen kan worden verzekerd door een meer gecontroleerd mechanisme.
Hoge-interactie honeypots imiteren de activiteiten van de produktiesystemen die een verscheidenheid aan diensten hosten en daarom kan een aanvaller een groot aantal diensten krijgen om zijn tijd te verdoen. Door virtuele machines te gebruiken, kunnen meerdere honeypots op een enkele fysieke machine worden gehost. Zelfs als de honeypot wordt gecompromitteerd, kan deze dus sneller worden hersteld. In het algemeen bieden honeypots met een hoge interactie meer veiligheid doordat ze moeilijk te detecteren zijn, maar ze zijn duur in onderhoud. Als virtuele machines niet beschikbaar zijn, moet voor elke honeypot een fysieke computer worden onderhouden, wat exorbitant duur kan zijn. Voorbeeld: Honeynet.
Low-interaction honeypots simuleren alleen de diensten die vaak door aanvallers worden gevraagd. Omdat ze relatief weinig middelen gebruiken, kunnen meerdere virtuele machines gemakkelijk op één fysiek systeem worden gehost, hebben de virtuele systemen een korte responstijd en is er minder code nodig, waardoor de complexiteit van de beveiliging van het virtuele systeem afneemt. Voorbeeld: Honeyd.
Deception technologyEdit
Recently, a new market segment called deception technology has emerged using basic honeypot technology with the addition of advanced automation for scale. Deception technology richt zich op de geautomatiseerde inzet van honeypot resources over een grote commerciële onderneming of overheidsinstelling.
Malware honeypotsEdit
Malware honeypots worden gebruikt om malware te detecteren door gebruik te maken van de bekende replicatie- en aanvalsvectoren van malware. Replicatievectoren zoals USB-flashstations kunnen gemakkelijk worden gecontroleerd op bewijs van wijzigingen, hetzij met de hand of met behulp van honeypots voor speciale doeleinden die stations emuleren. Malware wordt steeds vaker gebruikt om cryptocurrencies te zoeken en te stelen.
SpamversiesEdit
Spammers maken misbruik van kwetsbare bronnen zoals open mail relays en open proxies. Dit zijn servers die e-mail van iedereen op het internet accepteren – inclusief spammers – en naar hun bestemming sturen. Sommige systeembeheerders hebben honeypot programma’s gemaakt die zich voordoen als deze misbruikbare bronnen om spammer activiteit te ontdekken.
Er zijn verschillende mogelijkheden die zulke honeypots bieden aan deze beheerders, en het bestaan van zulke nep misbruikbare systemen maakt misbruik moeilijker of riskanter. Honeypots kunnen een krachtige tegenmaatregel zijn tegen misbruik door degenen die vertrouwen op misbruik in zeer grote volumes (bijv. spammers).
Deze honeypots kunnen het IP-adres van de misbruiker onthullen en zorgen voor bulk spam capture (waarmee beheerders de URL’s en reactiemechanismen van spammers kunnen bepalen). Zoals beschreven door M. Edwards op ITPRo Today:
Typisch testen spammers een mailserver op open relaying door zichzelf simpelweg een e-mailbericht te sturen. Als de spammer het e-mailbericht ontvangt, staat de mailserver open relaying natuurlijk toe. Honeypot beheerders kunnen echter de relay test gebruiken om spammers te dwarsbomen. De honeypot vangt het relay test e-mail bericht op, stuurt het test e-mail bericht terug, en blokkeert vervolgens alle andere e-mail berichten van die spammer. Spammers blijven de antispam honeypot gebruiken voor het verzenden van spam, maar de spam wordt nooit afgeleverd. Ondertussen kan de exploitant van de honeypot de internetproviders van de spammers op de hoogte brengen en hun internetaccounts laten opheffen. Als honeypotbeheerders spammers detecteren die open-proxyservers gebruiken, kunnen ze ook de proxyserverbeheerder inlichten om de server af te sluiten om verder misbruik te voorkomen.
De schijnbare bron kan een ander misbruikt systeem zijn. Spammers en andere misbruikers kunnen een keten van dergelijke misbruikte systemen gebruiken om detectie van het oorspronkelijke beginpunt van het misbruikte verkeer te bemoeilijken.
Dit is op zich al tekenend voor de kracht van honeypots als antispamgereedschap. In de begindagen van anti-spam honeypots voelden spammers, die zich weinig aantrokken van het verbergen van hun locatie, zich veilig door kwetsbaarheden te testen en spam te verzenden vanaf hun eigen systemen. Honeypots maakten het misbruik riskanter en moeilijker.
Spam stroomt nog steeds via open relays, maar het volume is veel kleiner dan in 2001-2002. Hoewel de meeste spam afkomstig is uit de VS, hoppen spammers via open relays over politieke grenzen heen om hun herkomst te maskeren. Honeypotbeheerders kunnen gebruik maken van onderschepte relay tests om pogingen om spam via hun honeypots door te sturen te herkennen en te verijdelen. “Verijdelen” kan betekenen: “accepteer de doorgestuurde spam, maar weiger hem af te leveren”. Honeypot operators kunnen andere details over de spam en de spammer ontdekken door de onderschepte spamberichten te onderzoeken.
Open relay honeypots zijn Jackpot, geschreven in Java door Jack Cleaver; smtpot.py, geschreven in Python door Karl A. Krueger; en spamhole, geschreven in C. De Bubblegum Proxypot is een open source honeypot (of “proxypot”).
E-mail trapEdit
Een e-mailadres dat voor geen enkel ander doel wordt gebruikt dan voor het ontvangen van spam, kan ook worden beschouwd als een spamhoneypot. Vergeleken met de term “spamtrap” is de term “honeypot” wellicht geschikter voor systemen en technieken die worden gebruikt om probes op te sporen of een tegenaanval uit te voeren. Met een spamtrap komt spam “legitiem” aan op de plaats van bestemming – precies zoals niet-spam e-mail zou aankomen.
Een amalgaam van deze technieken is Project Honey Pot, een gedistribueerd, open source project dat gebruik maakt van honeypot pagina’s die op websites over de hele wereld zijn geïnstalleerd. Deze honeypot pagina’s verspreiden uniek gemerkte spamtrap e-mailadressen en spammers kunnen zo worden opgespoord – de bijbehorende spammail wordt vervolgens naar deze spamtrap e-mailadressen gestuurd.
Database honeypotEdit
Databases worden vaak aangevallen door indringers met behulp van SQL-injectie. Omdat dergelijke activiteiten niet worden herkend door basis firewalls, gebruiken bedrijven vaak database firewalls ter bescherming. Sommige van de beschikbare SQL database firewalls bieden/ondersteunen honeypot architecturen zodat de indringer tegen een val database loopt terwijl de web applicatie functioneel blijft.