Honeypoty mogą być klasyfikowane na podstawie ich rozmieszczenia (wykorzystanie/działanie) oraz na podstawie poziomu zaangażowania. W oparciu o rozmieszczenie, honeypoty mogą być klasyfikowane jako:
- produkcyjne honeypoty
- badawcze honeypoty
Produkcyjne honeypoty są łatwe w użyciu, przechwytują tylko ograniczone informacje i są używane głównie przez korporacje. Produkcyjne honeypoty są umieszczane w sieci produkcyjnej wraz z innymi serwerami produkcyjnymi przez organizację w celu poprawy ogólnego stanu bezpieczeństwa. Zazwyczaj są to honeypoty o niskiej interakcji, które są łatwiejsze do wdrożenia. Dostarczają one mniej informacji o atakach i atakujących niż honeypoty badawcze.
Badawcze honeypoty są uruchamiane w celu zebrania informacji o motywach i taktyce działania społeczności black hat w różnych sieciach. Te honeypoty nie wnoszą bezpośredniej wartości do konkretnej organizacji, są natomiast wykorzystywane do badania zagrożeń, przed którymi stoją organizacje, oraz do nauki lepszej ochrony przed tymi zagrożeniami. Badawcze honeypoty są skomplikowane w implementacji i utrzymaniu, zbierają wiele informacji i są wykorzystywane głównie przez organizacje badawcze, wojskowe lub rządowe.
Na podstawie kryteriów projektowych honeypoty można sklasyfikować jako:
- pure honeypots
- high-interaction honeypots
- low-interaction honeypots
Pure honeypots to pełnoprawne systemy produkcyjne. Aktywność atakującego jest monitorowana za pomocą bug tapingu, który został zainstalowany na łączu honeypota do sieci. Nie ma potrzeby instalowania żadnego innego oprogramowania. Mimo że czysty honeypot jest użyteczny, to ukrywanie mechanizmów obronnych może być zapewnione przez bardziej kontrolowany mechanizm.
High-interaction honeypots imitują działania systemów produkcyjnych, które hostują różne usługi, a zatem atakujący może mieć do dyspozycji wiele usług, aby marnować swój czas. Dzięki zastosowaniu maszyn wirtualnych, na jednej maszynie fizycznej można hostować wiele honeypotów. Dzięki temu, nawet jeśli honeypot zostanie skompromitowany, można go szybciej przywrócić do działania. Ogólnie rzecz biorąc, honeypoty o wysokiej interakcji zapewniają większe bezpieczeństwo, ponieważ są trudne do wykrycia, ale ich utrzymanie jest kosztowne. Jeśli maszyny wirtualne nie są dostępne, dla każdego honeypota musi być utrzymywany jeden komputer fizyczny, co może być niebotycznie drogie. Przykład: Honeynet.
Mało-interaktywne honeypoty symulują tylko usługi często żądane przez atakujących. Ponieważ zużywają one stosunkowo niewiele zasobów, na jednym systemie fizycznym można z łatwością hostować wiele maszyn wirtualnych, systemy wirtualne mają krótki czas odpowiedzi i wymagają mniej kodu, co zmniejsza złożoność zabezpieczeń systemu wirtualnego. Przykład: Honeyd.
Technologia deceptionEdit
Ostatnio pojawił się nowy segment rynku zwany technologią deception, wykorzystujący podstawową technologię honeypot z dodatkiem zaawansowanej automatyzacji dla skali. Technologia deception dotyczy zautomatyzowanego rozmieszczania zasobów honeypotów w dużych przedsiębiorstwach komercyjnych lub instytucjach rządowych.
Malware honeypotsEdit
Malware honeypots są wykorzystywane do wykrywania złośliwego oprogramowania poprzez wykorzystanie znanych wektorów replikacji i ataku złośliwego oprogramowania. Wektory replikacji, takie jak dyski flash USB, można łatwo zweryfikować pod kątem dowodów modyfikacji, ręcznie lub za pomocą specjalnych honeypotów emulujących dyski. Złośliwe oprogramowanie jest coraz częściej wykorzystywane do poszukiwania i kradzieży kryptowalut.
Wersje spamuEdit
Spamerzy wykorzystują podatne na ataki zasoby, takie jak otwarte przekaźniki pocztowe i otwarte serwery proxy. Są to serwery, które przyjmują pocztę elektroniczną od każdego w Internecie – w tym od spamerów – i wysyłają ją do miejsca przeznaczenia. Niektórzy administratorzy systemów stworzyli programy honeypot, które maskują się jako te nadużywane zasoby, aby wykryć aktywność spamerów.
Istnienie takich fałszywych systemów utrudnia nadużycia lub czyni je bardziej ryzykownymi. Honeypoty mogą być skutecznym środkiem przeciwdziałania nadużyciom ze strony tych, którzy bazują na bardzo dużej ilości nadużyć (np. spamerów).
Te honeypoty mogą ujawnić adres IP nadużywającego i zapewnić przechwytywanie spamu masowego (co umożliwia operatorom określenie adresów URL spamerów i mechanizmów odpowiedzi). Jak opisuje to M. Edwards w ITPRo Today:
Typowo, spamerzy testują serwer pocztowy pod kątem otwartego przekaźnika, wysyłając sobie po prostu wiadomość e-mail. Jeśli spamer otrzyma wiadomość, oznacza to, że serwer pocztowy oczywiście zezwala na otwarte przekazywanie. Operatorzy honeypotów mogą jednak wykorzystać test przekaźnika do udaremnienia działań spamerów. Honeypot wyłapuje testową wiadomość e-mail, zwraca testową wiadomość e-mail, a następnie blokuje wszystkie inne wiadomości e-mail od tego spamera. Spamerzy nadal używają antyspamowego honeypota do rozsyłania spamu, ale spam nigdy nie jest dostarczany. W międzyczasie operator honeypota może powiadomić dostawców usług internetowych spamerów i doprowadzić do usunięcia ich kont internetowych. Jeżeli operator honeypota wykryje spamerów korzystających z otwartych serwerów proxy, może również powiadomić operatora serwera proxy, aby ten zablokował serwer w celu zapobieżenia dalszym nadużyciom.
Pozornym źródłem może być inny nadużywany system. Spamerzy i inni nadużywający mogą używać łańcucha takich nadużywanych systemów, aby utrudnić wykrycie pierwotnego punktu początkowego nadużywanego ruchu.
To samo w sobie świadczy o potędze honeypotów jako narzędzi antyspamowych. We wczesnym okresie istnienia antyspamowych honeypotów spamerzy, nie przejmując się zbytnio ukrywaniem swojej lokalizacji, czuli się bezpiecznie, testując luki w zabezpieczeniach i wysyłając spam bezpośrednio z własnych systemów. Honeypoty sprawiły, że nadużycia stały się bardziej ryzykowne i trudniejsze.
Spam nadal przepływa przez otwarte przekaźniki, jednak jego ilość jest znacznie mniejsza niż w latach 2001-02. Chociaż większość spamu pochodzi ze Stanów Zjednoczonych, spamerzy przeskakują przez otwarte przekaźniki ponad granicami politycznymi, aby zamaskować swoje pochodzenie. Operatorzy honeypotów mogą wykorzystywać przechwycone testy przekaźnikowe do rozpoznawania i udaremniania prób przesyłania spamu przez swoje honeypoty. „Udaremnić” może oznaczać „zaakceptować spam, ale odmówić jego dostarczenia”. Operatorzy honeypotów mogą odkryć inne szczegóły dotyczące spamu i spamera, badając przechwycone wiadomości spamowe.
Otwarte honeypoty przekaźnikowe obejmują Jackpot, napisany w Javie przez Jacka Cleavera; smtpot.py, napisany w Pythonie przez Karla A. Kruegera; oraz spamhole, napisany w C. The Bubblegum Proxypot jest otwartym honeypotem (lub „proxypotem”).
E-mail trapEdit
Adres e-mail, który nie jest używany w żadnym innym celu niż otrzymywanie spamu, może być również uznany za spam honeypot. W porównaniu z terminem „spamtrap”, termin „honeypot” może być bardziej odpowiedni dla systemów i technik, które są używane do wykrywania lub kontratakowania sond. W przypadku spamtrap, spam dociera do celu „legalnie” – dokładnie tak, jak dotarłby nie-spamowy e-mail.
Agregacją tych technik jest Project Honey Pot, rozproszony projekt open source, który wykorzystuje strony honeypot zainstalowane na stronach internetowych na całym świecie. Te strony honeypot rozpowszechniają unikalnie oznaczone adresy e-mail spamtrap, dzięki czemu spamerzy mogą zostać namierzeni – odpowiednia poczta spamowa jest następnie wysyłana na te adresy e-mail spamtrap.
Database honeypotEdit
Bazy danych są często atakowane przez intruzów przy użyciu SQL injection. Ponieważ takie działania nie są rozpoznawane przez podstawowe firewalle, firmy często wykorzystują do ochrony firewalle bazodanowe. Niektóre z dostępnych firewalli bazodanowych SQL zapewniają/wspierają architekturę honeypotów, dzięki czemu intruz działa przeciwko bazie danych-pułapce, podczas gdy aplikacja webowa pozostaje funkcjonalna.