Honeypots podem ser classificados com base na sua implantação (utilização/acção) e com base no seu nível de envolvimento. Com base na implantação, os honeypots podem ser classificados como:
- honeypots de produção
- honeypots de investigação
honeypots de produção são fáceis de utilizar, captam apenas informação limitada, e são utilizados principalmente por empresas. Os honeypots de produção são colocados dentro da rede de produção com outros servidores de produção por uma organização para melhorar o seu estado geral de segurança. Normalmente, os honeypots de produção são honeypots de baixa interacção, que são mais fáceis de implantar. Dão menos informação sobre os ataques ou atacantes do que os honeypots de investigação.
P>Pesquisar honeypots são executados para recolher informação sobre os motivos e tácticas da comunidade de honeypots negros que visam diferentes redes. Estes honeypots não acrescentam valor directo a uma organização específica; em vez disso, são utilizados para investigar as ameaças que as organizações enfrentam e para aprender como melhor proteger contra essas ameaças. Os honeypots de investigação são complexos de implantar e manter, captam informação extensiva, e são utilizados principalmente por organizações de investigação, militares, ou governamentais.
Baseados em critérios de concepção, os honeypots podem ser classificados como:
- honeypots puros
- honeypots de alta-interacção
- honeypots de baixa-interacção
honeypots puros são sistemas de produção de pleno direito. As actividades do atacante são monitorizadas através de uma torneira de escuta que foi instalada na ligação do honeypot à rede. Nenhum outro software precisa de ser instalado. Mesmo que um honeypot puro seja útil, a furtividade dos mecanismos de defesa pode ser assegurada por um mecanismo mais controlado.
C honeypots de alta interacção imitam as actividades dos sistemas de produção que albergam uma variedade de serviços e, por conseguinte, um atacante pode ser autorizado a desperdiçar o seu tempo com uma série de serviços. Empregando máquinas virtuais, vários honeypots podem ser alojados numa única máquina física. Portanto, mesmo que o honeypot seja comprometido, pode ser restaurado mais rapidamente. Em geral, os honeypots de alta interacção proporcionam mais segurança por serem difíceis de detectar, mas a sua manutenção é dispendiosa. Se as máquinas virtuais não estiverem disponíveis, deve ser mantido um computador físico para cada ninho de mel, que pode ser exorbitantemente caro. Exemplo: Honeynet.
Baixas de mel de baixa interacção simulam apenas os serviços frequentemente solicitados pelos atacantes. Uma vez que consomem relativamente poucos recursos, várias máquinas virtuais podem facilmente ser alojadas num sistema físico, os sistemas virtuais têm um tempo de resposta curto, e é necessário menos código, reduzindo a complexidade da segurança do sistema virtual. Exemplo: Honeyd.
Tecnologia de enganoEdit
Recentemente, surgiu um novo segmento de mercado chamado tecnologia de engano, utilizando tecnologia básica de honeypot com a adição de automação avançada para escala. A tecnologia de engano aborda a distribuição automatizada de recursos de honeypot sobre uma grande empresa comercial ou instituição governamental.
Malware honeypotsEdit
Malware honeypots são utilizados para detectar malware explorando a replicação conhecida e atacar vectores de malware. Os vectores de replicação, tais como unidades flash USB, podem ser facilmente verificados para a comprovação de modificações, quer através de meios manuais, quer utilizando honeypots de propósito especial que emulam unidades. O malware é cada vez mais utilizado para procurar e roubar moedas criptográficas.
Versões SpamEdit
Spammers abusam de recursos vulneráveis, tais como retransmissores de correio aberto e proxies abertos. Estes são servidores que aceitam correio electrónico de qualquer pessoa na Internet – incluindo os spammers – e o enviam para o seu destino. Alguns administradores de sistemas criaram programas de honeypot que se disfarçam como estes recursos abusivos para descobrir a actividade de spammer.
Existem várias capacidades que tais honeypots fornecem a estes administradores, e a existência de tais sistemas abusivos falsos torna o abuso mais difícil ou arriscado. Os honeypots podem ser uma contra-medida poderosa para o abuso por parte daqueles que dependem de um volume muito elevado de abuso (por exemplo, os autores de spam).
Estes honeypots podem revelar o endereço IP do abusador e fornecer captura de spam em massa (o que permite aos operadores determinar os URLs dos autores de spam e os mecanismos de resposta). Como descrito por M. Edwards na ITPRo Today:
Tipicamente, os spammers testam um servidor de correio electrónico para retransmissão aberta simplesmente enviando a si próprios uma mensagem de correio electrónico. Se o spammer receber a mensagem de correio electrónico, o servidor de correio electrónico permite obviamente a retransmissão aberta. Os operadores de honeypot, contudo, podem utilizar o teste de retransmissão para impedir os remetentes de spam. O honeypot captura a mensagem de correio electrónico de teste de retransmissão, devolve a mensagem de correio electrónico de teste, e subsequentemente bloqueia todas as outras mensagens de correio electrónico desse remetente de spam. Os spammers continuam a utilizar o honeypot antispam para o envio de spam, mas o spam nunca é entregue. Entretanto, o operador do honeypot pode notificar os ISPs dos spammers e ter as suas contas de Internet canceladas. Se os operadores de honeypot detectarem os spammers que utilizam servidores proxy abertos, podem também notificar o operador do servidor proxy para bloquear o servidor para evitar mais abusos.
A fonte aparente pode ser outro sistema abusado. Os spammers e outros abusadores podem utilizar uma cadeia de tais sistemas abusados para dificultar a detecção do ponto de partida original do tráfego abusivo.
Isto em si mesmo é indicativo do poder dos honeypots como ferramentas anti-spam. Nos primeiros tempos dos honeypots anti-spam, os autores de spam, com pouca preocupação em esconder a sua localização, sentiam-se seguros para testar vulnerabilidades e enviar spam directamente dos seus próprios sistemas. Os honeypots tornavam o abuso mais arriscado e mais difícil.
Spam ainda flui através de relés abertos, mas o volume é muito menor do que em 2001-02. Enquanto a maioria do spam tem origem nos EUA, os spammers saltam através de retransmissores abertos através de fronteiras políticas para mascarar a sua origem. Os operadores de honeypot podem utilizar testes de retransmissão interceptados para reconhecer e impedir tentativas de retransmissão de spam através dos seus honeypots. “Thwart” pode significar “aceitar a retransmissão de spam, mas recusar-se a entregá-lo”. Os operadores de honeypots podem descobrir outros detalhes relativos ao spam e ao spammer examinando as mensagens de spam capturadas.
Abrir honeypots de retransmissão incluem Jackpot, escrito em Java por Jack Cleaver; smtpot.py, escrito em Python por Karl A. Krueger; e spamhole, escrito em C. O Bubblegum Proxypot é um honeypot de fonte aberta (ou “proxypot”).
Email trapEdit
div>Artigo principal: Spamtrap
Um endereço de e-mail que não é usado para qualquer outro fim que não seja receber spam também pode ser considerado um honeypot de spam. Em comparação com o termo “spamtrap”, o termo “honeypot” pode ser mais adequado para sistemas e técnicas que são usados para detectar ou contra-atacar sondas. Com uma armadilha de spam, o spam chega ao seu destino “legitimamente” – exactamente como o e-mail não spam chegaria.
Uma amálgama destas técnicas é o Projecto Pote de Mel, um projecto distribuído e de código aberto que utiliza páginas de honeypot instaladas em websites de todo o mundo. Estas páginas de honeypot divulgam endereços de correio electrónico com etiquetas únicas e os spammers podem então ser rastreados – o correio electrónico de spam correspondente é subsequentemente enviado para estes endereços de correio electrónico de spamtrap.
Base de dados honeypotEdit
Bases de dados são frequentemente atacadas por intrusos usando injecção SQL. Como tais actividades não são reconhecidas por firewalls básicos, as empresas utilizam frequentemente firewalls de bases de dados para protecção. Algumas das firewalls de base de dados SQL disponíveis fornecem/apoiam arquitecturas de honeypot para que o intruso corra contra uma base de dados de armadilhas enquanto a aplicação web permanece funcional.