In der Computerfachsprache ist ein honeypot ein Falle-Satz, um zu entdecken, abzuweichen, oder auf etwas Weise wirken Versuchen des unerlaubten Gebrauches von Informationssystemen entgegen. Allgemein besteht es aus einem Computer, Daten oder einer Netzseite, die scheint, ein Teil eines Netzes zu sein, aber wird wirklich isoliert und kontrolliert, und der scheint, Information oder eine Quelle des Werts Angreifern zu enthalten.

Typen

Honeypots kann gestützt auf ihrer Aufstellung klassifiziert werden und hat auf ihrem Niveau der Beteiligung gestützt.

Gestützt auf der Aufstellung kann honeypots als klassifiziert werden

1. Produktion honeypots
2. Forschung honeypots

Produktion honeypots ist leicht, nur beschränkte Information zu verwenden, zu gewinnen, und wird in erster Linie von Gesellschaften oder Vereinigungen verwendet; Produktion honeypots wird innerhalb des Produktionsnetzes mit anderen Produktionsservern von einer Organisation gelegt, um ihren gesamten Staat der Sicherheit zu verbessern. Normalerweise ist Produktion honeypots niedrige Wechselwirkung honeypots, die leichter sind sich aufzustellen. Sie geben weniger Information über die Angriffe oder Angreifer, als Forschung honeypots tut. Der Zweck einer Produktion honeypot ist zu helfen, Gefahr in einer Organisation zu lindern. Der honeypot fügt Wert zu den Sicherheitsmaßnahmen einer Organisation hinzu.

Forschung honeypots wird von einem Freiwilligen, gemeinnütziger Forschungsorganisation oder einer Bildungseinrichtung geführt, um Information über die Motive und Taktik der Gemeinschaft von Blackhat zu sammeln, die verschiedene Netze ins Visier nimmt. Diese honeypots fügen direkten Wert zu einer spezifischen Organisation nicht hinzu; statt dessen werden sie verwendet, um das Drohungsorganisationsgesicht zu erforschen und zu erfahren, wie man gegen jene Drohungen besser schützt. Forschung honeypots ist kompliziert, um umfassende Information einzusetzen und aufrechtzuerhalten, zu gewinnen, und wird in erster Linie durch die Forschung, das Militär oder die Regierungsorganisationen verwendet.

Gestützt auf Designkriterien kann honeypots als klassifiziert werden

1. reiner honeypots
2. hohe Wechselwirkung honeypots
3. niedrige Wechselwirkung honeypots

Reine honeypots sind flügge Produktionssysteme. Die Tätigkeiten des Angreifers werden mit einem zufälligen Klaps kontrolliert, der auf der Verbindung des honeypot zum Netz installiert worden ist. Keine andere Software muss installiert werden. Wenn auch ein reiner honeypot nützlich ist, können Heimlichkeiten der Abwehrmechanismen durch einen mehr kontrollierten Mechanismus gesichert werden.

Hohe Wechselwirkung honeypots imitiert die Tätigkeiten der echten Systeme, die eine Vielfalt von Dienstleistungen und deshalb veranstalten, können einem Angreifer viele Dienstleistungen erlaubt werden, seine Zeit zu vergeuden. Gemäß neuen Forschungen in der hohen Wechselwirkung honeypot Technologie, durch die Beschäftigung virtueller Maschinen, kann vielfacher honeypots auf einer einzelnen physischen Maschine veranstaltet werden. Deshalb, selbst wenn der honeypot in Verlegenheit gebracht wird, kann er schneller wieder hergestellt werden. Im Allgemeinen stellt hohe Wechselwirkung honeypots mehr Sicherheit zur Verfügung, indem sie schwierig gewesen wird zu entdecken, aber sie sind hoch teuer, um aufrechtzuerhalten. Wenn virtuelle Maschinen nicht verfügbar sind, muss ein honeypot für jeden physischen Computer aufrechterhalten werden, der maßlos teuer sein kann. Beispiel: Honeynet.

Niedrige Wechselwirkung honeypots täuscht nur die von Angreifern oft gebetenen Dienstleistungen vor. Da sie relativ wenige Mittel verbrauchen, können vielfache virtuelle Maschinen auf einem physischem System leicht veranstaltet werden, die virtuellen Systeme haben eine kurze Ansprechzeit, und weniger Code ist erforderlich, die Kompliziertheit der Sicherheit der virtuellen Systeme reduzierend. Beispiel: Honeyd.

Versionen von Spam

Spammers missbrauchen verwundbare Mittel wie offene Postrelais und offene Vertretungen. Einige Systemverwalter haben honeypot Programme dass Maskerade als diese abusable Mittel geschaffen, spammer Tätigkeit zu entdecken. Es gibt mehrere Fähigkeiten, die solche honeypots diesen Verwaltern zur Verfügung stellen und die Existenz solcher Fälschung abusable Systeme Missbrauch schwieriger oder unsicher macht. Honeypots kann eine starke Gegenmaßnahme sein, um von denjenigen zu missbrauchen, die sich auf den Missbrauch des sehr großen Volumens (z.B, spammers) verlassen.

Diese honeypots können die offenbare IP Adresse des Missbrauchs offenbaren und Hauptteil spam Festnahme zur Verfügung stellen (der Maschinenbedienern ermöglicht, die URL-ADRESSEN von spammer und Ansprechmechanismen zu bestimmen). Für das offene Relais honeypots ist es möglich, die E-Mail-Adressen ("dropboxes") spammers Gebrauch als Ziele für ihre Testnachrichten zu bestimmen, die das Werkzeug sind, das sie verwenden, um offene Relais zu entdecken. Es ist dann einfach, den spammer zu täuschen: Übersenden Sie jede illegale RelaisE-Mail erhalten gerichtet daran Dropbox-E-Mail-Adresse. Das sagt dem spammer, dass der honeypot ein echter abusable offenes Relais ist, und sie häufig antworten, indem sie große Mengen des Relais spam dazu honeypot senden, der es aufhört. Die offenbare Quelle kann ein anderes missbrauchtes System — spammers sein, und anderer abusers kann eine Kette von missbrauchten Systemen verwenden, um Entdeckung des ursprünglichen Startpunkts des Missbrauch-Verkehrs schwierig zu machen.

Das ist an sich für die Macht von honeypots als anti-spam Werkzeuge bezeichnend. In den frühen Tagen von anti-spam honeypots hat spammers, mit wenig Sorge, um ihre Position zu verbergen, sichere Prüfung für die Verwundbarkeit und das Senden spam direkt von ihren eigenen Systemen gefühlt. Honeypots hat den Missbrauch mehr unsicher und schwieriger gemacht.

Spam fließt noch durch offene Relais, aber das Volumen ist viel kleiner als 2001 bis 2002. Während der grösste Teil von spam in den Vereinigten Staaten, spammers Sprung durch offene Relais über politische Grenzen entsteht, um ihren Ursprung zu maskieren. Maschinenbediener von Honeypot können abgefangene Relaistests verwenden, um Versuche anzuerkennen und durchzukreuzen, spam durch ihren honeypots weiterzugeben. "Ruderbank" kann bedeuten "akzeptieren das Relais spam, aber lehnen ab, es zu liefern." Maschinenbediener von Honeypot können andere Details bezüglich des spam und des spammer entdecken, indem sie die gewonnenen spam Nachrichten untersuchen. (Jedoch hat sich offenes Relais spam bedeutsam geneigt.)

Offenes Relais honeypots schließt Hauptgewinn ein, der in Java, smtpot.py geschrieben ist, geschrieben in der Pythonschlange und spamhole, der in C geschrieben ist. Der Knallkaugummi Proxypot ist eine offene Vertretung honeypot (oder proxypot).

E-Mail-Falle

Eine E-Mail-Adresse, die zu keinem anderen Zweck verwendet wird als, spam zu erhalten, kann auch als ein spam honeypot betrachtet werden. Im Vergleich zum Begriff spamtrap könnte der Begriff "honeypot" für Systeme besser vorbestellt werden, und Techniken haben gepflegt, Angriffe und Untersuchungen zu entdecken oder zu entgegnen. Spam erreicht seinen Bestimmungsort "legitim" — genau, als non-spam E-Mail ankommen würde.

Ein Amalgam dieser Techniken ist Projekthonigtopf. Das verteilte, Projekt der offenen Quelle verwendet honeypot Seiten, die auf Websites um die Welt installiert sind. Diese honeypot Seiten teilen einzigartig markierte Spamtrap-E-Mail-Adressen aus. E-Mail-Adressernten und Spammers können dann verfolgt werden, wie sie sammeln und nachher an diese Spamtrap-E-Mail-Adressen senden.

Datenbank honeypot

Datenbanken werden häufig von Einbrechern angegriffen, die SQL Einspritzung verwenden. Weil solche Tätigkeiten durch grundlegende Brandmauern nicht anerkannt werden, verwenden Gesellschaften häufig Datenbankbrandmauern. Einige der verfügbaren SQL Datenbankbrandmauern stellen honeypot Architekturen zur Verfügung/unterstützen, um den gegen eine Falle-Datenbank geführten Einbrecher zu lassen, während die Webanwendung noch wie gewöhnlich läuft.

Entdeckung

Da honeypots Waffen gegen spammers sind, honeypot Entdeckungssysteme sind spammer-verwendete Gegenwaffen. Da Entdeckungssysteme wahrscheinlich einzigartige Eigenschaften von spezifischem honeypots verwenden würden, um sie zu identifizieren, macht sehr viel honeypots im Gebrauch den Satz von einzigartigen Eigenschaften größer und mehr Einschüchtern zu denjenigen, die suchen, sie zu entdecken und dadurch zu identifizieren. Das ist ein ungewöhnlicher Umstand in der Software: Eine Situation, in der "versionitis" (eine Vielzahl von Versionen derselben Software, das ganze Unterscheiden ein bisschen von einander) vorteilhaft sein kann. Es gibt auch einen Vorteil darin, einen easy-detect honeypots aufmarschiert zu haben. Fred Cohen, der Erfinder des Betrug-Werkzeuges, behauptet sogar, dass jedes System, das seinen honeypot führt, einen Betrug-Hafen haben sollte, den Gegner verwenden können, um den honeypot zu entdecken. Cohen glaubt, dass das Gegner abschrecken könnte.

Honeynets

Zwei oder mehr honeypots in einem Netz bilden einen honeynet. Gewöhnlich wird ein honeynet verwendet, für ein größeres und/oder verschiedeneres Netz zu kontrollieren, in dem honeypot nicht genügend sein kann. Honeynets und honeypots werden gewöhnlich als Teile von größeren Netzeindringen-Entdeckungssystemen durchgeführt. Ein honeyfarm ist eine zentralisierte Sammlung von honeypots und Analyse-Werkzeugen.

Das Konzept des honeynet hat zuerst 1999 begonnen, als Lance Spitzner, Gründer des Honeynet-Projektes, das Papier veröffentlicht hat, "Um Honeypot Zu bauen":

:A honeynet ist ein Netz der hohen Wechselwirkung honeypots, der ein Produktionsnetz vortäuscht und solch konfiguriert hat, dass die ganze Tätigkeit, registrierte und in einem Grad, diskret geregelt kontrolliert wird.

Siehe auch

• Netzfernrohr
• Honeytoken
• HoneyMonkey
• Kunde honeypot
• Tarpit, der (vernetzt)
• Honeypot und forensisches Analyse-Werkzeug
• Hellgelbe Falle
• Pseudoserver

Verweisungen und Zeichen

Weiterführende Literatur

Außenverbindungen

• Honeypots verteiltes offenes Proxyprojekt: WASC
• OHNE Institut: Was ist ein Honigtopf?
• NIPPEN von Simwood eSMS Honeypot Projekt
• PodCast - Episode #2: "HoneyMonkeys" von der Sicherheit jetzt!