Lance Spitzner, fundador del Proyecto Honeynet, una organización internacional de investigación de tecnología de honeypot, dio una definición autorizada de un honeypot: un honeypot es un recurso de seguridad cuyo valor radica en ser escaneado, atacado y comprometido. Los Honeypots no brindan ningún servicio a usuarios externos. Todo el tráfico de red que entra y sale de los Honeypots es ilegal y puede indicar un escaneo y un ataque. El valor principal de los Honeypots es monitorear, detectar y analizar estas actividades ilegales.
Los Honeypots se utilizan para atraer intrusos con el fin de comprender estos ataques. Un honeypot parece un servidor o un host de computadora que tiene una o más vulnerabilidades que pueden ser explotadas por un atacante. Son simplemente un sistema operativo instalado por defecto lleno de vulnerabilidades y posibilidad de verse comprometido.
Los objetivos y funciones de los honeypots
La tecnología Honeypot es poderosa y flexible. No solo puede identificar ataques a hosts en la red, sino también monitorear y registrar cómo se llevan a cabo los ataques. Los Honeypots pueden funcionar junto con los IDS de detección de intrusiones. En comparación con los IDS, los Honeypots tienen una tasa de falsos positivos más baja. Esto se debe a que el honeypot no proporciona ningún servicio de red ni tiene usuarios legítimos, pero no es un dispositivo inactivo en la red. Por lo tanto, cualquier tráfico de red hacia o desde el honeypot puede ser sospechoso y una señal de que la red está bajo ataque.
El objetivo principal de un honeypot es tolerar que los intrusos se ataquen a sí mismos y registrar y recopilar información de comportamiento, como las herramientas, métodos, motivaciones y propósitos de ataque del intruso durante el ataque. Especialmente cuando los intrusos utilizan nuevos comportamientos de ataque desconocidos, esta información se puede recopilar para ajustar las políticas de seguridad de la red en función de ellos y mejorar el rendimiento de la seguridad del sistema. Al mismo tiempo, los honeypots también tienen la función de desviar la atención de los atacantes, consumir sus recursos y voluntad de ataque y proteger indirectamente el sistema objetivo real.
Clasificación de los honeypots
Los Honeypots pueden ejecutar cualquier sistema operativo y cualquier cantidad de servicios. Los Honeypots se pueden dividir en Honeypots de alta interacción y Honeypots de baja interacción según el nivel de interacción (Nivel
deInvolucración). El grado de interacción del honeypot se refiere al grado de interacción entre el atacante y el honeypot. Los honeypots de alta interacción proporcionan al intruso un sistema interactivo real.
Por el contrario, los honeypots de baja interacción solo pueden simular parte de la funcionalidad del sistema. Los honeypots de alta interacción pueden verse completamente comprometidos al igual que los sistemas reales, lo que permite a los intrusos obtener acceso completo al sistema y utilizarlos como trampolín para realizar más ataques cibernéticos. Por el contrario, los honeypots de baja interacción sólo pueden simular algunos servicios, puertos y respuestas, y los intrusos no pueden obtener acceso completo atacando estos servicios.
En términos de métodos de implementación, los honeypots se pueden dividir en honeypots físicos y honeypots virtuales. Un honeypot físico es una computadora real y completa en la red, un honeypot virtual es un sistema simulado por una computadora, pero responde al tráfico de red enviado al honeypot virtual.