Classificação de Honeypots

Os honeypots podem ser divididos quanto à implementação em reais e virtuais.

 Honeypots virtuais são softwares que emulam serviços, servidores e tráfego de

rede.Estes softwares são configurados para abrirem portas de conexão e
responderem aquisições externas. O grau de resposta varia de software para
software.
 Honeypots reais são implementações de sistemas operacionais e serviços
válidos,sobre os quais são implementadas modificações que aprimoram o nível
de geração de alertas e históricos de registros do sistema.

Abrangência

Um honeypot traz como grande vantagem o fato de ser implementado de forma que todo
o tráfego destinado a ele é, por definição, anômalo ou malicioso. Portanto é, em teoria,
uma ferramenta de segurança isenta de falso-positivos, que fornece informações de alto
valor e em um volume bem menor do que outras ferramentas de segurança, como por
exemplo um IDS.

A grande desvantagem é que, diferente de um IDS de rede, por exemplo, um honeypot

só é capaz de observar o tráfego destinado a ele, além de poder introduzir um risco
adicional para a instituição.

Aplicabilidade

O valor dos honeypots baseia-se no fato de que tudo o que é observado é suspeito e
potencialmente malicioso, e sua aplicação depende do tipo de resultado que se quer
alcançar.

Honeypots de baixa interatividade oferecem baixo risco de comprometimento e são

indicados para redes de produção, quando não há pessoal e/ou hardware disponível para
manter uma honeynet, ou quando o risco de um honeypot de alta interatividade não é
aceitável.

Normalmente, o uso de honeypots de baixa interatividade também está associado aos

seguintes objetivos:

 detectar ataques internos;

 identificar varreduras e ataques automatizados;
 identificar tendências;
 manter atacantes afastados de sistemas importantes;
 coletar assinaturas de ataques;
 detectar máquinas comprometidas ou com problemas de configuração;
 coletar código malicioso (malware).

Já honeypots de alta interatividade são indicados para redes de pesquisa. Podem ser
utilizados para os mesmos propósitos que os honeypots de baixa interatividade, mas
introduzem um alto risco para instituição, e são justificáveis quando o objetivo é estudar
o comportamento dos invasores, suas motivações, além de analisar detalhadamente as
ferramentas utilizadas e vulnerabilidades exploradas.

Vantagens e Desvantagens de uma Honeypot

Os Honeypots podem ser vistos como um recurso que não tem valor de produção,
afinal não existe razão legítima para alguém fora da rede interagir com ele. Assim,
qualquer tentativa de se comunicar com o sistema é uma sondagem, varredura ou ataque
de estranhos. Inversamente, se o sistema inicia conexões fora de sua faixa de atuação, é
bem provável que o sistema esteja comprometido.

O Honeypot aprimora a detecção ao reduzir o número de falsos positivos, pois as

tecnologias tradicionais sobrecarregam o trabalho dos administradores gerando muita
informação falsa, ou seja, os analistas gastam tempo valioso analisando informação que
pode ser um simples trafego normal da rede. Um IDS, por exemplo, pode gerar mais de
10 mil alertas por dia.

Além das informações normais como captura de informação de cabeçalho IP, o que
ajuda a determinar de onde o ataque está vindo, quais portas foram usadas e quando a
atividade ocorreu, os Honeypots também coletam informações sobre a identidade dos
atacantes, a língua que eles falam, quais ferramentas utilizaram, como as desenvolveram
e a motivação para o ataque.

Outra grande vantagem do Honeypot é que, como ele não é um sistema que faz parte da
produção, pode ser retirado da rede a qualquer momento para análise dos dados, ou por
motivo de ter sido comprometido, e ser recolocado sem que haja prejuízo para os
sistemas de produção.

Como ele é um sistema isolado, instalado em um computador, ele tem sua capacidade
relativamente limitada, pois não consegue captura dados de um ataque ao seu servidor
Web, por exemplo, nem detectam se existem funcionários que estão roubando arquivos
de sistemas confidenciais, enxergando apenas o que cruza o seu caminho. O Honeypot é
uma ferramenta com a qual os atacantes podem interagir, o que é algo extremamente
arriscado se mal implementado, por isso ele deve atuar como um complemento a outras
soluções existentes, e não como uma ferramenta substituta.