Vad är en honeypot?
En honungskruka/honeypot är en dator som avsiktligt har satts upp som en fälla för att locka angripare in i vissa situationer. En honungskruka kan ställas in så att den ser ut som ett riktigt datorsystem från utsidan (teoretiskt sett kan detta vara vilken dator som helst), men internt är den riggad för att vara helt falsk.
Syftet med en honungskruka är att fälla angripare och sedan, när de har gått in i honungskrukans fälla och tittar sig omkring, observera deras beteende och lära sig så mycket som möjligt om deras metoder.
Honeypots kan användas för att testa säkerhetspolicyer, upptäcka och förhindra attacker eller för att hjälpa till att identifiera angripare genom att samla bevis.
Hur fungerar Honeypots?
Honeypots är falska system. De är skapade för att se ut som riktiga datorer på utsidan, men på insidan är de helt tomma och falska. Tanken är att om någon skulle försöka bryta sig in i honungskrukan, skulle de bli ”fångade” i det falska datorsystemet – utan någon väg ut.
När någon försöker bryta sig in i en honungskruka är själva datorn inte i fara. Honungskrukan är inställd för att vara en egen oberoende dator med sin egen IP-adress och nätverk. Honungskrukan kan dock bara kommunicera med andra datorer på en begränsad uppsättning portar.
På så sätt, om angriparen på något sätt bryter sig in i datorn och försöker kommunicera med andra datorer i nätverket, kommer honungspotten att kunna se vilken port han försöker använda och sedan ”blockera” den porten från att användas på resten av nätverk.
Vad används honeypots för?
Honeypots kan användas för att testa säkerhetspolicyer och upptäcka och förhindra attacker. De kan också användas för att identifiera angripare genom att samla in bevis som kan användas för att identifiera, åtala eller till och med identifiera och stämma en angripare.
Olika typer av honeypots
Honeynet – Ett honeynet är ett nätverk av datorer som är inrättat för att upptäcka och blockera obehörig användning och attacker. Datorerna är ”honeyneted” tillsammans så att de bildar ett nätverk med en IP-adress. Tanken är att en hackare kan bryta sig in i en honeynet-dator och försöka ta sig till andra datorer i nätverket, men honeynet kommer att upptäcka försöket och hindra hackaren från att kunna använda den porten på andra datorer i nätverket.
- Ett honeynet är ett nätverk av datorer som är inrättat för att upptäcka och blockera obehörig användning och attacker. Datorerna är ”honeyneted” tillsammans så att de bildar ett nätverk med en IP-adress. Tanken är att en hackare kan bryta sig in i en honeynet-dator och försöka ta sig till andra datorer i nätverket, men honeynet kommer att upptäcka försöket och stoppa hackaren från att kunna använda den porten på andra datorer i nätverket.
- Honungsfälla – En honungsfälla är en kedja av honungskrukor som används för upptäckt. Varje honungskruka är inställd för att upptäcka och ”blockera” alla försök från en angripare att bryta sig in i den. Den honungsfångade datorn rapporterar inbrottsförsöket till den första honeypot, som sedan ”blockerar” alla försök till anslutning till andra datorer i det nätverket.
Fördelar med honungskrukor/honeypots
Honeypots kan vara ett mycket kostnadseffektivt sätt att testa säkerhetspolicyer, upptäcka och förhindra attacker och hjälpa till att identifiera angripare genom att samla bevis.
Honeypots kan vara särskilt användbara för att testa nya säkerhetspolicyer genom att simulera verkliga situationer. Till exempel kan ett företag vilja testa sina policyer för att se om anställda följer reglerna för att inte komma åt arbetsdatorer för personligt bruk.
Teoretiskt sett kan alla attacker som kan utföras på en riktig dator också utföras på en honeypot. Det är dock mycket lättare att upptäcka en attack från en honeypot än från en riktig dator. Dessutom kan bevis som kan samlas in från en honungskruka inte samlas in från riktiga datorer.
Risker med honungskrukor/honeypots
Honeypots kan vara frestande för organisationer som har haft illvilliga användare som försöker bryta sig in, men som inte har kunnat fånga dem. Men om honungskrukan fångar angriparen kan de stämmas på skadestånd eller till och med anklagas för ett brott.
Honeypots kan användas av angripare för att försöka bryta sig in i dem. De kan försöka bryta sig in i honungskrukan, ta reda på vilken typ av säkerhet den använder och sedan försöka bryta sig in i den riktiga datorn med den informationen.
Honeypot-användare måste också vara försiktiga. Om de försöker ”fälla” en hackare i honungskrukan kan de bli stämd eller åtalad för ett brott.
Vad är ett honungsnät/honeynet?
Ett honeynet är ett nätverk av datorer som är inrättat för att upptäcka och blockera obehörig användning och attacker. Datorerna är ”honeyneted” tillsammans så att de bildar ett nätverk med en IP-adress. Tanken är att en hackare kan bryta sig in i en honeynet-dator och försöka ta sig till andra datorer i nätverket, men honeynet kommer att upptäcka försöket och stoppa hackaren från att kunna använda den porten på andra datorer i nätverket.
Honeynet-datorer är avsiktligt inställda för att se ut precis som riktiga datorer. Den enda skillnaden är att de använder en speciell adress (som ”192.168.0.2”) som normalt inte används av några andra enheter i nätverket. Tanken är att en hackare ska försöka ta sig in i nätverket med en normal adress, men om hackaren försöker bryta sig in i honeynet-datorn kommer den inte att låta honom använda den porten på några andra datorer i nätverket.
När används honeynett istället för honeypot?
Honeynet och honeypot hänvisar båda till samma koncept – en dator (eller en uppsättning datorer) inställd för att fånga, eller ”blockera”, försök från hackare att bryta sig in i andra datorer i nätverket.
Men honungsnät är den vanligaste termen och används omväxlande med honungskruka.
