In questo video, viene illustrato il suo semplice funzionamento, mentre viene interrogato da una scansione di rete con Nmap.
Gli honeypots, letteralmente "barattoli di miele" servono per mettersi in ascolto nella rete, simulano servizi attraverso l'utilizzo delle porte di comunicazione.
Ne esistono di varie tipologie e con diversi gradi di interattività, HoneyBOT per esempio è un honeypot software di media interazione per Windows. Il grado di interazione del prodotto incide anche sulla destinazione d'uso.
In line di massima possiamo dire che meno l'honeypot scelto è interattivo, meno dati raccoglie, in compenso è più stabile agli attacchi.
Il loro compito è di raccogliere informazioni, e se configurati, di lanciare allarmi pre-determinati nel momento in cui si genera traffico nei loro confronti.
Fungono da "trappole", le comunicazioni create possono essere analizzate attraverso i log, per capire se è stata ad esempio lanciata una attività di scanning e raccolta di informazioni, sui servizi o sugli host di una rete. Oppure per rilevare un vero e proprio attacco, fungendo anche da bersaglio, in modo da preservare dagli attacchi, sistemi e segmenti di rete più importanti.
Possono anche servire per esempio, per identificare comportamenti anomali di software e applicazioni.
Rappresentano una delle tante soluzioni, utilizzate per controllare, analizzare e proteggere le reti.
Vengono implementati a livello software, installati nei sistemi operativi, oppure possono essere costituiti da uno o più server, chiamati a dialogare tra di loro, scambiando dati, simulando quindi in manierà più reale rispetto a quelli software, il funzionamento di server e servizi nella rete.
Gli honeypots quindi, diventano efficaci tanto più quanto riescono a simulare, in maniera reale, il funzionamento di host operativi nella rete.
Andrea Guzzo
