1. Honeypot
Um honeypot é um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido [2].
Existem dois tipos de honeypots: os de baixa interatividade e os de alta interatividade.
1.1. Honeypots de baixa interatividade Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.
1.2. Honeypots de alta interatividade Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais.
Exemplos de honeypots de alta interatividade são as honeynets [6,7] e as honeynets virtuais [8].
Abrangência
Um honeypot/honeynet traz como grande vantagem o fato de ser implementado de forma que todo o tráfego destinado a ele é, por definição, anômalo ou malicioso. Portanto é, em teoria, uma ferramenta de segurança isenta de falso-positivos, que fornece informações de alto valor e em um volume bem menor do que outras ferramentas de segurança, como por exemplo um IDS.
A grande desvantagem é que, diferente de um IDS de rede, por exemplo, um honeypot/honeynet só é capaz de observar o tráfego destinado a ele, além de poder introduzir um risco adicional para a instituição.
É importante ressaltar que honeypots/honeynets devem ser utilizados como um complemento para a segurança da rede de uma instituição e não devem ser encarados como substitutos para:
- boas práticas de segurança;
- políticas de segurança;
- sistemas de gerenciamento de correções de segurança (patches);
- outras ferramentas de segurança, como firewall e IDS.
Fonte: CERT.br