Honeypot

1. Назначение honeypot

Honeypot не решает определенные задачи, а является инструментом, который вносит свой вклад в полную архитектуру безопасности. Средства Honeypot имеют определенные преимущества и недостатки, которые затрагивают их значение.

2. Преимущества

· сбор содержательной информации;

Средства Honeypot собирают очень небольшое количество данных, но то, что они действительно собирают, имеет обычно высокое значение. Вместо того чтобы регистрировать гигабайты данных каждый день, большинство Honeypot собирает несколько мегабайт данных в день, или даже меньше. Но данные, которые были зарегистрированы, наиболее вероятно являются сканированием, исследованием или атакой – то есть информацией, имеющей высокое значение.

· нетребовательность к системным ресурсам;

Honeypot только фиксирует действия, направленные на него самого, таким образом, система не “переполняется” трафиком. Там, где система обнаружения вторжений может терпеть неудачу из-за нехватки ресурсов, Honeypot вряд ли будет иметь данную проблему.

· простота установки, конфигурирования и эксплуатации;

Нет никаких причудливых алгоритмов для развертывания Honeypot. Требуется лишь установить данное средство в организации и ждать результатов.

· наглядность необходимости использования.

средства Honeypot быстро и неоднократно демонстрируют свое значение. Всякий раз, когда они подвергаются нападению, так или иначе, подтверждается наличие злоумышленников, фиксируя несанкционированную деятельность.

3. Недостатки

· ограниченная область видения;

Honeypot осуществляют мониторинг деятельности, которая направлена против них. Если действия атакующего направлены на различные подсистемы сети, то Honeypot не будет обнаруживать данную деятельность.

· возможность раскрытия Honeypot;

Злоумышленник, идентифицировавший Honeypot, начинает с ним взаимодействовать и, таким образом, ложно приводит администраторов в готовность. Тем временем, злоумышленник может сосредоточиться на реальных нападениях.

· риск взлома Honeypot и атаки узлов посторонних организаций.

Под риском подразумевается, что Honeypot, на который нападают, может использоваться, чтобы напасть или повредить другим системам или организациям. Чем проще Honeypot, тем меньше риск.