Honeypot

Een honeypot is een bewust kwetsbaar opgezet lokaas-systeem. Het heeft geen productiefunctie, dus élke verbinding ernaartoe is per definitie verdacht — dat maakt het een detectiemiddel zonder valse meldingen.

Waarvoor

  • Detectie — een aanvaller die intern rondsnuffelt raakt vroeg of laat de honeypot en verraadt zich
  • Vertraging en afleiding — tijd die de aanvaller in het lokaas steekt, gaat niet naar echte systemen
  • Onderzoek — vastleggen welke technieken, wachtwoorden en malware aanvallers gebruiken

Soorten

TypeKenmerk
Low-interactionSimuleert alleen diensten (open SSH-poort die logins logt); veilig en licht
High-interactionEen echt systeem dat volledig te compromitteren is; leerzaam maar riskant
HoneynetEen heel netwerk van honeypots
HoneytokenGeen systeem maar lokaas-data: een nep-wachtwoord of API-sleutel die alarm slaat bij gebruik

Aandachtspunt

Een high-interaction honeypot moet strikt geïsoleerd zijn van het productienetwerk — anders geef je de aanvaller juist een springplank. Meldingen horen thuis in de centrale monitoring of SIEM.

Zie ook

  • ids-ips — detectie op netwerkverkeer
  • siem — waar honeypot-alarmen samenkomen
  • hacker — wie je ermee betrapt
  • fail2ban — reageren op de gedetecteerde pogingen
beveiliging