هانی پات ها یک تکنولوژی تقریبا جدید و شدیدا پویا هستند. همین ماهیت پویا باعث میشود که به راحتی نتوان آنها را تعریف کرد. Honeypot ها به خودی خود یک راه حل به شمار نرفته و هیچ مشکل امنیتی خاصی را حل نمیکنند، بلکه ابزارهای بسیار انعطاف پذیری هستند که کارهای مختلفی برای امنیت اطلاعات انجام میدهند.
این تکنولوژی با تکنولوژهای مانند فایروالها و سیستمهای تشخیص نفوذ (IDS) متفاوت است، چرا که این تکنولوژیها مسائل امنیتی خاصی را حل کرده و به همین دلیل راحتتر تعریف میشوند. فایروالها یک تکنولوژی پیشگیرانه به شمار می آیند، آنها از ورود مهاجمان به شبکه یا سیستم کامپیوتر جلوگیری میکنند. IDS ها یک تکنولوژی تشخیصی هستند. هدف آنها این است که فعالیتهای غیر مجاز یا خرابکارانه را شناسایی کرده و درباره آنها به متخصصان امنیت هشدار دهند. تعریف Honeypot ها کار سخت تری است، چرا که آنها ممکن است در پیشگیری، تشخیص، جمع آوری اطلاعات، و کارهای دیگری مورد استفاده قرار گیرند. شاید بتوان یک Honeypot را به این صورت تعریف کرد:
«Honeypot یک سیستم اطلاعاتی است که ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.»
این تعریف به وسیله اعضای لیست ایمیل Honeypot انجام شده است. لیست ایمیل Honeypot یک فروم متشکل از بیش از ۵۰۰۰ متخصص امنیت است. از آنجاییکه Honeypot ها در اشکال و اندازه های مختلفی وجود دارند، ارائه تعریف جامعی از آن کار بسیار سختی است. تعریف یک Honeypot نشان دهنده نحوه کار آن و یا حتی هدف آن نیست. این تعریف صرفا ناظر به نحوه ارزش گذاری یک Honeypot است. به عبارت ساده تر، Honeypot ها یک تکنولوژی هستند که ارزش آنها به تعامل مجرمان با آنها بستگی دارد. تمامی Honeypot ها بر اساس یک ایده کار میکنند: هیچکس نباید از آنها استفاده کند و یا با آنها تعامل برقرار نماید، هر تعاملی با Honeypot غیر مجاز شمرده شده و نشانه ای از یک حرکت خرابکارانه به شمار میرود.
یک Honeypot سیستمی است که در شبکه سازمان قرار میگیرد، اما برای کاربران آن شبکه هیچ کاربردی ندارد و در حقیقت هیچ یک از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یک سری ضعفهای امنیتی است. از آنجاییکه مهاجمان برای نفوذ به یک شبکه همیشه به دنبال سیستمهای دارای ضعف میگردند، این سیستم توجه آنها را به خود جلب میکند. و با توجه به اینکه هیچکس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یک تلاش خرابکارانه از سوی مهاجمان محسوب میشود. در حقیقت این سیستم نوعی دام است که مهاجمان را فریب داده و به سوی خود جلب میکند و به این ترتیب علاوه بر امکان نظارت و کنترل کار مهاجمان، این فرصت را نیز به سازمان میدهد که فرد مهاجم را از سیستمهای اصلی شبکه خود دور نگه دارند.
یک Honeypot هیچ سرویس واقعی ارائه نمیدهد. هر تعاملی که انجام گیرد، هر تلاشی که برای ورود به این سیستم صورت گیرد، یا هر فایل داده ای که روی یک Honeypot مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از یک فعالیت خرابکارانه و غیر مجاز است. برای مثال، یک سیستم Honeypot میتواند روی یک شبکه داخلی به کار گرفته شود. این Honeypot از هیچ ارزش خاصی برخوردار نیست و هیچکس در درون سازمان نیازی به استفاده از آن نداشته و نباید از آن استفاده کند. این سیستم میتواند به ظاهر یک فایل سرور، یک وب سرور، یا حتی یک ایستگاه کاری معمولی باشد. اگر کسی با این سیستم ارتباط برقرار نماید، با احتمال زیاد در حال انجام یک فعالیت غیر مجاز یا خرابکارانه است.
در حقیقت، یک Honeypot حتی لازم نیست که حتما یک کامپیوتر باشد. این سیستم میتواند هر نوع نهاد دیجیتالی باشد (معمولا از آن به Honeytoken یاد میشود) که هیچ ارزش واقعی ندارد. برای مثال، یک بیمارستان میتواند یک مجموعه نادرست از رکوردهای اطلاعاتی بیماران ایجاد نماید. از آنجاییکه این رکوردها Honeypot هستند، هیچکس نباید به آنها دسترسی پیدا کرده یا با آنها تعامل برقرار کند. این رکوردها میتوانند در داخل پایگاه داده بیماران این بیمارستان به عنوان یک جزء Honeypot قرار گیرند. اگر یک کارمند یا یک فرد مهاجم برای دسترسی به این رکوردها تلاش نماید، میتواند به عنوان نشانه ای از یک فعالیت غیر مجاز به شمار رود، چرا که هیچکس نباید از این رکوردها استفاده کند. اگر شخصی یا چیزی به این رکوردها دسترسی پیدا کند، یک پیغام هشدار صادر میشود. این ایده ساده پشت Honeypot هاست که آنها را ارزشمند میکند.
دو یا چند Honeypot که در یک شبکه قرار گرفته باشند، یک Honeynet را تشکیل میدهند. نوعا در شبکه های بزرگتر و متنوعتر که یک Honeypot به تنهایی برای نظارت بر شبکه کافی نیست، از Honeynet استفاده میکنند. Honeynet ها معمولا به عنوان بخشی از یک سیستم بزرگ تشخیص نفوذ پیاده سازی میشوند. در حقیقت Honeynet یک شبکه از Honeypot های با تعامل بالاست که طوری تنظیم شده است که تمامی فعالیتها و تعاملها با این شبکه، کنترل و ثبت میشود.
مزایای استفاده از Honeypot
Honeypot ها صرفا مجموعه های کوچکی از داده ها را جمع آوری میکنند. Honeypot ها فقط زمانی که کسی یا چیزی با آنها ارتباط برقرار کند داده ها را جمع آوری مینمایند، در نتیجه صرفا مجموعه های بسیار کوچکی از داده ها را جمع میکنند، که البته این داده ها بسیار ارزشمندند. سازمانهایی که هزاران پیغام هشدار را در هر روز ثبت میکنند، با استفاده از Honeypot ها ممکن است فقط صد پیغام هشدار را ثبت نمایند. این موضوع باعث میشود که مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد.
Honeypot ها موارد خطاهای تشخیص اشتباه را کاهش میدهند. یکی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است که پیغامهای هشدار دهنده خطای زیادی تولید کرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یک رویداد را تهدید تشخیص میدهند که در حقیقت تهدیدی در کار نیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تکنولوژی تشخیص دهنده بی فایده تر میشود. Honeypot ها به طور قابل توجهی درصد این تشخیصهای اشتباه را کاهش میدهند، چرا که تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند.
Honeypot ها میتوانند حملات ناشناخته را تشخیص دهند. چالش دیگری که در تکنولوژیهای تشخیصی معمول وجود دارد این است که آنها معمولا حملات ناشناخته را تشخیص نمیدهند. این یک تفاوت بسیار حیاتی و مهم بین Honeypot ها و تکنولوژیهای امنیت کامپیوتری معمولی است که بر اساس امضاهای شناخته شده یا داده های آماری تشخیص میدهند. تکنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند که ابتدا باید هر حمله ای حداقل یک بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج میبرد. Honeypot ها طوری طراحی شده اند که حملات جدید را نیز شناسایی و کشف میکنند. چرا که هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی میکند.
Honeypot ها فعالیتهای رمز شده را نیز کشف میکنند. حتی اگر یک حمله رمز شده باشد، Honeypot ها میتوانند این فعالیت را کشف کنند. به تدریج که تعداد بیشتری از سازمانها از پروتکلهای رمزگذاری مانند SSH، IPsec، و SSL استفاده میکنند، این مساله بیشتر خود را نشان میدهد. Honeypot ها میتوانند این کار را انجام دهند، چرا که حملات رمز شده با Honeypot به عنوان یک نقطه انتهایی ارتباط، تعامل برقرار میکنند و این فعالیت توسط Honeypot رمز گشایی میشود.
Honeypot با IPv6 کار میکند. اغلب Honeypot ها صرف نظر از پروتکل IP از جمله IPv6، در هر محیط IP کار میکنند. IPv6 یک استاندارد جدید پروتکل اینترنت (IP) است که بسیاری از سازمانها در بسیاری از کشورها از آن استفاده میکنند. بسیاری از تکنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند.
Honeypot ها بسیار انعطاف پذیرند. Honeypot ها بسیار انعطاف پذیرند و میتوانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف Honeypot هاست که به آنها اجازه میدهد کاری را انجام دهند که تعداد بسیار کمی از تکنولوژیها میتوانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی.
Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبکه ها، Honeypot ها به حداقل منابع احتیاج دارند. یک کامپیوتر پنتیوم قدیمی و ساده میتواند میلیونها آدرس IP یا یک شبکه OC-12 را نظارت نماید.