"A csapda, angol szakszóval honeypot (honeypot: szó szerint mézescsupor) egy olyan számítógépes rendszer, melynek feladata a “gyanútlan betörő” felderítése és kizárása a hálózatból. A csapda abból az alapvető feltételezésből indul ki, hogy bármely támadó, aki a mi rendszerünket szeretné megtámadni, megpróbálja teljes rendszerünket felderíteni és minden támadható pontot megvizsgálni. A csapda gyakorlatilag egy IDS eszköz, melynek rendeltetésszerűen feltörhetőnek kell lennie.""A csapda egy olyan számítógép, amely látszólag fontos adatokat tartalmaz, látszólag hibás, feltörhető. Amikor azonban a rosszindulatú támadó megpróbál egy ilyen csapdaszámítógépre betörni, vagy – az ő szemszögéből – végre is hajt egy betörést, akkor a berendezés illetve a hálózat további elemei ezt észlelik és riasztásokkal, ellenlépésekkel teszik ártalmatlanná a behatolót. A behatoló úgy hiszi, hogy sikeres betörést hajtott végre egy kiegészítő szolgáltatásokat nyújtó gépünk ellen, ám valójában pont ezzel a lépésével azonosítja magát: Tevékenységét dokumentálhatjuk, megnézhetjük honnan jött és mit akart, majd az általunk (vagy a megfelelő eszköz által automatikusan) kiválasztott időpontban a rendszerből kitiltjuk számítógépét, semmilyen más – akár legitim – kérést sem fogadunk el ezekután a betörést végző személy számítógépéről. Csapdákat jelenleg csak elszórva, néhány helyen használnak, azonban már megjelentek az első hivatalos termékek is. A csapda ugyanakkor bármikor elkészíthető, csak egy hozzáértő rendszergazdára, és némi leleményre van szükség. Egy csapdával a biztonság jelentősen növelhető, valamint a betörések felderíthetősége is növekszik. További előnye a csapdának, hogy az egyszerű tiltáson kívül engedi, hogy ismereteket szerezzünk a betörő tevékenységéről. “Ismerd meg ellenséged!” – tartja a mondás. Ebben a tekintetben egy csapda segítségével regiment olyan adat gyűjthető, amely nemcsak egy védett számítógép-hálózat rendszergazdájának nyújthat segítséget, de más rendszerek gazdáinak is nyújthat információkat arról, hogy egy betörő milyen (akár még nem ismert) módszerekkel kísérletezett egy adott rendszer feltörésekor."
Egy cikksorozatot találsz a témában a Securityfocus oldalon. A cikksorozatot Lance Spitzner vezeti, aki az "Ismerd meg az ellenséged" című könyv szerzője.
A cikkek:
Open Source Honeypots, Part One: Learning with Honeyd
Open Source Honeypots, Part Two: Deploying Honeyd in the Wild
Honeypots: Simple, Cost-Effective Detection
További források:
The HoneyNet Project
SecurityFocus Honeypot Mailing List
Know Your Enemy: Honeynets
Az aktív védekezés arzenálja