Un honeypot è una singola macchina configurata per simulare un server ideale per attaccare o persino un’intera sottorete. L’idea è di rendere l’honeypot così attraente che se un hacker viola la sicurezza della rete, essere attratto dall’honeypot piuttosto che dal sistema reale. Il software può monitorare attentamente tutto ciò che accade su quel sistema, consentendo il tracciamento e forse l’identificazione dell’intruso.
La premessa di base dell’honeypot è che qualsiasi traffico verso la macchina honeypot deve essere considerato sospetto. Poiché l’honeypot non è una macchina reale, nessun utente legittimo dovrebbe avere un motivo per connettersi ad esso. Pertanto, chiunque tenti di connettersi a quella macchina può essere considerato un possibile intruso. Il sistema honeypot può indurlo a rimanere connesso abbastanza a lungo da rintracciare da dove si sta connettendo. Ogni login e uso di account su questa macchina, deve essere creato un alert e verificato. Ogni servizio attaccato o account, login, tentativo di login monitorato … e metterlo in una sottorete a parte dove non ci sono buchi per qualcuno che entra.
Spectre è una soluzione di honeypot software. Informazioni complete sul prodotto sono disponibili su www.specter.com. honeypot Spectre è composto da un PC dedicato con il software Spectre in esecuzione su di esso. Il software Spectre è in grado di emulare i migliori protocolli / servizi Internet come HTTP, FTP, POP3, SMTP e altri, sembrando quindi un server perfettamente funzionante.
Il software è stato progettato per funzionare su Windows 2000 o XP ma verrà eseguito su versioni successive di Windows, ma può simulare AIX, Solaris, UNIX, Linux, Mac e Mac OS X.
Spectre funziona sembrando eseguire una serie di servizi comuni ai server di rete. Infatti, oltre a simulare più sistemi operativi, può anche simulare i seguenti servizi:
Anche se Spectre sembra eseguire questi server, in realtà sta monitorando tutto il traffico in arrivo. Poiché non è un vero server per la tua rete, nessun utente legittimo dovrebbe connettersi ad esso. Registra tutto il traffico sul server per l’analisi. Gli utenti possono configurarlo in una delle cinque modalità.
Poiché Symantec è un fornitore così importante sia per i software antivirus che per le soluzioni firewall, non dovrebbe sorprendere che abbia anche una soluzione honeypot. Il primo prodotto honeypot di Symantec è stato Decoy Server. Ha simulato un vero server simulando molte funzioni del server, come il traffico di posta elettronica in entrata e in uscita.
Poiché Decoy Server funziona come un honeypot, funziona anche come un IDS che controlla la rete per rilevare eventuali intrusioni. Se viene rilevato un attacco, tutto il traffico relativo a quell’attacco viene registrato per l’uso in seguito in qualsiasi procedura investigativa, penale o civile che può insorgere.
Decoy Server è progettato per far parte di una suite di soluzioni di sicurezza aziendali che funzionano insieme, comprese le versioni enterprise del software antivirus, del software firewall e dell’antispyware di Symantec.
