Een honeypot draaien – Wil je dat?

De kans is zeer groot dat alle lezers van dit artikel weten wat een honeypot is. Of ze er allemaal zelf direct mee te maken hebben als beheerders is minder waarschijnlijk. Nog kleiner is de kans dat ze er vrij uit over praten met bijvoorbeeld klanten. Dat lijkt een gezonde situatie.

Over honeypots wordt best veel geschreven. Online en ook in print valt makkelijk te achterhalen hoe zoiets moet worden opgezet, beheer en uitgebreid tot een honeynet. De doelgroepen van dergelijke publicaties zijn security medewerkers, admins en vergelijkbaar. Zelden wordt het grote publiek aangesproken. Dat laatste heeft een reden. Een honeypot / honeynet beheren is iets dat je serieus moet doen, want er zijn de nodige risico’s aan verbonden.

Toch zijn er ook mainstream IT titels die vrijuit over de plussen en minnen van honeypots en honeynets schrijven. Het wordt daarbij vaak genoemd als een manier het eigen netwerk veilig te houden. Het idee daarachter is dat als je fout verkeer in een veilige (DMZ) omgeving kunt controleren je met die kennis je productieomgevingen nog beter kunt dichttimmeren. Daar is wat voor te zeggen, maar is dat wel de juiste boodschap?

De risico’s van een slechte valkuil worden bijvoorbeeld in dit stuk benoemd. De auteur wijst op de juridische problemen als een honeypot/net wordt misbruikt om illegale content te verspreiden of als de honeypot wordt gezien als onrechtmatig uitlokken ( zie ook link). Deze twee en nog een aantal andere argumenten zijn terecht. Toch is er een punt dat hij niet vermeld en dat is de impact die een slecht ingestelde honeypot op het hele netwerk, inclusief de ingezette IP reeksen kan hebben.

Het zal namelijk niet de eerste keer zijn dat een goed bedoeld, maar slecht uitgevoerd, hobby projectje leidt tot enorme hoeveelheden spam en erger. Dan is de kans groot dat er blacklisting volgt. Daar heeft honeypot amateur last van, maar ook de rest van het net waar hij deel van uitmaakt. Bijvoorbeeld de provider waar hij zijn fysieke of virtuele capaciteiten huurt.

Wat dat betreft kan de standaard riedel over hoe leuk, leerzaam en nuttig een honeypot wel niet is nog wel wat worden uitgebreid. De auteurs zouden meer moeten wijzen op de risico’s. Dat is overigens ook iets dat je als hoster of provider kunt doen. Zonder in de hier onnodige discussie over “geen kennis van de inhoud” te belanden kun je bijvoorbeeld in de FAQs opnemen wat de risico’s van een honeypot zijn. Dat zal niet voor elke hoster nuttig zijn, maar een aantal spelers op de Nederlandse markt heeft een aanbod en klantenkring waardoor honeypots waarschijnlijker zijn.

(illustratie: By 24kanika – CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=31229192)

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.