Posizionamento degli honeypot all’interno della rete

Un aspetto non trascurabile circa i sistemi honeypot è rappresentato dal corretto posizionamento degli honeypot all’interno della rete, che può pregiudicare l’efficacia di tali sistemi.

Gli honeypot di produzione con funzione di rilevamento agiscono correttamente se posti all’interno del perimetro di sicurezza protetti da un firewall. In questo modo possono fungere da sensore di allarme nel caso di attacchi che abbiano aggirato le barriere difensive ed eventualmente possono agire come deterrente per distogliere l’attenzione dalle risorse di valore. Collocarli fuori dal perimetro di sicurezza non avrebbe senso perché li esporrebbe ad un gran numero di attacchi, molti dei quali dovrebbero già essere bloccati dagli altri dispositivi di difesa. Se però gli honeypot di produzione vengono impiegati come meccanismo di reazione, per dirottare gli attacchi provenienti  dall’esterno,  è  conveniente  collocarli  nella  DMZ  (zona demilitarizzata, segmento di rete parzialmente accessibile da Internet) dove normalmente trovano posto  i servizi pubblici (come ad esempio: ftp, www, smtp, ecc.).

Al contrario gli honeypot di ricerca vanno posizionati esclusivamente al di fuori del perimetro di sicurezza per acquisire la massima quantità di informazioni sugli attacchi. In questo caso, trattandosi di sistemi particolarmente esposti, è molto elevato il rischio di compromissione e di impiego per attaccare altre risorse, per cui è indispensabile adottare delle contromisure adeguate.