Honeypot diğer tedbirlerden farklı şekilde çalışan, güvenlik mekanizmasının bir parçası olan ve bizzat savunmadaki organizasyon tarafından yerleştirilen bir güvenlik yöntemidir. Özellikle kötü amaçlı hackerlerin erişmesi istenilen verileri içerecek şekilde dizayn edilir. Saldırganın işine yaramayacak anlamsız verileri sistemde kolay ulaşılabilen düşük savunma seviyesinde gösteren yapılardır. Sisteme giren saldırganın ilk hedefi olması amaçlanarak yerleştirilir. Yani ?honeypot?lar sistemin maruz kalacağı yasadışı saldırılar ve yetkisiz erişim ile kullanılması durumlarında işe yarar.

?Honeypot?ların değeri ve anlamı kendilerine gelen tehditlerle ölçülür. Yani saldırganlar tarafından kendilerine ilgi gösterilmezse aslında bir fayda sağlamazlar. Aslında bazı sorunlara çözüm olabilirler; erken uyarı sistemi olarak kullanılabilir, gelen otomatik saldırıları yavaşlatabilir ve zaman kazandırabilir, anlamsız verileri ele geçirdiğini sanan saldırganın yakalanmamak için geri çekilmesini sağlayabilir ve bu saldırıların nasıl yapıldığına dair bilgileri sistem kullanıcılarına iletebilir. Özellikle yeni tür saldırılarda saldırının nasıl yapıldığına dair bilgilerin elde edilmesinde ?honeypot?ların yardımı büyüktür.

İçinde bulunduğumuz bilgi çağında, ağ güvenliği her organizasyon ağının en temel problemi olmuş durumdadır. Balküpleri, firewall ve diğer güvenlik ihlali tespit sistemleri ile birlikte çalışacak şekilde ağları daha güvenli hale getirmek için kullanılmaktadır.

İhlal tespit sistemleri, ağ üzerinde sessizce ağ trafiğini izleyerek saldırgan ve davetsiz misafirler konusunda sistemi uyaran yapılardır. Bunu daha önceki saldırıların nasıl yapıldığına dair sahip olduğu bilgiler sayesinde yaparlar. Ancak bu sistemler çok fazla hatalı tespit yapmakta ve sistemin doğru çalışmasının önüne geçebilmektedir. Bu durumda sahneye balküpleri çıkmaktadır, balküpleri saldırganın ağ üzerindeki davranışlarını izlemekle kalmayıp, kendi içinde ve üzerinde analiz edip, hatalı tespitlerin önüne geçmeyi amaçlamaktadır.

Bal küpü sistemler hali hazırda bulunan sistemlere benzer şekilde yapılandırılmalıdır. Buradaki amaç saldırganın yaptıklarını izlemek olduğundan, saldırganı uyandırmamak adına böyle bir tezgah kurulur. Günümüzde etkileşim seviyelerine göre 3 çeşit bal küpü vardır.

1. Düşük Etkileşimli Bal Küpü (Low ? Interaction Honeypot): Bu sistemin etkileşimi sınırlıdır. Kurulumu kolaydır. Fakat taklit bir sistem olduğu için, yapılacak işlemler sınırlıdır. Örnek olarak, http 80. portu için honeypotumuzu simüle edebiliriz. Bu porttaki bir zafiyetten yararlanan saldırgan sisteme girdikten sonra başka zafiyetler de aramak için, farklı servis komutları kullanabilir. Ama biz düşük etkileşimli bir honeypot kullandığımızdan, sadece http portu için komutlara izin vermiş oluruz. Başka bir işlem için komut kullanan saldırgan, komutunun çalışmadığını görünce bu sistemin honeypot olduğundan şüphe edip sistemi terk edebilir. Bu da istediğimiz bir durum değildir. Bu yüzden saldırının ölçeğine göre honeypotumuzu belirlememiz gerekir. Başta da belirttiğim gibi, düşük etkileşimli bal küpünün kurulumu kolay, maliyeti düşük olsa da etkileşimi sınırlıdır. Dionaea, Honeyd, KFSensor gibi honeypotlar örnek verilebilir.

2. Yüksek Etkileşimli Bal Küpü (High ? Interaction Honeypot): Bu sistem düşük etkileşimli honeypota nazaran daha karmaşık bir yapıya sahiptir. Kurumları maliyetli ve zaman alabilir. Gerçek bir işletim sistemini ve programları simüle eder. Bu da saldırganın iştahını kabartır ve yapacağı şeyleri esirgememesini sağlar. Bir sistemde birden fazla yüksek etkileşimli honeypot kullanılabilir. Zero day attacklarının (sıfırıncı gün atakları) bulunmasına yardımcı olabilirler. Bifrozt honeypotu buna örnek verilebilir.

3.Saf Bal Küpü (Pure Honeypot): Bu sistem, başka bir yazılımın yüklenmesine ihtiyaç duymayan tam teşekküllü sistemdir. Buna HoneyDrive örnek verilebilir.

Amaç, burada saldırganı yakalamak veya zararlıyı durdurmak değildir. Burada ki temel amaç, saldırganın kurduğu mantığı izlemektir. Nasıl giriş yaptı, hangi dosyalara erişti, sistemde ne tür değişikler yaptı, sisteme nasıl bir zarar verdi, daha önce benzeri olmayan bir atak (Zero Day Attack) geliştirdi mi? gibi soruların cevabını bulmamızı sağlar. Eğer daha önce saldırganın zarar verdiği sistem varsa, bal küpüyle sistemimize ne tür hasarlar vermiş olduğunu öğreniriz. Buna göre gerekli tedbirleri alırız. Sonrasında sistemimizi yeniden ve güvenli şekilde yapılandırıp, saldırganı bulmaya odaklanabiliriz.
Anlaşıldığı üzere bal küpleri, sistem güvenliğinin zayıf yönlerini keşfetmemize olanak sağlayan araçlardır.