Alternative Solutions

Beste Honeypot-oplossingen in 2025 (inclusief open-source!)

Terrence Risse
July 14, 2025
6 reacties
Case Study

Heading

This is some text inside of a div block.
This is some text inside of a div block.
6 Comments

Honeypots zijn al jarenlang een beproefde strategie voor het detecteren van intrusies, het verzamelen van threat intelligence en het misleiden van aanvallers binnen netwerken. Van open-source testomgevingen tot enterprise SOCs: ze zijn geëvolueerd van eenvoudige nepservices tot volwaardige tools voor defensie en inzicht.

Maar zelfs als je eerder met honeypots hebt gewerkt, vraag je je misschien af welke oplossing vandaag de dag het meest logisch is—zeker met de huidige eisen rondom integraties, gebruiksvriendelijkheid, datalocatie en support.

Dit zijn veelvoorkomende redenen waarom teams op zoek gaan naar een nieuw honeypotplatform:

  • Snelle inzetbaarheid – Sommige honeypots voelen nog steeds als academische projecten. Moderne teams willen een snelle, eenvoudige setup met zo min mogelijk onderhoud.
  • Realistische protocollen – Om aanvallers anno nu te misleiden, moeten decoys echte systemen overtuigend nabootsen—zowel in IT-omgevingen als OT en cloud.
  • Budget vs. functionaliteit – Van volledig open-source tools tot enterprise deception grids: de balans tussen kosten en mogelijkheden telt meer dan ooit.

Of je nu op zoek bent naar een commercieel product dat je met één klik kunt inzetten, een forensisch sterke SSH-honeypot, of een open-source malwareval: in deze gids vergelijken we zes toonaangevende honeypotplatforms op prijs, functionaliteit en toepassingsgebieden, zodat jij in 2025 de juiste keuze kunt maken voor jouw omgeving.

TL;DR

Maar 30 seconden? Dit is wat je moet weten:

  • Wil je plug-and-play gemak met EU-hosting en transparante prijzen? Begin dan met SecurityHive.
  • Heb je enterprise-grade integraties en geautomatiseerde response nodig? Kies FortiDeceptor.
  • Zoek je een honeypot die je één keer instelt en die daarna gewoon werkt? Ga voor Thinkst Canary.
  • Ben je security engineer en wil je maximale open-source flexibiliteit? Gebruik T-Pot.
  • Wil je diepgaand inzicht in SSH- of Telnet-aanvallen? Draai Cowrie.If you need deep insight into SSH/Telnet attacks, run Cowrie.
  • Is je doel het verzamelen van malware via meerdere protocollen zonder kosten? Kies Dionaea.

Waar je op moet letten

  1. Mate van interactie – Koop je een simpele banner-emulator, een volledige virtuele machine of een adaptieve AI-shell?
  2. Inspanning voor uitrol – “Snelle setup” moet minuten betekenen, geen dagen.
  3. Configureerbaarheid – Sensors, credentials, VLAN-trunking en honeytokens zijn essentieel als je realisme nodig hebt.
  4. Integraties & automatisering – Webhooks, SIEM/SOAR-koppelingen, chatalerts en ticketing zorgen dat je decoy verbonden blijft met je security stack.
  5. Compliance & datalocatie – Waar worden de logs opgeslagen en hoe zijn ze versleuteld?
  6. Analytics – Dashboards, sessie-replays en AI-samenvattingen verkorten de tijd die nodig is voor triage.
  7. Prijsstructuur – Subscription, perpetual, per-VLAN of community-licentie: kies wat meegroeit met je infrastructuur.

Deep Dives

SecurityHive

EU-gebaseerd honeypotplatform met 7+ jaar ervaring en ongeëvenaard gebruiksgemak

SecurityHive is een volwassen honeypotplatform dat volledig in de EU is ontwikkeld en gehost, met meer dan 7 jaar ervaring in het vakgebied. Het platform blinkt uit in snelle inzetbaarheid en uitzonderlijk gebruiksgemak. Of je nu werkt in een klein SOC-team of een grote enterprise-omgeving: je zet decoys op binnen enkele minuten — als fysieke plug-and-play appliance of als virtueel image (VHDX/OVA) dat past binnen je bestaande infrastructuur.

De kern van het platform is het gebruik van templates: vooraf gedefinieerde honeypotconfiguraties die de onderliggende sensortechniek volledig abstraheren. Met één klik draai je een decoy die zich gedraagt als een Windows Server 2016-machine of als een IoT-device zoals een UniFi Access Point. Deze aanpak verlaagt de leercurve aanzienlijk, terwijl het platform toch rijk gedetailleerde interactiedata levert voor security-analisten.

Dankzij de gratis 14-daagse proefperiode, direct te activeren via de website, kun je het product zonder gedoe evalueren. Geen demo-calls. Geen wachttijd. Gewoon uitrollen en observeren.

🔍 Evaluatie

Mate van interactie: 5/5
SecurityHive maakt gebruik van templates die protocollen zoals SSH, HTTP en UPnP vooraf configureren tot overtuigende decoy-profielen, zoals Windows Server 2016 of UniFi Access Points. Dankzij deze abstracties krijg je hoogwaardige emulatie zonder complexe setup.

Uitrolgemak: 5/5
Dit is echt plug-and-play. De honeypot is beschikbaar als fysiek apparaat of als virtuele appliance (VHDX of OVA). De gratis 14-daagse proefperiode is direct te starten via de website — zonder salesgesprek of wachttijd.

Configureerbaarheid: 5/5
Templates bieden one-click configuratie voor verschillende decoy-rollen. Geavanceerde gebruikers kunnen netwerkinstellingen, services en poorten verder fine-tunen. SecurityHive blinkt vooral uit in gesegmenteerde of beperkt toegankelijke netwerken.

Integraties & automatisering: 3/5
Het platform ondersteunt webhooks en enkele SIEM-integraties, maar dit onderdeel is nog in ontwikkeling. De roadmap wordt actief gecommuniceerd en nieuwe functies worden regelmatig uitgerold.

Compliance & datalocatie: 5/5
SecurityHive is volledig gehost binnen de EU en hanteert strikte datalocatiebeleid. Alle telemetry is versleuteld en de beschikbare uitrolopties maken het eenvoudig om te voldoen aan GDPR en andere lokale eisen.

Analytics: 5/5
Het platform biedt rijke dashboards en gedetailleerde sessielogs die duidelijke inzichten geven. Replay-functionaliteit helpt analisten om aanvallers beter te begrijpen, terwijl de gebruiksvriendelijke interface triagetijden aanzienlijk verkort.

Prijsstructuur: 4/5
SecurityHive hanteert een helder abonnementsmodel: €75 per maand per honeypot, of jaarlijks met 25% korting. Er zijn geen verrassingen qua kosten, en opschalen is eenvoudig door simpelweg extra decoys toe te voegen.

✅ Voordelen

  • Ongeëvenaard gebruiksgemak met uitstekende support
    Van plug-and-play appliances tot snelle, deskundige support: SecurityHive levert waarde zonder complexiteit.
  • Transparante prijsstructuur met ruime proefperiode
    Je kunt een honeypot 14 dagen risicoloos testen, en de prijzen zijn glashelder — geen verborgen kosten of onduidelijke licentievoorwaarden.
  • Gehost in de EU met sterke focus op compliance
    Voor organisaties die moeten voldoen aan de GDPR of eisen rond nationale gegevenssoevereiniteit, is SecurityHive een veilige keuze.

❌ Nadelen

  • Beperkte SIEM-integraties out-of-the-box
    Hoewel webhooks beschikbaar zijn, zijn integraties met populaire SIEM/SOAR-tools beperkt — al wordt hier wel snel vooruitgang geboekt.
  • Geen active response-functionaliteit
    Het platform richt zich op detectie en inzicht, niet op actieve blokkering of isolatie van aanvallers.
  • Eén identiteit per honeypot
    Elke honeypot bootst één enkel apparaat of dienst na. Voor bredere dekking in grotere netwerken zijn dus meerdere instances nodig.

💡 Wat je moet weten

SecurityHive is ideaal voor EU-gebaseerde organisaties die op zoek zijn naar een high-interaction honeypot die eenvoudig te implementeren is, makkelijk te beheren, en ondersteund wordt door een ervaren team. Het template-gebaseerde ontwerp biedt een slimme balans tussen realisme en gebruiksgemak, terwijl de trial-first aanpak verfrissend klantvriendelijk is. Hoewel sommige integraties nog in ontwikkeling zijn, zijn de kernfunctionaliteiten voor detectie en analyse bewezen robuust. Voor iedereen die een honeypot zoekt die gewoon werkt

Thinkst Canary

Elegante, low-noise honeypot gebouwd door security researchers — niet door durfkapitalisten
Thinkst Applied Research is een Zuid-Afrikaans cybersecuritybedrijf dat bekendstaat om zijn scherp gefocuste, onderzoeksgedreven producten én de bewuste keuze om klein, zelfstandig en zonder VC-financiering te blijven. Hun vlaggenschip, Canary, is een honeypotoplossing gebouwd rond één simpel idee: aanvallers raken valstrikken; defenders krijgen hoogwaardige alerts — zonder ruis, zonder gedoe.

Thinkst laat zich het best omschrijven als een craft security vendor, met een team van zo’n 40 engineers, geen investeerders, en klanten op elk continent. Canary honeypots zijn beschikbaar in diverse formaten: als hardware-appliance, VM-image, cloudinstantie of container. Alle decoys worden centraal beheerd via een SaaS-console — zonder dat je firewallregels hoeft aan te passen.

Een opvallende feature zijn de Canarytokens: lichtevalstrikken zoals nep-API keys of documenten die een alert versturen zodra ze worden aangeraakt. Ze zijn gratis inbegrepen en kunnen breed worden ingezet, zowel in de cloud als op endpoints en interne systemen.

Canary blinkt uit in snelheid, betrouwbaarheid en vertrouwen: het werkt direct na uitrol, geeft alleen een alert bij écht relevante gebeurtenissen en probeert je niet halverwege de implementatie extra features te verkopen.

🔍 Evaluatie

Mate van interactie: 5/5
Canary-appliances kunnen overtuigend gedrag nabootsen van Windows-servers, routers, SCADA-systemen, databases en meer. Dankzij aanpasbare TCP-poortservices en “personality”-profielen is het platform geschikt voor hoogwaardige decoy-scenario’s.

Uitrolgemak: 5/5
De setup duurt slechts enkele minuten. Kies een personality, zet een hardware- of virtuele instance uit, en beheer alles via de cloudconsole. Canarytokens kunnen zelfs worden ingezet zonder een apparaat te hoeven uitrollen.

Configureerbaarheid: 4/5
Canary ondersteunt verschillende personalities en service-emulaties, met enige mate van aanpassing. Het is minder gedetailleerd dan sommige power-user tools, maar meer dan toereikend voor de meeste praktijksituaties.

Integraties & automatisering: 4/5
Er zijn integraties beschikbaar met SIEM-/SOAR-platforms en alertpipelines. Canarytokens integreren moeiteloos in bestaande securityworkflows. De alerts zijn hoog in signaalwaarde, wat veilige automatisering vergemakkelijkt.

Compliance & datalocatie: 3/5
De SaaS-console draait op AWS en gebruikt alleen outbound beacons. Voor organisaties die strikte controle over data of EU-hosting vereisen, kan dit een beperking zijn. Zelfhosting is momenteel geen standaardoptie.

Analytics: 5/5
Alerts zijn helder, direct en contextueel sterk. Canary kiest bewust voor duidelijkheid boven uitgebreide dashboards, maar dankzij de doordachte UX is triage snel en efficiënt.

Prijsstructuur: 3/5
De prijs begint bij $5.000 per jaar voor twee devices. Er is geen proefperiode of maandabonnement beschikbaar. Daar staat tegenover dat alle updates en volledige ondersteuning zijn inbegrepen — zonder upsells of ingewikkelde prijstiers.

✅ Voordelen

  • ✅ Exceptionally fast setup with near-zero false positives
    SOC teams appreciate the clarity and reliability. Canary is in production within minutes.

  • ✅ Community goodwill and tooling
    Free Canarytokens and the open-source OpenCanary project make it easy to experiment and build trust.

  • ✅ Strong reputation, stable vendor
    Profitable, bootstrapped, and founder-led with 60%+ customer retention in the first year.

❌ Nadelen

  • Geen self-service trial beschikbaar
    Er is geen directe proefperiode via de website te starten, en de prijsstructuur gaat uit van een jaarlijkse verplichting vooraf.
  • Beperkte flexibiliteit voor organisaties met strikte compliance-eisen
    De centrale console draait op AWS en biedt momenteel geen opties voor EU-datalocatie.
  • Prijs kan drempel zijn voor kleinere teams
    Met een startprijs van $5.000 per jaar voor twee devices is dit platform gericht op kwaliteit en eenvoud, niet op de laagste instapkosten.

💡 Wat je moet onthouden

Thinkst Canary is dé honeypot voor securityteams die snelle inzet, minimale complexiteit en volledig vertrouwen in hun alerts willen.
Het is ideaal voor defenders die behoefte hebben aan vroege waarschuwingen — zonder false positives of ingrijpende aanpassingen aan hun architectuur. Hoewel het ontbreken van een gratis proefperiode en de relatief hoge instapprijs kleinere teams kan afschrikken, is het platform vanwege zijn technische verfijning, doordachte ontwerp en bewezen betrouwbaarheid geliefd bij zowel Fortune 500-bedrijven als organisaties in kritieke infrastructuur en compacte blue teams.

Als je kwaliteit belangrijker vindt dan volledige aanpasbaarheid, en je liever werkt met een leverancier die jouw taal spreekt, dan is Canary absoluut het overwegen waard.

FortiDeceptor

Enterprise-grade deception met diepe integratie in Fortinet Fabric — en een bijpassend enterprise-prijskaartje
Fortinet, opgericht in 2000 en gevestigd in Californië, is een van ’s werelds grootste cybersecurityleveranciers. Het bedrijf is vooral bekend van zijn Next-Gen Firewalls en het Security Fabric-platform, en brengt nu die schaalgrootte en integratiegerichte aanpak naar network deception met FortiDeceptor.

Het product is agentless — het hoeft dus niet op endpoints te worden geïnstalleerd. In plaats daarvan draait het netwerkdecoys op, zoals Windows-servers, Linux-systemen, PLC's of API’s van clouddiensten, en wacht het tot aanvallers happen. Ondertussen lokken breadcrumb tokens (zoals nep-credentials, documenten of RDP-links) de aanvaller naar deze valstrikken. Zodra een decoy wordt aangeraakt, genereert FortiDeceptor een high-fidelity alert. Die kan worden gebruikt om aanvallers automatisch in quarantaine te plaatsen via FortiGate, om data te voeden in FortiSIEM, of om een onderzoek te starten in FortiAnalyzer.

FortiDeceptor is beschikbaar als hardware-appliance, VM-image, container of SaaS-dienst. Alle decoys en tokens worden centraal beheerd via een centrale console, terwijl de integratie met de Fortinet Fabric volledige workflow-automatisering mogelijk maakt. Fortinet biedt een democentrum voor hands-on evaluatie, en partners kunnen triallicenties uitgeven — maar een self-service proof-of-concept zoals bij sommige moderne SaaS-aanbieders is er niet.

🔍 Evaluatie

Mate van interactie: 5/5
FortiDeceptor biedt geavanceerde, full-OS decoys voor IT-, OT-, IoT- en cloudomgevingen. Denk aan Windows- en Linux-servers, ICS/SCADA-systemen, routers en meer. De diepgang en variatie maken het platform geschikt voor complexe, waardevolle netwerken.

Uitrolgemak: 2/5
De setup is snel in omgevingen die al zwaar op Fortinet vertrouwen, maar kan complex zijn in gesegmenteerde of gemengde infrastructuren. Licentievoorwaarden (zoals VLAN-gebaseerde pricing) en verschillende deploymentvormen kunnen extra drempels opwerpen.

Configureerbaarheid: 5/5
Zowel de decoytypes als bijbehorende services en breadcrumb tokens (nepcredentials, documenten, etc.) zijn zeer configureerbaar. Hierdoor kun je realistische infrastructuur nabootsen en het gedrag van aanvallers doelgericht sturen.

Integraties & automatisering: 5/5
Er is een diepe integratie met de bredere Fortinet Security Fabric. Decoy-events kunnen automatisch playbooks activeren in FortiSIEM, quarantaines initiëren via FortiGate, en gedetailleerde informatie aanleveren aan FortiAnalyzer.

Compliance & datalocatie: 3/5
De appliance- en VM-varianten bieden on-prem controle, maar de SaaS-variant garandeert mogelijk geen datalocatie binnen specifieke regio’s. De centrale beheertool werkt met licenties per gebruiker of apparaat, wat invloed heeft op kosten en inzetbaarheid.

Analytics: 5/5
Alerts worden alleen gegenereerd bij legitieme interacties, en bevatten uitgebreide metadata zoals packet captures, IOCs en hostinformatie. Alles wordt naadloos geïntegreerd in de centrale Fortinet-dashboards voor snelle analyse.

Prijsstructuur: 1/5
FortiDeceptor is duidelijk gepositioneerd voor enterprise-omgevingen: VLAN-gebaseerde licenties (~$1.260/jaar), appliances vanaf $30.000, en aparte licenties voor beheerconsoles. Gratis trials zijn alleen beschikbaar via partners of het demoplatform.

✅ Voordelen

  • Diepe integratie in het Fortinet-ecosysteem
    FortiDeceptor sluit naadloos aan op FortiGate, FortiSIEM en FortiAnalyzer — zonder dat er extra agents nodig zijn.
  • High-fidelity alerts met rijke contextinformatie
    Alerts bevatten volledige packet captures, IOC-data en context over de aanvaller — ideaal voor SOC-teams en forensisch onderzoek.
  • Brede dekking qua decoytypes
    Templates omvatten klassieke IT, industriële OT, IoT en cloudomgevingen — waardoor het een van de meest veelzijdige oplossingen is qua emulatie van doelwitten.

❌ Nadelen

  • Duur en inflexibel prijsmodel
    Licenties per VLAN (/24) zorgen ervoor dat de kosten snel oplopen in vlakke of sterk gesegmenteerde netwerken. Extra modules en gebruikerslicenties verhogen dit verder.
  • Setup is niet altijd “plug-and-play”
    Vooral buiten Fortinet-native omgevingen kost het tijd om alles werkend te krijgen. Voor remote locaties zijn vaak extra hardware- of VM-deployments nodig.
  • Geen eenvoudige self-service trial
    Hoewel Fortinet een browserdemo en partnergebonden trials aanbiedt, is er geen mogelijkheid voor directe download of testdrive via simpele aanmelding.

💡 Wat je moet onthouden

FortiDeceptor is a powerhouse honeypot platform built for large, Fortinet-aligned organizations that value deep integration, high realism, and automated response. Its deception capabilities are top-tier—particularly for OT and IoT use cases—but come with enterprise-grade pricing and some setup complexity. If you're already invested in the Fortinet Security Fabric, FortiDeceptor makes a lot of sense. But for smaller orgs or teams without Forti infrastructure, the learning curve, licensing model, and entry price may feel like overkill.

T‑Pot

Open-source krachtpatser met 20+ honeypots en Elastic-dashboards, ontwikkeld door Telekom Security
T-Pot is het open-source honeypotplatform van Deutsche Telekom Security, ontwikkeld als een all-in-one Docker-stack die meer dan 20 protocolspecifieke honeypots combineert met uitgebreide analytics via de Elastic Stack. Aanvullend zijn ook attacker-facing tools zoals CyberChef en SpiderFoot inbegrepen. Het platform draait op alles van cloud-VM’s tot een Raspberry Pi 4, en ondersteunt zowel x86- als ARM64-architecturen.

T-Pot kan standalone draaien of als onderdeel van een gedistribueerde cluster met een centrale logserver en meerdere sensoren. Recente versies hebben ook LLM-gestuurde interactiemodules geïntroduceerd, waarmee tools zoals Beelzebub (SSH) en Galah (HTTP) dynamischer kunnen reageren op aanvallers via Ollama of ChatGPT.

De uitrol is relatief eenvoudig voor ervaren gebruikers: via een one-liner installer of ISO-image draai je de volledige stack op. Net als veel andere open-sourceprojecten verwacht T-Pot wel dat je zelf Docker, Elasticsearch en netwerktoegang veilig kunt beheren. Er is geen officiële SLA tenzij je een contract aangaat met Deutsche Telekom, maar de GitHub-community is actief en de updates zijn frequent — wat het platform modern en bruikbaar houdt.

🔍 Evaluatie

Mate van interactie: 4/5
T-Pot combineert meer dan 20 honeypots — van Cowrie en Conpot tot AI-gestuurde decoys zoals Beelzebub en Galah — in één geïntegreerd platform. De interactiekwaliteit is goed, vooral dankzij de nieuwere modules die gebruikmaken van LLM’s.

Uitrolgemak: 3/5
Met een enkele commandoregel of een vooraf gebouwde ISO ben je snel operationeel. Toch vereist de installatie wel kennis van Docker, Elasticsearch, reverse proxies en wat infrastructuurtuning — zeker als je minder ervaring hebt met container-gebaseerde security stacks.

Configureerbaarheid: 4/5
T-Pot is zeer uitbreidbaar. Je kunt extra honeypots toevoegen, externe feeds integreren en zelfs je eigen LLM’s koppelen. Voor diepgaande aanpassingen is echter wel enige kennis van Linux en Docker vereist.

Integraties & automatisering: 4/5
Standaard biedt T-Pot ondersteuning voor Elastic-dashboards, attack maps, CyberChef, SpiderFoot en syslog — ideaal om aan te sluiten op bestaande workflows. Voor custom webhooks of SIEM-integraties is handmatige configuratie nodig.

Compliance & datalocatie: 4/5
Je bepaalt zelf waar je T-Pot draait — in de cloud, on-premise of zelfs op een Raspberry Pi. Er is geen SaaS-backhaul of standaard datadeling. GDPR-compliance hangt af van jouw eigen hostinglocatie en configuratie.

Analytics: 4/5
Dankzij mooie Kibana-dashboards en real-time attack maps zie je direct wat er gebeurt. Wel vraagt Elastic relatief veel RAM en kan het op minder krachtige systemen instabiliteit veroorzaken zonder goede tuning.

Prijsstructuur: 5/5
De T-Pot Community Edition is volledig gratis en open-source (GPL‑3.0). De enige kosten zijn je eigen VM of hardware. Commerciële support via Telekom Security is optioneel en wordt per traject gefactureerd.

✅ Voordelen

  • Uitgebreide sensorstack out-of-the-box
    Bevat meer dan 20 honeypots, een live attack map, Elastic-dashboards, CyberChef en meer — allemaal in één enkele deployment.
  • Volledig open-source en zelf te hosten
    Geen licentiekosten. Je kunt T-Pot hosten waar je wilt, met volledige controle over je data — ideaal voor teams die waarde hechten aan GDPR-compliance.
  • Actieve community en snelle innovatie
    Meer dan 8.000 GitHub-sterren, frequente updates en cutting-edge features zoals LLM-gebaseerde honeypots.

❌ Nadelen

  • Hoge systeemeisen
    Elasticsearch en Kibana vereisen minstens 16 GB RAM voor stabiele werking. Zonder logrotatie raken schijven snel vol.
  • Hoge leercurve
    Beginners maken snel configuratiefouten. Volledige stackkennis — Docker, reverse proxy’s, poortenbeheer — is noodzakelijk.
  • Geen formele support zonder betaling
    Het platform wordt aangeboden “as-is.” Bij problemen moet je terugvallen op de GitHub-community, niet op een servicedesk.

💡 Wat je moet onthouden

T-Pot is het meest uitgebreide open-source honeypotplatform dat vandaag beschikbaar is — ideaal voor onderzoekers, SOC-teams of gevorderde gebruikers die volledige controle en maximale kosten­transparantie willen.
Het biedt enorme waarde voor teams die bereid zijn het zelf te beheren. Je krijgt multi-protocol decoys, visuele dashboards en cutting-edge honeypottechnologie, zonder vendor lock-in.

Houd er wel rekening mee dat de operationele belasting hoger ligt en dat je af en toe zult moeten tweaken voor optimale prestaties. Maar als je over de juiste skills beschikt (of cloud credits hebt), is dit absoluut een tool die je móét proberen.

Cowrie

Granulaire SSH/Telnet-honeypot met diepgaand inzicht in aanvallers en zonder licentiekosten
Cowrie is een langlopend, community-onderhouden SSH- en Telnet-honeypotproject dat defenders diep inzicht biedt in het gedrag van aanvallers. Het ontstond in 2014 als een fork van Kippo en is inmiddels uitgegroeid tot een gerespecteerde tool binnen de threat intelligence- en onderzoekscommunity.

In tegenstelling tot low-interaction decoys simuleert Cowrie een overtuigende Linux-shell met een nep-bestandssysteem, waarbij elke getypte opdracht van een indringer wordt gelogd. Het ondersteunt ook een proxy mode, waarbij verkeer wordt doorgestuurd naar een echte backend terwijl Cowrie de volledige sessie onzichtbaar registreert. Bestandsuploads, downloads, TCP-tunneling en sessie-replays worden allemaal vastgelegd.

Cowrie wordt niet ondersteund door een bedrijf, maar onderhouden door de Nederlandse engineer Michel Oosterhof en een actieve groep vrijwilligers. Je kunt Cowrie draaien op bare metal, in containers, of als onderdeel van bredere deception-frameworks zoals T-Pot of Modern Honey Net. Er is geen commerciële support-SLA, maar het GitHub-project is levendig, met frequente communitypatches en snelle issue-resolutie.

🔍 Evaluatie

Mate van interactie: 4/5
Cowrie emuleert een volledige shell-omgeving en bestandssysteem voor SSH- en Telnet-aanvallers. Daarnaast biedt het een proxy mode waarbij sessies transparant worden doorgestuurd naar echte backend-VM’s voor hoogwaardige sessielogging.

Uitrolgemak: 3/5
De installatie is vrij eenvoudig voor Linux-gebruikers, met beschikbare Docker- en Ansible-opties. Wel vereist het tunen van de setup enige kennis van Python virtualenvs, port forwarding en log shipping.

Configureerbaarheid: 3/5
Je kunt aangepaste bestandssystemen en shell-responses configureren, maar dit gebeurt grotendeels handmatig. Het platform ondersteunt standaard alleen SSH en Telnet, tenzij je gebruikmaakt van externe plugins of eigen code-uitbreidingen.

Integraties & automatisering: 2/5
Cowrie ondersteunt output via JSON, syslog, ELK/OpenSearch, Splunk, Prometheus, MQTT en meer. Maar het mist ingebouwde webhook-integratie of native dashboards voor SIEM-systemen.

Compliance & datalocatie: 4/5
Je hebt volledige controle over de deployment, hosting en datastromen. Cowrie verzendt geen data naar buiten, tenzij je dit expliciet instelt.

Analytics: 4/5
Cowrie biedt volledige TTY-sessiereplays, bestandscaptures, TCP-verkeer en metadata, wat waardevol forensisch inzicht oplevert. Er is echter geen GUI — visualisatie moet je zelf regelen via je SIEM of aangepaste tooling.

Prijsstructuur: 5/5
Cowrie is volledig gratis en open-source (BSD 2-clause). Er zijn geen licentiekosten, trials of abonnementen. De enige kosten zijn je eigen infrastructuur en tijd.

✅ Voordelen

  • Gedetailleerde aanvallerstelemetrie
    Volledige commandotranscripten, bestandscaptures en sessiereplays bieden diepgaand inzicht in het gedrag van aanvallers.
  • Gratis en open-source
    Volledig gelicentieerd onder de BSD-licentie, zonder kosten of beperkingen. Transparant, uitbreidbaar en in de praktijk beproefd.
  • Lichte en flexibele deployment
    Draait moeiteloos op Docker, VM’s, Raspberry Pi of bare-metal. Plugins en diverse outputformaten ondersteunen uiteenlopende use-cases.

❌ Nadelen

  • Setup vereist Linux- en securitykennis
    Cowrie vraagt om handmatige configuratie, en verkeerde instellingen (zoals onbedoeld blootgestelde services) kunnen de effectiviteit ondermijnen of zelfs risico’s opleveren.
  • Beperkte protocolondersteuning
    Alleen SSH en Telnet worden standaard ondersteund. Voor HTTP-, SMB- of MQTT-deceptie heb je aanvullende honeypots of wrappers nodig.
  • Geen commerciële ondersteuning
    Organisaties die een supportcontract of helpdesk verwachten, moeten uitwijken naar derden of vertrouwen op self-support via GitHub en Slack.
  • Makkelijk te fingerprinten indien niet aangepast
    Het standaard bestandssysteem, banners en gedragspatronen zijn algemeen bekend en detecteerbaar, tenzij je ze handmatig aanpast.

💡 Wat je moet onthouden

Cowrie is dé open-source honeypot voor teams die gedetailleerde SSH/Telnet-telemetrie willen zonder vendor lock-in of licentiekosten.
Het is bij uitstek geschikt voor onderzoekers, threat hunters en defenders met Linux-ervaring die behoefte hebben aan fijnmazig inzicht in aanvallersgedrag.

Door de beperkte protocollenondersteuning en het ontbreken van commerciële ondersteuning is Cowrie echter vooral geschikt als onderdeel van een bredere deceptionstack — niet als alles-in-één oplossing.

Maar voor de prijs (gratis) en de diepgang van de inzichten blijft Cowrie een topkeuze in de toolbox van elk blue team.

Dionaea

Low-interaction malwareval met brede protocolondersteuning en geen instapkosten
Dionaea is een lang bestaand open-source honeypotproject, ontworpen om malware op te vangen via diverse netwerkservices. Het werd oorspronkelijk ontwikkeld door Markus Koetter onder het Honeynet Project en wordt nu onderhouden door de vrijwilligers van de DinoTools GitHub-organisatie.

Dionaea emuleert protocollen zoals SMB, HTTP, FTP, MySQL, SIP en UPnP om kwaadaardige payloads aan te trekken en te analyseren in een gecontroleerde omgeving. Hoewel het een low-interaction honeypot is, wordt Dionaea gewaardeerd om zijn brede protocoldekking en het vermogen om shellcode te detecteren en extraheren via libemu.

Het ondersteunt volledige artefact-captures — waaronder binary payloads, sessielogs en servicerequests — en wordt vaak ingezet als primaire malware-sensor binnen deceptionplatforms zoals T-Pot en Community Honey Network.

Dionaea bevat geen eigen centrale console of dashboard, maar integreert goed met SIEM-tools via syslog of JSON-output. Dankzij Docker-containers en integratiescripts is de uitrol tegenwoordig eenvoudiger dan vroeger, al blijven tuning en onderhoud grotendeels handmatig. Zoals bij veel open tools is er geen officiële ondersteuning, maar de community blijft actief bijdragen en verbeteren.

🔍 Evaluatie

Mate van interactie: 2/5
Dionaea richt zich op malwarecollectie, niet op interactie. Het emuleert veelvoorkomende services zoals SMB, FTP, HTTP en MySQL, maar biedt geen shelltoegang of actieve betrokkenheid met aanvallers. De interactie beperkt zich tot protocol-handshakes en het opvangen van payloads.

Uitrolgemak: 3/5
De installatie is redelijk eenvoudig via Docker of als onderdeel van de Community Honey Network (CHN). Wel vereist het handmatig afstellen van logrotatie, protocolemulatie en traffic shaping enige inzet.

Configureerbaarheid: 3/5
Service-modules zijn in- of uit te schakelen, en sommige nep-antwoorden zijn aanpasbaar. Maar de interactielogica is grotendeels statisch. Dionaea is niet ontworpen om specifieke besturingssystemen of applicaties te simuleren.

Integraties & automatisering: 2/5
Dionaea ondersteunt output via JSON, syslog en ELK/OpenSearch, maar biedt geen native ondersteuning voor webhooks, ticketing of real-time automatisering. Dashboards moeten apart worden ingericht, bijvoorbeeld met Kibana.

Compliance & datalocatie: 4/5
Omdat Dionaea volledig zelf gehost wordt en geen afhankelijkheid heeft van cloudservices, heb je volledige controle over waar en hoe logs worden opgeslagen en verwerkt. Dit maakt naleving van dataretentie- en locatiebeleid eenvoudig.

Analytics: 3/5
Dionaea legt rijke artefacten vast — zoals payloads, shellcode en sessiemetadata — maar de analyse en visualisatie zijn aan de gebruiker. De standaardlogbestanden kunnen snel groeien en vereisen proactieve logrotatie.

Prijsstructuur: 5/5
Dionaea is volledig gratis en open-source (GPL‑2.0). Er zijn geen licentiekosten of vendor lock-in. Betaalde cloudimages bestaan, maar zijn optioneel en community-ondersteund.

✅ Voordelen

  • Brede protocolemulatie voor malwarecollectie
    Ondersteunt SMB, HTTP, FTP, MySQL en meer — ideaal voor het aantrekken en analyseren van uiteenlopende payloads.
  • Gratis en open-source met actieve community
    Gelicentieerd onder GPL‑2.0. Geen kosten, geen registratie. Docker-builds en actieve GitHub-discussies houden het project levendig en bruikbaar.
  • Eenvoudig te integreren in grotere stacks
    Compatibel met CHN, T-Pot, ELK-pijplijnen en Docker-gebaseerde omgevingen.

❌ Nadelen

  • Beperkte aanvallerinteractie
    Geen shelltoegang of proxyfunctionaliteit. Niet geschikt voor gedragsanalyse of interactieonderzoek met aanvallers.
  • Makkelijk te fingerprinten
    Standaardbanners en -reacties zijn herkenbaar tenzij je ze handmatig aanpast. Geavanceerde aanvallers kunnen Dionaea eenvoudig omzeilen.
  • Geen ingebouwde UI of dashboards
    Je moet zelf een analyselaag bouwen of integreren met bijvoorbeeld ELK. Logbestanden kunnen snel groeien als ze niet actief beheerd worden.
  • Onderhoud volledig community-driven
    Het project heeft geen commerciële backing en het update-tempo varieert. Er is geen SLA of garantie op bugfixes.

💡 Wat je moet onthouden

Dionaea is een uitstekende keuze voor teams die op zoek zijn naar een gratis honeypot met brede protocolondersteuning om malware te verzamelen via veelgebruikte aanvalsdiensten.
Het platform komt vooral tot zijn recht in malwareonderzoek en passieve verzamelomgevingen, met name als onderdeel van een bredere honeynet-deployment.

Door het low-interaction ontwerp en het ontbreken van afwerking is Dionaea minder geschikt als zelfstandige oplossing, maar het blijft een krachtig hulpmiddel voor defenders die bruikbare artefacten willen verzamelen — zonder te investeren in dure enterprise deception-technologie.

Volgende stappen

Het honeypotlandschap in 2025 biedt meer keuze dan ooit — van open-source malwarevallen tot diep geïntegreerde enterprise-oplossingen. Wat de “juiste” honeypot is voor jouw team, hangt volledig af van jullie doelen, budget en hoeveel controle (of ondersteuning) je nodig hebt:

Als je op zoek bent naar een enterprise-grade oplossing met krachtige integraties, dan levert FortiDeceptor brede protocoldekking, automatische quarantaine en nauwe koppeling met de Fortinet Fabric. Houd wel rekening met de prijs en de licentiecomplexiteit.

Teams die waarde hechten aan snelheid, eenvoud en heldere signalen zonder ruis, zullen veel hebben aan Thinkst Canary. Het is razendsnel te deployen, vereist nauwelijks onderhoud en wordt wereldwijd vertrouwd — maar het premium prijskaartje en het ontbreken van een proefversie zijn een nadeel.

Op zoek naar een gebruiksvriendelijke, EU-gehoste oplossing? SecurityHive biedt plug-and-play honeypots met one-click templates, transparante prijzen en sterke ondersteuning — zonder demo-calls of bureaucratie.

Wie maximale flexibiliteit en open-source kracht zoekt, kan moeilijk om T-Pot heen. Deze ‘honeypot-zakmes’ draait tientallen services, ondersteunt zowel ARM als x86 en bevat zelfs LLM-gestuurde interactiemodules. Zorg er wel voor dat je voldoende RAM én Docker-skills meebrengt.

Voor teams gericht op SSH/Telnet-onderzoek of forensische diepgang, biedt Cowrie hoogwaardige sessielogging en proxy-mogelijkheden in een lichtgewicht, kosteloze package. Niet flashy, maar zeer gewaardeerd in de threat intel-community.

En als je doel is om malware te verzamelen via veelgebruikte protocollen (zoals SMB, HTTP, FTP, enz.), blijft Dionaea een betrouwbare, gratis low-interaction honeypot — vooral wanneer geïntegreerd in stacks zoals CHN of T-Pot.

Al deze tools zijn open-source of bieden een vorm van demo- of testtoegang. We raden aan om klein te beginnen in een lab- of testomgeving: zet bijvoorbeeld T-Pot op in de cloud, probeer de gratis trial van SecurityHive, of experimenteer met Canarytokens.

Goed nieuws: je hebt geen budget van zes cijfers nodig om inzicht te krijgen in aanvallersgedrag. Met de juiste honeypot — of combinatie daarvan — kun je vandaag al beginnen met het opbouwen van je eigen deceptionlaag, en morgen profiteren van betere detectie, threat intelligence en incident response.

Veel succes!

Don't Wait for a Cyberattack—Act Now!

Try it for free