Tradizionalmente, in tema di sicurezza, si adotta la strategia di impostare una difesa dei sistemi quanto migliore possibile e reagire quando un attacco va a segno. Si tratta quindi di una strategia puramente difensiva, priva di iniziativa. Le Honeynet offrono, da questo punto di vista, una soluzione alternativa.
Precisiamo innanzitutto cosa si intende per Honeypot. Il termine Honeypot indica un sistema che cattura informazioni su qualsiasi tentativo illegale o non autorizzato di intrusione. Hanno carattere completamente passivo e non prevedono contromisure nei confronti degli attacchi in corso. Si dividono in Low interaction Honeypot, realizzati tramite l’implementazione di ambienti virtuali, e High interaction Honeypot, dove invece girano servizi e sistemi operativi veri e propri.
Concettualmente una Honeynet è piuttosto semplice: si tratta di una rete contenente uno o più Honeypot, privi di attività di produzione e di autorizzazione nell’erogazione di servizi. Proprio per questo motivo, qualsiasi interazione con la Honeynet può costituire un tentativo di accesso non autorizzato e quindi un attacco.
L’attività della Honeynet è focalizzata sulla raccolta delle informazioni, e tutte le informazioni raccolte costituiscono materiale utile all’analisi. L’unico problema consiste nel dare ad esse una priorità, in relazione al valore che esse assumono per lo studio che si vuole condurre.

Architettura delle Honeynet
Le Honeynet non sono semplicemente un software da installare, ma una vera e propria architettura: una rete altamente controllata, dove poter monitorare tutte le attività e inserire un particolare sistema. Si possono delineare i caratteri generali di tale architettura, ma i dettagli e le tecnologie con cui costruirla sono lasciate ai realizzatori, sapendo preventivamente che la raccolta di informazioni può fallire, o peggio, porre a rischio il proprio sistema e tutta la sottorete.
I requisiti fondamentali richiesti a una Honeynet sono due: Data Control e Data Capture.
Data Control si riferisce al contenimento delle attività, in quanto la Honeynet è soggetta a rischi e questo requisito ha la funzione di ridurli. Una Honeynet può infatti venire utilizzata per attaccare altri sistemi e per attività illecite o per la presa di possesso dell’intera rete. Nonostante i rischi è comunque necessario garantire all’attaccante una certa libertà di azione, pur sapendo che più libertà viene concessa, maggiore è la quantità di informazioni che si possono raccogliere e maggiore è il rischio a cui si è esposti. Altro aspetto decisivo è l’abilità di non far conoscere agli attaccanti l’azione di monitoraggio delle operazioni svolte sulla Honeynet. Generalmente lo strato di Data Control è composto da più livelli di protezione per la prevenzione dei danni causati da system failure o errori di programmazione ed è realizzato attraverso l’utilizzo di gateway e restrizioni su banda e connessioni. Il traffico di rete può essere, per esempio, controllato tramite l’utilizzo di NIPS (Network Intrusion Prevention System) come SNORT (http://www.snort.org) o la sua variante SNORT_Inline (http://snort-inline.sourceforge.net). Infine l’Honeywall è un gateway che separa la Honeynet dal resto del sistema, garantendo così una maggiore sicurezza e permettendo la raccolta ed il controllo dei dati.
Data Capture è la funzione che permette la cattura dei dati, ovvero delle operazioni condotte dall’attaccante. L’uso dei livelli si rende, in questo caso, ancora più importante: l’attaccante non deve assolutamente intercettare il flusso di informazioni, che non possono essere salvate sulla macchina locale ma devono essere inviati in sistemi separati e sicuri. In caso contrario, infatti, le informazioni potrebbero venire modificate o cancellate dagli attaccanti stessi, consapevoli di essere ospiti di una Honeynet. In generale, possono essere individuate tre tipologie di Data Capture: Firewall Logging, in cui vengono raccolte tutte le informazioni in ingresso e uscita, Network Activity Logging, che prevede le cattura di tutto il traffico di rete, e System Activity Logging, che si interessa dei singoli Keystrokes con un keylogger. 
Esiste un potenziale terzo requisito nella realizzazione delle Honeynet: Data Collection, necessario, però, solo alle organizzazioni che hanno Honeynet multiple in ambienti separati. I dati raccolti devono essere immagazzinati in un sistema centrale e organizzati in modo da essere più efficaci possibile. E’ possibile effettuare Data Collection su di un unico server anche mediante l’utilizzo di Linux Kernel Modules (LKM). Sebek  è  nato appunto per risolvere questo problema. E’ formato da una client realizzato con un LKM per l’invio dei dati, e da un server per la raccolta degli stessi. Viene utilizzato traffico UDP e non è possibile intercettare e bloccare a livello di kernel il traffico uscente dai vari Honeypot, in quanto il traffico viene creato ed inviato direttamente a livello di device e non utilizzando lo stack TCP/IP. L’intercettazione avviene tramite l’hijacking della system call read().

I rischi
Le Honeynet sono uno strumento potente di acquisizione di informazioni. Questa potenzialità richiede che si permetta l’accesso degli attaccanti al proprio sistema ed è chiaro che il rovescio della medaglia è rappresentato dal rischio che queste concessioni implicano. Un aspetto fondamentale da comprendere è che non esiste un preciso livello di rischio. E’ il realizzatore della Honeynet che fissa il livello di rischio al momento dell’implementazione della stessa, tenendo conto di quanto è disposto effettivamente a pagare come prezzo della potenzialità dello strumento che ha deciso di utilizzare.
Harm, Detection, Disabling e Violation sono le quattro tipologie generali di rischi che si corrono quando si ha a che fare con una Honeynet.
Harm indica il caso in cui la Honeynet venga utilizzata per attaccare altri sistemi. Data Control costituisce la prima barriera contro questo tipo di problema. La struttura multilivello ha infatti la funzione di rendere più difficoltosi gli attacchi condotti per creare danni e di rendere maggiormente gestibili le intrusioni.
Detection consiste nella scoperta da parte dell’attaccante  della Honeynet. In tal caso l’attaccante la ignorerà, con il conseguente fallimento degli obiettivi. Potrebbe anche decidere di introdurre false informazioni al fine di rendere inattendibile l‘analisi dei dati.
Disabling coinvolge le strutture Data Capture e Data Control. Ad esempio un attaccante, dopo aver guadagnato l’accesso ad un Honeypot della Honeynet, può disabilitare Data Capture acquisendone così il controllo. Le strutture a più livelli sia di Data Control che di Data Capture dovrebbero ridurre questo genere di rischi.
Violation si riferisce alle attività illegali che potrebbero essere condotte senza alcun attacco verso sistemi esterni, come ad esempio la distribuzione di materiale illegale. Problema secondario, ma non meno importante, è che tali attività criminali potrebbero venir attribuite all’amministratore della stessa Honeynet, salvo la possibilità di provare che la responsabilità è attribuibile ad altri soggetti.
In generale, sono due i consigli che si possono dare per ridurre i rischi. Prima di tutto, non affidarsi completamente ai sistemi di monitoraggio automatico. Ogni qualvolta si sospetti che un attacco abbia avuto successo, è opportuno effettuare una propria analisi dei dati catturati. Secondo, il segreto del successo di una Honeynet è la personalizzazione. Anche la comunità di attaccanti possono avere accesso alle informazioni sulla realizzazione di una Honeynet e possono quindi agire di conseguenza, adottando contromisure. E’ quindi necessario dare alla Honeynet una struttura non standard, pur riflettendone i caratteri generici.
Una Honeynet è una misura di sicurezza completamente passiva, si limita alla raccolta di informazioni. Ha bisogno di una attività di controllo continuo, richiedendo sforzi non indifferenti e molto tempo. Inoltre la maggior parte dei dati che vengono raccolti si riferiscono a Script Kiddie, di cui si conosce già molto se non tutto. Nonostante questo, le Honeynet costituiscono una potente arma contro gli attaccanti: conoscere il nemico aiuta a combatterlo.