Symantec Decoy Server 3.1

Symantec是少數幾家擁有完整入侵偵測系統產品線的廠商，除了網路型的ManHunt，主機型的Host IDS，Decoy Server 3.1是最新的誘捕型入侵偵測系統。企業建置入侵偵測系統的順序通常是網路型、主機型，最後才是誘捕型入侵偵測系統。主要的原因是駭客入侵重要主機時，不一定會掉入誘捕系統的陷阱，也許通過網路型入侵偵測系統後，就直接攻擊重要主機，但誘捕型入侵偵測系統卻有其他入侵偵測 產品所沒有的優勢與強處。
誤報率近乎零，只要存取就是有問題

不同於其他IDS，誘捕型IDS的誤報率幾近於零，而且不用更新攻擊特徵，因為與Decoy Server的任何通訊都會被列為可疑，只要試圖存取就是有問題，所以Symantec Decoy Server會使用網路監聽程式收集進出主機的所有封包，而且會識別網路通訊，只收集與誘捕系統或主機有關的資訊，例如TCP封包就只收集主機內外連線和TCP封包內的ASCII資料。

同時，系統也使用位於主機核心內的串流模組，這個模組會記錄終端機連線作業期間所有讀取或寫入的資訊，當每次使用者連線作業，主機作業系統就會產生個別的虛擬終端機（pseudo-tty），收集螢幕字元輸出及輸入的按鍵動作。透過虛擬終端機連線資訊，記錄器就能分辨出同時與系統互動的多位使用者，能更有效鑑別各個攻擊者的入侵方法與動機。

系統管理主控臺支援Solaris及Windows作業系統，只要登錄各臺Decoy Server主機的IP位址、通訊埠及登入的帳號與密碼，就能透過單一系統窗口管理整個Decoy Server主機網路。主控臺包含圖形化事件分析工具，能夠統計相關事件，協助管理者進行攻擊分析與交叉比對。

當偵測到攻擊或入侵，系統提供5種反應機制，分別為SMTP、SNMP、ManHunt、Cage Shutdown及自訂。Decoy Server使用SMTP及SNMP兩種不同的警示機制，可以傳送電子郵件到管理員帳戶，或配合現有的網路管理軟體運作，如HP或Tivoli的產品。此外，誘捕系統可以整合ManHunt，當偵測到攻擊後，立即中斷該連線，甚至選擇關閉該誘捕系統。

為了降低誤報率，並減輕管理者負擔，系統定義4個優先等級的警示，並包含數種過濾演算法，可由管理者自訂警示總量，舉例來說，如果某項事件符合一級警示，自然也符合二級和三級警示，若同一位收訊人設定為接收所有警示，那麼他只會收到一級警示，並不會收到二級或三級警示事件。要抓到獵物，先設好陷阱

呈現出擬真環境是有效誘捕的第一步，因為駭客不是省油的燈，有經驗的駭客不會輕易的上勾，而且他們會留意周遭環境及所攻擊的系統，一發現不對勁，就會立即停止攻擊，所以我們必須準備好的誘餌，才能引「駭」入甕。

Decoy Server最多可在一臺主機上建立4個誘捕系統（Cage），而且會以主機現有的作業系統來模擬其他誘捕系統，每個誘捕系統可以獨立運作，也可以與其他誘捕系統協同運作。目前Decoy Server僅支援Solaris作業系統，所以誘捕系統的作業環境也是Solaris，管理員可將主機作業系統支援的任何應用程式或資料放進誘捕系統內，舉例來說，如果誘捕系統是模擬企業的Web伺服器，那麼這臺主機就要能執行與資料有關聯的應用程式，反映出真正的網站，並且回應Web要求。

誘捕系統除了可放進自訂的內容，也能由內容產生模組（CGM）建立電子郵件訊息及使用者目錄等內容，增加系統的變化性，讓駭客無法測試是否有安裝Decoy Server。另外，因為誘捕系統在網路上會呈現出4個獨立的系統，所此每臺都要有自己的網路介面，也就是說一臺主機至少需要2張網路卡，若建置4個誘捕系統就需要5張。

當誘捕系統建置完成後，建議先予以備分，以供日後重覆使用，因為建立一套誘捕系統就等於重新安裝一次Solaris作業系統和應用程式，既費時又費工，而且經過駭客攻擊後，最保險的方法就是重新安裝或還原。部署有學問，有效最重要

部署Decoy Server就好像放陷阱一樣，有經驗的獵人才能百發百中，相同的，有效的部署Decoy Server才能對抗來自企業內外的威脅。Symantec提供3種部署方式，分述如下：

布雷區（The Minefield）：
這是最常見的部署方式，但駭客是透過自己的行動和力量找到誘捕主機，並沒有受到引誘，所以只要把誘捕主機放在駭客可以找到的地方即可。部署的重點是讓Decoy Server成為第一批攻擊的目標，卻不會立刻吸引駭客上門。

成功的要素取決於Decoy Server主機的數量、命名方式、布置、網路基礎架構及系統安全政策。以命名方式為例，如果Decoy Server使用有創意又能吸引注意的名稱，則順利轉移攻擊目標的機率就會提高，Global Integrity的研究報告顯示，如果使用引人注意的主機名稱，如SAP、Oracle等名稱，攻擊的次數就會提高。

駭客動物園（The Hacker Zoo）：
大多數的人應該都不了解什麼是駭客動物園，也許翻成「糖罐網段（Honeypot）」會比較好理解，就是在一個子網路上只部署誘捕主機，就好像一排的糖罐。在這個網段內，不同的主機有不同的功能及弱點，因為管理員可以觀察駭客在誘捕系統內的行為，包括駭客的功力、使用哪些工具，所以也稱為「動物園」。

防護罩（The Shield）：
企業最明顯的目標就是它的「門面」，也就是在網際網路上與人互動的伺服器，這些系統通常位於DMZ區內。許多駭客會先進行刺探，偵查伺服器開啟哪些服務，若Web伺服器不支援來自外部的FTP連線，那麼利用FTP試圖連線就很可能是刺探攻擊，這時我們可以不必設法封鎖該行為，反而利用重新導向裝置（防火牆、路由器及交換器）將連線導到部署誘捕主機的DMZ區，駭客就會在Decoy Server上浪費時間，而不會攻擊營運用的伺服器，並曝露出攻擊手法，管理員就能預先加以防範。但在此之前，要先將原本的伺服器資料複製到誘捕主機上，其內容才能取信於人，讓正當的存取也會得到原本想要的資料。

如同先前所講的，Decoy Server不是企業最後一道安全防線，但卻是企業最後才會建置的安全設備。我們建議先建置防火牆和防毒系統，然後是弱點評估和網路型入侵偵測系統，最後才是主機型和誘捕型入侵偵測系統。文⊙陳世煌