～FortiDeceptor 技術ブログ～
【第2回】 デコイの作成

FortiDeceptorのデコイ(おとり)作成手順

今回はFortiDeceptorのデコイ展開までの手順を紹介します。デコイの適切な配置設計によって、不正攻撃の検知率を上げることが重要です。以下の4ステップでデコイの展開を行います。

ステップ１　デコイの選定

ネットワークに既に存在している製品にあわせてデコイを展開することで、攻撃者の目を欺き、攻撃を誘導することが可能です。例えばWindows PCを利用しているオフィスにはサポートが切れているWindows7のデコイを設置することが有効です。
今回はOTネットワークを想定して、Schneider社のSCADAPack333Eを作成する手順をご紹介します。

ステップ２　デコイのインストール

FortiDeceptorにログイン。

【Deception】　＞　【Deception　OS】のメニューに遷移し、「Status」の列から「Synchronize」のボタンをクリック。

ステップ３　デコイを配置するネットワークの指定

【Deception】　＞　【Deployment Network】のメニューに遷移し、「Add new VLAN/Subnet」をクリックして、ネットワーク情報を入力します。

Name	任意の名前を設定
Appliance	どのFortiDeceptorで利用するかを指定
Interface	port1以外のportを指定
Tagged Interface	タグVLANを利用している場合はチェック
Deploy Monitor	デコイを監視するためのモニター用IPアドレスを入力
Gateway	ゲートウェイのIPアドレスを入力
ARP Spoofing Protection	ARPスプーフィング防止についてONかOFFか選択
Tag	VLAN またはサブネットのタグを入力

ステップ４　デコイのデプロイ

①【Deception】　＞　【Deployment Wizard】のメニューに遷移し、Create a New　Decoyを選択する。

Name	任意のデコイプロファイル名を入力
Appliance Name	どのFortiDeceptorで利用するかを指定
Available Deception Oses	OSの選択。今回はscada v3を選択
Available Deception Decoys	デコイの選択。今回はSCADA333Eを選択
Selected Services	デコイが利用するサービス一覧
Automate Lures	1つ以上のタグ名を選択
Launch Immediately	ONの場合、すぐにデコイを展開
Reset Decoy	インシデント検出後のデコイのリセット有無

②サービスの設定
一部のサービスは「Generate Lures」をクリックして、値の自動生成が可能です。
ON/OFFによって、各サービスの動作の有無を決定します。

SNMP	利用する場合はONを設定。任意の値を設定。
DNP3	利用する場合はONを設定。
Telnet	利用する場合はONを設定。ログインIDとPWを設定。

③DNSを指定します。

④デプロイするネットワークを指定します。
本設定でデコイ自身のIPアドレスを指定します。

Deploy Network	デプロイするネットワークを選択
Addressing Mode	Static or DHCPを選択
Gateway	Gatewayを入力
IP Count	デコイに持たせるIPアドレスの数を指定
IP Ranges	IPアドレスのレンジを指定

⑤Deployボタンをクリック

⑥【Deception】　＞　【Decoy Status】の画面に自動遷移します。
StatusがRunningになればデプロイ完了

今回はOTネットワークを想定して、Schneider社のSCADAPack333Eデコイをデプロイしました。デコイの種類によって、動作させられるサービスが異なるため、デコイに応じて適切なパラメータを設定する必要があります。次回のFortiDeceptor技術ブログでは、デコイに対する不正アクセスを行い、検知した結果について紹介します。