Actions collectives - Se former sans impacter son budget formation pour les adhérents AGEFICE  ou FAFIEC.
La détection d’intrusion | REF ESSE007 | 4 jours

 

Formation et cours sur l'infrastructure Serveur Windows à Paris

Préparez votre projet de formation.
OBJECTIFS PEDAGOGIQUES :

Cette formation à la fois théorique et pratique présente les techniques d’attaques les plus évoluées à ce jour et montre comment y faire face. A partir d’attaques réalisées sur cibles identifiées (serveurs Web, clients, réseaux, firewall, bases de données…), le stagiaire apprendra à déclencher la riposte adaptée (filtrage d’anti-trojan, filtrage URL mal formée, détection de spam et détection d’intrusion en temps réel avec sonde IDS.

CONTENU DE LA FORMATIONCOMPRIS DANS LA FORMATIONTARIFS & DATESSE RENSEIGNER
Prérequis
Une bonne connaissance des réseaux TCP-IP est nécessaire. Une connaissance des concepts de sécurisation de systèmes d’information (Firewall, Proxy, VPN, PKI, …) est souhaitable.

Public
Ce cours s’adresse aux techniciens réseaux, responsables SI et toutes personnes impliquées dans la sécurité des réseaux informatiques.

La détection d’intrusion

Le monde de la sécurité informatique

  • Définitions « officielles » : le hacker, le hacking.
  • Le vocabulaire du hacker
  • Qui est hacker ? Comment devient-on hacker ?
  • La communauté des hackers dans le monde, les « gurus », les « script kiddies ».
  • L’état d’esprit et la culture du hacker, être hacker malgré soi.
  • Comment travaillent-ils ? Quelle est leur motivation ? Comment se faire une réputation ?
  • Les sites de base de donnée d’exploits (securityfocus, packetstorm, securitybugware).
  • Les conférences sécurité (Defcon, Blackhat, CanSecWest).
  • Les sites majeurs de la sécurité (CERT, Security focus/bugtraq, CVE,…).

TCP/IP pour firewalls et détection d’intrusions 

  • IP, TCP et UDP sous un autre angle.
  • Zoom sur ARP et ICMP.
  • Comprendre le routage forcé de paquets IP (source routing).
  • Comprendre la fragmentation IP et les règles de réassemblage.

Rappel sur les techniques de firewalling

  • De l’utilité d’un filtrage sérieux : le top 10 des vulnérabilités.
  • Sécuriser ses serveurs : un impératif (cf stats honeynet).
  • Les parades par technologies : du routeur filtrant au firewall stateful inspection ; du proxy au reverse proxy.
  • Panorama rapide des solutions et des produits disponibles pour faire face aux attaques.

Comprendre les attaques sur TCP/IP

  • Le « Spoofing » IP.
  • Attaques par déni de service (Synflood, Nuke, Land, Teardrop…).
  • Prédiction des numéros de séquence TCP : implications.
  • Vol de session TCP : Hijacking (Hunt, Juggernaut).
  • Attaques sur SNMP.
  • Attaque par TCP Spoofing (Mitnick) : démystification.
  • Intelligence Gathering : l’art du camouflage
  • Trois étapes majeures pour « comprendre » la cible :
  • Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche.
  • Identification des serveurs : techniques de scan de réseaux (Ping Sweep, TCP Sweep, …), les différents scans de port et les outils, déterminer la nature du système : OS Fingerprinting.
  • Comprendre le contexte : analyser les résultats, déterminer les règles de filtrage , quelques cas spécifiques.

Protéger ses données

  • Systèmes à mot de passe « en clair », par challenge, crypté.
  • Le point sur l’authentification sous Windows (LM, NTLM, NTLMv2).
  • Rappels sur SSH et SSL (HTTPS).
  • Quelles informations obtenir à l’aide d’un sniffer ?
  • Sniffing d’un réseau switché : ARP poisonning.
  • Les attaques sur les données cryptées : « Man in the Middle » sur SSH et SSL, « Keystoke Analysis » sur SSH.
  • Détection de sniffer : outils et méthodes avancées.
  • Les attaques sur mots de passe : du sniffing au brute force.

Détecter les trojans et les backdoors

  • Etat de l’art des backdoors sous Windows et Unix (discrètes, client-serveur, …).
  • Mise en place de backdoors et introduction de trojans.
  • Le téléchargement de scripts sur les clients, exploitation de bugs des navigateurs.
  • Les « Covert Channels » : application client-serveur utilisant ICMP (Loki), communication avec les Agents de Déni de Service distribués.

Défendre les services en ligne

  • Prise de contrôle d’un serveur : recherche et exploitation de vulnérabilités, mise en place de « backdoors » et suppression des traces. Comment contourner un firewall ? (netcat et rebonds).
  • La recherche du déni de service (Land Attack, Smurf, Ping Of Death, Jolt2, …).
  • Les dénis de service distribués (DDoS) : TrinOO, Stacheldraht, TFN, Mstream, Naphta.
  • Les attaques par débordement (buffer overflow). Exploitation de failles dans le code source. Techniques similaires : « Format String », « Heap Overflow », …
  • Vulnérabilités dans les applications Web (« SQL injection », bugs CGI, PHP, ASP, JSP, …).
  • Vol d’informations dans une base de données (Oracle, Sybase ASE, MS SQL, …).
  • Les RootKits : comment les hackers cachent leur présence ?

Comment gérer un incident ?

  • Les signes d’une intrusion réussie dans un SI : mettre en évidence l’intrusion.
  • Qu’ont obtenu les hackers ? Jusqu’où sont-ils allés ?
  • Comment réagir face à une intrusion réussie ?
  • Quels serveurs sont concernés ?
  • Savoir retrouver le point d’entrée… et le combler.
  • La boîte à outils Unix/Windows pour la recherche de preuves (The Coronet Toolkit, IRCR, récupération de logs effacés, …).
  • Nettoyage et remise en production de serveurs compromis.

Conclusion : quel cadre juridique ?

  • La réponse adéquate aux hackers s’intéressant à votre entreprise.
  • La loi française en matière de hacking, la jurisprudence.
  • Le rôle de l’état, les organisme officiels, la DCSSI, le CASI.
  • Qu’attendre de l’Office Central de Lutte contre la Criminalité (OCLCTIC).
  • La recherche de preuves et des auteurs : approche concrète.
  • Et dans un contexte international ? INTERPOL, EUROPOL, les forums ONU et OCDE.
  • Le test intrusif ou le hacking domestiqué ?
  • Comment rester dans un cadre légal, choisir le prestataire, être sûr du résultat.
  • SUIVI POST-FORMATION 1 AN
  • SUPPORTS DE FORMATION
  • GUIDE DE BONNES PRATIQUES
INTER-ENTREPRISES : € HT par stagiaire
PARIS

Rien de 15 août 2018 à 15 août 2019.

INTRAS ET SUR MESURE
Nos consultants vous accompagnent pour adapter ce programme de formation à votre contexte.

Utilisez ce formulaire pour décrire votre projet de formation.


1
Fermer le menu