La détection d’intrusion
Formation
A distance
Avez-vous besoin d'un coach de formation?
Il vous aidera à comparer différents cours et à trouver la solution la plus abordable.
Description
-
Typologie
Formation
-
Méthodologie
A distance
-
Dates de début
Dates au choix
Cette formation à la fois théorique et pratique présente les techniques d’attaques les plus évoluées à ce jour et montre comment y faire face. A partir d’attaques réalisées sur cibles identifiées (serveurs Web, clients, réseaux, firewall, bases de données...), le stagiaire apprendra à déclencher la riposte adaptée (filtrage d’anti-trojan, filtrage URL mal formée, détection de spam et détection d’intrusion en temps réel avec sonde IDS.
Les sites et dates disponibles
Lieu
Date de début
Date de début
Les Avis
Les matières
- Hacker
- Exploitation
- Serveurs
Le programme
Le monde de la sécurité informatique
- Définitions « officielles » : le hacker, le hacking.
- Le vocabulaire du hacker
- Qui est hacker ? Comment devient-on hacker ?
- La communauté des hackers dans le monde, les « gurus », les « script kiddies ».
- L’état d’esprit et la culture du hacker, être hacker malgré soi.
- Comment travaillent-ils ? Quelle est leur motivation ? Comment se faire une réputation ?
- Les sites de base de donnée d’exploits (securityfocus, packetstorm, securitybugware).
- Les conférences sécurité (Defcon, Blackhat, CanSecWest).
- Les sites majeurs de la sécurité (CERT, Security focus/bugtraq, CVE,...).
- IP, TCP et UDP sous un autre angle.
- Zoom sur ARP et ICMP.
- Comprendre le routage forcé de paquets IP (source routing).
- Comprendre la fragmentation IP et les règles de réassemblage.
- De l’utilité d’un filtrage sérieux : le top 10 des vulnérabilités.
- Sécuriser ses serveurs : un impératif (cf stats honeynet).
- Les parades par technologies : du routeur filtrant au firewall stateful inspection ; du proxy au reverse proxy.
- Panorama rapide des solutions et des produits disponibles pour faire face aux attaques.
- Le « Spoofing » IP.
- Attaques par déni de service (Synflood, Nuke, Land, Teardrop...).
- Prédiction des numéros de séquence TCP : implications.
- Vol de session TCP : Hijacking (Hunt, Juggernaut).
- Attaques sur SNMP.
- Attaque par TCP Spoofing (Mitnick) : démystification.
- Intelligence Gathering : l’art du camouflage
- Trois étapes majeures pour « comprendre » la cible :
- Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche.
- Identification des serveurs : techniques de scan de réseaux (Ping Sweep, TCP Sweep, ...), les différents scans de port et les outils, déterminer la nature du système : OS Fingerprinting.
- Comprendre le contexte : analyser les résultats, déterminer les règles de filtrage , quelques cas spécifiques.
- Systèmes à mot de passe « en clair », par challenge, crypté.
- Le point sur l’authentification sous Windows (LM, NTLM, NTLMv2).
- Rappels sur SSH et SSL (HTTPS).
- Quelles informations obtenir à l’aide d’un sniffer ?
- Sniffing d’un réseau switché : ARP poisonning.
- Les attaques sur les données cryptées : « Man in the Middle » sur SSH et SSL, « Keystoke Analysis » sur SSH.
- Détection de sniffer : outils et méthodes avancées.
- Les attaques sur mots de passe : du sniffing au brute force.
- Etat de l’art des backdoors sous Windows et Unix (discrètes, client-serveur, ...).
- Mise en place de backdoors et introduction de trojans.
- Le téléchargement de scripts sur les clients, exploitation de bugs des navigateurs.
- Les « Covert Channels » : application client-serveur utilisant ICMP (Loki), communication avec les Agents de Déni de Service distribués.
Défendre les services en ligne
- Prise de contrôle d’un serveur : recherche et exploitation de vulnérabilités, mise en place de « backdoors » et suppression des traces. Comment contourner un firewall ? (netcat et rebonds).
- La recherche du déni de service (Land Attack, Smurf, Ping Of Death, Jolt2, ...).
- Les dénis de service distribués (DDoS) : TrinOO, Stacheldraht, TFN, Mstream, Naphta.
- Les attaques par débordement (buffer overflow). Exploitation de failles dans le code source. Techniques similaires : « Format String », « Heap Overflow », ...
- Vulnérabilités dans les applications Web (« SQL injection », bugs CGI, PHP, ASP, JSP, ...).
- Vol d’informations dans une base de données (Oracle, Sybase ASE, MS SQL, ...).
- Les RootKits : comment les hackers cachent leur présence ?
- Les signes d’une intrusion réussie dans un SI : mettre en évidence l’intrusion.
- Qu’ont obtenu les hackers ? Jusqu’où sont-ils allés ?
- Comment réagir face à une intrusion réussie ?
- Quels serveurs sont concernés ?
- Savoir retrouver le point d’entrée... et le combler.
- La boîte à outils Unix/Windows pour la recherche de preuves (The Coronet Toolkit, IRCR, récupération de logs effacés, ...).
- Nettoyage et remise en production de serveurs compromis.
- La réponse adéquate aux hackers s’intéressant à votre entreprise.
- La loi française en matière de hacking, la jurisprudence.
- Le rôle de l’état, les organisme officiels, la DCSSI, le CASI.
- Qu’attendre de l’Office Central de Lutte contre la Criminalité (OCLCTIC).
- La recherche de preuves et des auteurs : approche concrète.
- Et dans un contexte international ? INTERPOL, EUROPOL, les forums ONU et OCDE.
- Le test intrusif ou le hacking domestiqué ?
- Comment rester dans un cadre légal, choisir le prestataire, être sûr du résultat.
Avez-vous besoin d'un coach de formation?
Il vous aidera à comparer différents cours et à trouver la solution la plus abordable.
La détection d’intrusion