Sécurité - Détection d'Intrusions

Pré-requis:Une bonne connaissance des réseaux TCP-IP est nécessaire. Une connaissance des concepts de sécurisation de systèmes d'information (Firewall, Proxy, VPN, PKI, ...) est souhaitable.
Testez vos connaissances...

Programme:

-Le monde de la sécurité informatique
- Définitions « officielles » : le hacker, le hacking.
- La terminologie hacker, son vocabulaire.
- Qui est hacker ? Comment devient-on hacker ?
- La communauté des hackers dans le monde, les « gurus », les « script kiddies ».
- L'état d'esprit et la culture du hacker, être hacker malgré soi.
- Comment travaillent-ils ? Quelle est leur motivation ? Comment se faire une réputation ?
- Les sites de base de donnée d'exploits (securityfocus, packetstorm, securitybugware).
- Les conférences sécurité (Defcon, Blackhat, CanSecWest).
- Les sites majeurs de la sécurité (CERT, Security focus/bugtraq, CVE,...).

-TCP/IP pour firewalls et détection d'intrusions
- IP, TCP et UDP sous un autre angle.
- Zoom sur ARP et ICMP.
- Comprendre le routage forcé de paquets IP (source routing).
- Comprendre la fragmentation IP et les règles de réassemblage.

-Rappel sur les techniques de firewalling
- De l'utilité d'un filtrage sérieux : le top 10 des vulnérabilités.
- Sécuriser ses serveurs : un impératif (cf stats honeynet).
- Les parades par technologies : du routeur filtrant au firewall stateful inspection ; du proxy au reverse proxy.
- Panorama rapide des solutions et des produits disponibles pour faire face aux attaques.

-Comprendre les attaques sur TCP/IP
- Le « Spoofing » IP.
- Attaques par déni de service (Synflood, Nuke, Land, Teardrop...).
- Prédiction des numéros de séquence TCP : implications.
- Vol de session TCP : Hijacking (Hunt, Juggernaut).
- Attaques sur SNMP.
- Attaque par TCP Spoofing (Mitnick) : démystification.
Intelligence Gathering : l'art du camouflage
Trois étapes majeures pour « comprendre » la cible :
- Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche.
- Identification des serveurs : techniques de scan de réseaux (Ping Sweep, TCP Sweep, ...), les différents scans de port et les outils, déterminer la nature du système : OS Fingerprinting.
- Comprendre le contexte : analyser les résultats, déterminer les règles de filtrage , quelques cas spécifiques.

-Protéger ses données
- Systèmes à mot de passe « en clair », par challenge, crypté.
- Le point sur l'authentification sous Windows (LM, NTLM, NTLMv2).
- Rappels sur SSH et SSL (HTTPS).
- Quelles informations obtenir à l'aide d'un sniffer ?
- Sniffing d'un réseau switché : ARP poisonning.
- Les attaques sur les données cryptées : « Man in the Middle » sur SSH et SSL, « Keystoke Analysis » sur SSH.
- Détection de sniffer : outils et méthodes avancées.
- Les attaques sur mots de passe : du sniffing au brute force.

-Détecter les trojans et les backdoors
- Etat de l'art des backdoors sous Windows et Unix (discrètes, client-serveur, ...).
- Mise en place de backdoors et introduction de trojans.
- Le téléchargement de scripts sur les clients, exploitation de bugs des navigateurs.
- Les « Covert Channels » : application client-serveur utilisant ICMP (Loki), communication avec les Agents de Déni de Service distribués.

-Défendre les services en ligne
- Prise de contrôle d'un serveur : recherche et exploitation de vulnérabilités, mise en place de « backdoors » et suppression des traces. Comment contourner un firewall ? (netcat et rebonds).
- La recherche du déni de service (Land Attack, Smurf, Ping Of Death, Jolt2, ...).
- Les dénis de service distribués (DDoS) : TrinOO, Stacheldraht, TFN, Mstream, Naphta.
- Les attaques par débordement (buffer overflow). Exploitation de failles dans le code source. Techniques similaires : « Format String », « Heap Overflo- », ...
- Vulnérabilités dans les applications Web (« SQL injection », bugs CGI, PHP, ASP, JSP, ...).
- Vol d'informations dans une base de données (Oracle, Sybase ASE, MS SQL, ...).
- Les RootKits : comment les hackers cachent leur présence ?

-Comment gérer un incident ?
- Les signes d'une intrusion réussie dans un SI : mettre en évidence l'intrusion.
- Qu'ont obtenu les hackers ? Jusqu'où sont-ils allés ?
- Comment réagir face à une intrusion réussie ?
- Quels serveurs sont concernés ?
- Savoir retrouver le point d'entrée... et le combler.
- La boîte à outils Unix/Windows pour la recherche de preuves (The Coronet Toolkit, IRCR, récupération de logs effacés, ...).
- Nettoyage et remise en production de serveurs compromis.

-Conclusion : quel cadre juridique ?
- La réponse adéquate aux hackers s'intéressant à votre entreprise.
- La loi française en matière de hacking, la jurisprudence.
- Le rôle de l'état, les organisme officiels, la DCSSI, le CASI.
- Qu'attendre de l'Office Central de Lutte contre la Criminalité (OCLCTIC).
- La recherche de preuves et des auteurs : approche concrète.
- Et dans un contexte international ? INTERPOL, EUROPOL, les forums ONU et OCDE.
- Le test intrusif ou le hacking domestiqué ?
- Comment rester dans un cadre légal, choisir le prestataire, être sûr du résultat.