DÉTECTION D'INTRUSIONS - Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARI

comment gérer les incidents de sécurité

Réf: INT

Durée : 4 jours (7 heures)

OBJECTIFS DE LA FORMATION

Cette formation à la fois théorique et pratique présente les techniques d'attaques les plus évoluées à ce jour et montre comment y faire face. A partir d'attaques réalisées sur cibles identifiées (serveurs Web, clients, réseaux, firewall, bases de données...), le stagiaire apprendra à déclencher la riposte adaptée (filtrage d'anti-trojan, filtrage URL mal formée, détection de spam et détection d'intrusion en temps réel avec sonde IDS.

- Le monde de la sécurité informatique - TCP/IP pour firewalls et détection d'intrusions - Rappel sur les techniques de firewalling - Comprendre les attaques sur TCP/IP - Intelligence Gathering : l'art du camouflage

* Protéger ses données

* Détecter les trojans et les backdoors

* Défendre les services en ligne

* Comment gérer un incident ?

* Conclusion : quel cadre juridique ?

PROGRAMME DE FORMATION

Travaux pratiques de cette formation détection d`intrusions

Des architectures sécurisées et "normalement" protégées (firewall multi-DMZ, applications sécurisées) seront la cible des attaques Les parades seront adaptées aux attaques ; il sera utilisé, à la demande, Checkpoint Firewall-1 avec Malicious Attack Detection, ISS Realsecure & BlackIce, Apache en reverse Proxy furtif et filtrant, Proxy Trend Micro Interscan Virus Wall et Tripwire Les plateformes d'attaque seront principalement sous Linux ; les cibles seront Windows NT et Solaris

Programme de cette formation détection d`intrusions Le monde de la sécurité informatique

- Définitions « officielles » : le hacker, le hacking - La terminologie hacker, son vocabulaire - Qui est hacker ? Comment devient-on hacker ?

- La communauté des hackers dans le monde, les « gurus », les « script kiddies » - L'état d'esprit et la culture du hacker, être hacker malgré soi

- Comment travaillent-ils ? Quelle est leur motivation ? Comment se faire une réputation ? - Les sites de base de donnée d'exploits (securityfocus, packetstorm, securitybugware) - Les conférences sécurité (Defcon, Blackhat, CanSecWest)

____________________________________________________________________________________

- Les sites majeurs de la sécurité (CERT, Security focus/bugtraq, CVE,) Travaux pratiques de cette formation détection d`intrusions

Navigation UndergroundSavoir localiser les informations utiles

TCP/IP pour firewalls et détection d'intrusions - IP, TCP et UDP sous un autre angle

- Zoom sur ARP et ICMP

- Comprendre le routage forcé de paquets IP (source routing) - Comprendre la fragmentation IP et les règles de réassemblage Travaux pratiques de cette formation détection d`intrusions

Visualisation et analyse d'un trafic classique Utilisation de différents sniffers (Unix et Windows)

Rappel sur les techniques de firewalling

- De l'utilité d'un filtrage sérieux : le top 10 des vulnérabilités - Sécuriser ses serveurs : un impératif (cf stats honeynet)

- Les parades par technologies : du routeur filtrant au firewall stateful inspection ; du proxy au reverse proxy - Panorama rapide des solutions et des produits disponibles pour faire face aux attaques

Comprendre les attaques sur TCP/IP - Le « Spoofing » IP

- Attaques par déni de service (Synflood, Nuke, Land, Teardrop) - Prédiction des numéros de séquence TCP : implications - Vol de session TCP : Hijacking (Hunt, Juggernaut) - Attaques sur SNMP

- Attaque par TCP Spoofing (Mitnick) : démystification Travaux pratiques de cette formation détection d`intrusions

Création et injection de paquets fabriqués sur le réseauUtilisation au choix des participants d'outils graphiques, de Perl, de C ou de scripts dédiésHijacking d'une connexion telnet

Intelligence Gathering : l'art du camouflage Trois étapes majeures pour « comprendre » la cible :

- Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche

____________________________________________________________________________________

Adonya Sarl – Organisme de Formation Professionnelle 75 Avenue Niel – 75017 PARIS, France

Tél.: 01.40.55.06.47 - www.adonya .fr - contact@adonya.fr SARL au capital de 40.000 € - 505 085 126 RCS Paris – Code NAF 8559A TVA intracommunautaire FR 57 50 50 85 126 - Déclaration d'existence N° 11 75 43 524 75

- Identification des serveurs : techniques de scan de réseaux (Ping Sweep, TCP Sweep, ), les différents scans de port et les outils, déterminer la nature du système : OS Fingerprinting

- Comprendre le contexte : analyser les résultats, déterminer les règles de filtrage , quelques cas spécifiques Travaux pratiques de cette formation détection d`intrusions

Recherche par techniques non intrusives d'informations sur une cible potentielle (au choix des participants)Utilisation d'outils (Windows et Linux) de scans de réseaux

Protéger ses données

- Systèmes à mot de passe « en clair », par challenge, crypté - Le point sur l'authentification sous Windows (LM, NTLM, NTLMv2) - Rappels sur SSH et SSL (HTTPS)

- Quelles informations obtenir à l'aide d'un sniffer ? - Sniffing d'un réseau switché : ARP poisonning

- Les attaques sur les données cryptées : « Man in the Middle » sur SSH et SSL, « Keystoke Analysis » sur SSH - Détection de sniffer : outils et méthodes avancées

- Les attaques sur mots de passe : du sniffing au brute force Travaux pratiques de cette formation détection d`intrusions

Décryptage et vol de session SSH : attaque « Man in the Middle »Cassage de mots de passe avec LophtCrack (Windows) et John The Ripper (Unix)

Détecter les trojans et les backdoors

- Etat de l'art des backdoors sous Windows et Unix (discrètes, client-serveur, ) - Mise en place de backdoors et introduction de trojans

- Le téléchargement de scripts sur les clients, exploitation de bugs des navigateurs

- Les « Covert Channels » : application client-serveur utilisant ICMP (Loki), communication avec les Agents de Déni de Service distribués Travaux pratiques de cette formation détection d`intrusions

Analyse de Loki, client-serveur utilisant ICMP (possibilités, traces réseau, )Accéder à des informations privées avec son navigateur

Défendre les services en ligne

- Prise de contrôle d'un serveur : recherche et exploitation de vulnérabilités, mise en place de « backdoors » et suppression des traces Comment contourner un firewall ? (netcat et rebonds)

- La recherche du déni de service (Land Attack, Smurf, Ping Of Death, Jolt2, )

- Les dénis de service distribués (DDoS) : TrinOO, Stacheldraht, TFN, Mstream, Naphta

- Les attaques par débordement (buffer overflow) Exploitation de failles dans le code source Techniques similaires : « Format String », « Heap ____________________________________________________________________________________

Overflow »,

- Vulnérabilités dans les applications Web (« SQL injection », bugs CGI, PHP, ASP, JSP, ) - Vol d'informations dans une base de données (Oracle, Sybase ASE, MS SQL, ) - Les RootKits : comment les hackers cachent leur présence ?

Travaux pratiques de cette formation détection d`intrusions

Exploitation du bug utilisé par le ver « Code Red »Obtention d'un shell root par différents types de buffer overflowTest d'un déni de service (Jolt2, Ssping)Utilisation de netcat pour contourner un firewallUtilisation des techniques de « SQL Injection » pour casser une authentification Web

Comment gérer un incident ?

- Les signes d'une intrusion réussie dans un SI : mettre en évidence l'intrusion - Qu'ont obtenu les hackers ? Jusqu'où sont-ils allés ?

- Comment réagir face à une intrusion réussie ? - Quels serveurs sont concernés ?

- Savoir retrouver le point d'entrée et le combler

- La boîte à outils Unix/Windows pour la recherche de preuves (The Coronet Toolkit, IRCR, récupération de logs effacés, ) - Nettoyage et remise en production de serveurs compromis

Conclusion : quel cadre juridique ?

- La réponse adéquate aux hackers s'intéressant à votre entreprise - La loi française en matière de hacking, la jurisprudence

- Le rôle de l'état, les organismes officiels, la DCSSI, le CASI

- Qu'attendre de l'Office Central de Lutte contre la Criminalité (OCLCTIC) - La recherche de preuves et des auteurs : approche concrète

- Et dans un contexte international ? INTERPOL, EUROPOL, les forums ONU et OCDE - Le test intrusif ou le hacking domestiqué ?

- Comment rester dans un cadre légal, choisir le prestataire, être sûr du résultat

PROFIL STAGIAIRES & PRÉ-REQUIS

Ingénieurs sécurité, systèmes et réseaux ayant à sécuriser le système d'information de l'entreprise et à administrer ou superviser les équipements actifs de la sécurité. Chefs de projet souhaitant comprendre les techniques d'attaques auxquelles l'entreprise est confrontée et adapter la meilleure riposte technologique et produit. Bonnes connaissances des réseaux TCP/IP.

____________________________________________________________________________________

Adonya Sarl – Organisme de Formation Professionnelle 75 Avenue Niel – 75017 PARIS, France

Connaissances de base en sécurité informatique.

PRIX

Paris : 2 270.00 € HT - 2 724.00 € TTC Province : 2 270.00 € HT - 2 724.00 € TTC

DATES DE FORMATIONS

Paris,Lyon,Aix,Nantes,Rennes,Toulouse,Bordeaux,Bruxelles,Strasbourg,Lille,Geneve,Sophia-antipolis,Luxembourg : Nous consulter.

____________________________________________________________________________________

Réseaux et Sécurité

Dans le document Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France (Page 85-90)