Réf: SER
Durée : 3 jours (7 heures)
OBJECTIFS DE LA FORMATION
L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus
particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.
- Introduction
- Constituants d'une application Web- Le protocole HTTP en détail - Les risques inhérents aux services Web
- Le firewall réseau dans la protection d'application HTTP - Confidentialité des informations
- Configuration du système et des logiciels - Principe du développement sécurisé - L'authentification des utilisateurs - Le firewall « applicatif »
- Supervision de la sécurité - Conclusion
PROGRAMME DE FORMATION
Travaux pratiques de cette formation sécurite Web
Des sites en ligne sécurisés et protégés (firewall multi-DMZ) seront déployés, une sonde IDS Snort, une protection avancée Apache en reverse Proxy furtif et filtrant, une accélération SSL, une authentification forte par certificat, un contrôle d'intégrité type Tripwire
Programme de cette formation sécurite Web Introduction
- Présentation du contexte en quelques chiffres - Le projet « honeynet » et ses enseignements - Les attaques les plus courantes
- L'évolution des attaques, l'adaptation de celles-ci aux techniques de sécurité
Constituants d'une application Web
- Quels sont les éléments que l'on trouve dans une application N-tiers - Le serveur frontal HTTP, son rôle et ses faiblesses
- L'apport d'un serveur Middleware
____________________________________________________________________________________
- Le serveur de données, un élément devenu indispensable - Le principe de fonctionnement
- Les risques intrinsèques de ces composants - Les acteurs majeurs du marché
Le protocole HTTP en détail
- Rappels sur connexion TCP, http, persistance et pipelining - Les PDUs GET, POST, PUT, DELETE
- Les options HEAD et TRACE
- Les champs de l'en-tête, les codes de status 1xx à 5xx - Redirection, hôte virtuel, proxy cache et tunneling - Les cookies, les attributs, les options associées - Les authentifications (Basic, Improved Digest)
- L'accélération http, proxy, le Web balancing, l'équilibrage de charges Travaux pratiques de cette formation sécurite Web
Installation et utilisation de l'analyseur réseau EtherealUtilisation d'un proxy spécifique Achille
Les risques inhérents aux services Web - Pourquoi les services Web sont-ils plus exposés ? - SQL Injection, une attaque très répandue
- Comprendre la mécanique des attaques par débordement de pile (Buffer Overflow) - Code Red, détail du fonctionnement
- Vol de session par cookie poisonning - Manipulation des champs et risques associés
- Cross Site Scripting ou l'attaque d'un site par ses utilisateurs - Failles internes aux logiciels commerciaux
Travaux pratiques de cette formation sécurite Web
Exploitation de la faille « Unicode »Contournement d'une authentification par SQL InjectionCookie et vol de sessionCross Site Scripting
Le firewall réseau dans la protection d'application HTTP - Le firewall réseau, présentation de son rôle et de ses fonctions
____________________________________________________________________________________
Adonya Sarl – Organisme de Formation Professionnelle 75 Avenue Niel – 75017 PARIS, France
Tél.: 01.40.55.06.47 - www.adonya .fr - contact@adonya.fr SARL au capital de 40.000 € - 505 085 126 RCS Paris – Code NAF 8559A TVA intracommunautaire FR 57 50 50 85 126 - Déclaration d'existence N° 11 75 43 524 75
- Le firewall est-il nécessaire pour la sécurité des services Web - Combien de DMZ pour une architecture N-Tiers
- Pourquoi le firewall réseau n'est pas apte à assurer la protection d'une application Web
Confidentialité des informations
- Infrastructure à clé publique, certificats, signature électronique et empreinte numérique - Sécurité du transport d'informations avec HTTPS
- Gérer ses certificats serveurs, le standard X509 - Quelle autorité de certification choisir ?
- Dans quel cas être sa propre autorité de certification ?
- Accélérateurs SSL : comment choisir entre appliance et carte sur serveur - L'unité de mesure TPS : Transactions Par Seconde
Travaux pratiques de cette formation sécurite Web
Mise en oeuvre de SSL sous Internet Information Serveur avec autorité de certification MicrosoftMise en place du protocole SSL sous Linux/Apache avec OpenSSL
Configuration du système et des logiciels - La configuration par défaut, le risque majeur - La mise à jour des logiciels, une nécessité absolue
- Quelques règles à respecter lors de l'installation d'un système d'exploitation - Linux ou Windows, l'importance du système dans la sécurité d'un service Web - Pourquoi Apache plus que Internet Information Server ?
- Comment configurer Apache et IIS pour une sécurité optimale ? - Le cas du Middleware et de la base de données
- Les VDS (Vulnerability Detection System), arme ou piège ? Travaux pratiques de cette formation sécurite Web
Procédure de sécurisation du frontal Web (Apache ou IIS selon les participants)
Principe du développement sécurisé
- Sécurité du développement, quel budget doit-on y consacrer ? - A quel moment intégrer la sécurité dans le cycle de développement ?
____________________________________________________________________________________
- Le rôle du code côté client, sécurité ou ergonomie ?
- Le contrôle des données envoyées par le client, la base de la sécurisation de l'application - Comment lutter contre les attaques de type « Buffer Overflow »
- Quelles sont les règles de développement à respecter ?
- Comment lutter contre les risques résiduels : Headers, URL Malformée, Cookie Poisoning
L'authentification des utilisateurs
- Connexion anonyme et authentification applicative : attention danger - Systèmes à mot de passe " en clair ", par challenge, crypté
- Les attaques sur mots de passe : du sniffing au brute force
- SecurID, une alternative intéressante contre le vol des mots de passe - Les standards PKCS, l'apport de la PKI
- Le rôle de l'annuaire LDAP, les profils et habilitations, les ACLs Travaux pratiques de cette formation sécurite Web
Mise en oeuvre d'une solution WebSSODéploiement d'un annuaire LDAPGénération de certificats X509 pour l'authentification des utilisateursMise en place d'un portail WebSSO (firewall applicatif) et transfert de l'identification
Le firewall « applicatif »
- Le firewall applicatif, une technologie naissante
- Différences entre le firewall 'réseau' et le firewall 'applicatif'
- Reverse-proxy et firewall 'applicatif', détails des fonctionnalités standard - Quels sont les apports de firewall 'applicatif' sur la sécurité des sites Web - Comment peut-on insérer un firewall 'applicatif' sur un système en production ? - Quels sont les acteurs majeurs du marché ?
Travaux pratiques de cette formation sécurite Web
Mise en oeuvre d'un Firewall ApplicatifDéfinition des servicesGestion de la politique de sécuritéRéédition des attaques précédentes et observation des résultats
Supervision de la sécurité
- La supervision, élément fondamental de la sécurité - Quels sont les composants à auditer ?
- Comment déterminer les événements à risque ?
____________________________________________________________________________________
Adonya Sarl – Organisme de Formation Professionnelle 75 Avenue Niel – 75017 PARIS, France
Tél.: 01.40.55.06.47 - www.adonya .fr - contact@adonya.fr SARL au capital de 40.000 € - 505 085 126 RCS Paris – Code NAF 8559A TVA intracommunautaire FR 57 50 50 85 126 - Déclaration d'existence N° 11 75 43 524 75
- Alerting et Reporting, essentiels dans l'administration de la sécurité - Les sondes de détection d'intrusions (IDS) sont-elles utiles ?
- Le contrôle d'intégrité du système de fichiers comme constituant de la plate-forme de supervision - Comment gérer les alertes ?
- La supervision doit-elle être externalisée ? Travaux pratiques de cette formation sécurite Web IDS Open Source Snort
Conclusion
- Architecture de sécurité complète pour un service Web à risque - Le budget approximatif des éléments de sécurité
- Web Services, XML Encryption et SOAP, quels risques dans les applications futures ?
PROFIL STAGIAIRES & PRÉ-REQUIS
Responsable sécurité. Direction informatique. Ingénieur système et réseaux. Architecte sécurité. Chef de projet Web, Développeur Internet. Webmaster. Connaissances de base des réseaux TCP/IP et d'Internet.
PRIX
Paris : 1 830.00 € HT - 2 196.00 € TTC Province : 1 830.00 € HT - 2 196.00 € TTC
DATES DE FORMATIONS
Paris,Lyon,Aix,Nantes,Rennes,Toulouse Bordeaux,Bruxelles,Strasbourg
Lille,Geneve,Sophia-antipolis Luxembourg : Nous consulter.
____________________________________________________________________________________
Réseaux et Sécurité