Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

(1)

RÉSEAUX ET SÉCURITÉ

____________________________________________________________________________________

(2)

Sommaire

Formation

Cycle certifiant Responsable Sécurité des SI - 5 Cycle certifiant Administrateur réseaux - 8 Sécuriser un système Linux/Unix - 11

Windows 2008/2003, sécuriser l'infrastructure - 16 Windows 2012, sécuriser l'infrastructure - 20

Windows 7, se protéger contre les virus et malwares - 22 Windows 7, sécurité et performance - 25

Windows 8, sécurité et performance - 28 PKI, mise en oeuvre - 31

Sécurité des applications Web, perfectionnement - 35 Sécurité des applications Web - 37

EJBCA, mise en œuvre d'une solution SSL PKI - 42

Forefront Unified Access Gateway 2010, mise en œuvre - 45 Forefront Threat Management Gateway 2010, mise en œuvre - 48 Fortinet, sécurité réseaux - 51

CCSE, Check Point Certified Security Expert R75, préparation à la certification - 55 CCSA, Check Point Certified Security Administrator R75, préparation à la

certification - 58

Check Point R70, sécurité réseaux, niveau 2 - 61 Check Point R70, sécurité réseaux, niveau 1 - 64 Tests d'intrusion, mise en situation d'audit - 67 Hacking et sécurité, expertise - 70

Introduction à la cryptographie - 72

Traiter efficacement les logs pour optimiser votre sécurité SI - 78 Sécurisez votre réseau en Open Source - 81

Détection d'intrusions - 85

Sécurité systèmes et réseaux, niveau 2 - 90 Sécurité systèmes et réseaux, niveau 1 - 95 SAML 2, fédération des identités, synthèse - 99

Authentifications et autorisations, architectures et solutions - 101 Annuaire et gestion d'identité - 103

PCI-DSS, sécurité e-commerce - 107

Sécurité SI, mise en œuvre pratique d'une analyse de risques - 109 Mehari Risk Manager, certification - 112

Méthode EBIOS, mise en œuvre - 114

CISM, Certified IS Manager, préparation à la certification - 117 CISA, Certified IS Auditor, préparation à la certification - 119 Sécurité des SI, préparation à la certification CISSP - 122 ISO 22301, Lead Implementer, certification - 124

ISO 22301, Lead Auditor, certification - 127 ISO 22301, Foundation, certification - 129 ISO 27005 Risk Manager, certification - 131 Analyse de risques - 133

Lead Implementer 27001, mise en pratique - 136

____________________________________________________________________________________

Adonya Sarl – Organisme de Formation Professionnelle 75 Avenue Niel – 75017 PARIS, France

Tél.: 01.40.55.06.47 - www.adonya .fr - contact@adonya.fr SARL au capital de 40.000 € - 505 085 126 RCS Paris – Code NAF 8559A TVA intracommunautaire FR 57 50 50 85 126 - Déclaration d'existence N° 11 75 43 524 75

(3)

Lead Auditor 27001, mise en pratique - 138 Audit, indicateurs et contrôle de la sécurité - 140 Plan de secours et de continuité - 143

Sécurité des applications Web, synthèse - 146

Cisco ICOMM, CCNA Voix, préparation à la certification - 149 Cisco IUWNE, CCNA Wireless, préparation à la certification - 152 Cisco IINS, CCNA Network Security, préparation à la certification - 155

Cisco TSHOOT, CCNP Routing & Switching, préparation à la certification - 158 Cisco SWITCH, CCNP Routing & Switching, préparation à la certification - 161 Cisco ROUTE, CCNP Routing & Switching, préparation à la certification - 164 Cisco ICND2, CCNA Routing & Switching, préparation à la certification - 167 Cisco ICND1, CCENT Routing & Switching, préparation à la certification - 170 Cisco Intrusion Prevention System (IPS7), mise en œuvre - 173

Routeurs Cisco, mise en œuvre de la QoS - 176 Cisco, mise en œuvre de solutions MPLS - 179 CiscoWorks, administration de réseaux - 182 Cisco voix sur IP - 185

Sécurité réseaux avec Cisco, Pix et routeurs - 189

Cisco firewall ASA, configuration et administration - 192 Commutateurs Cisco, réseaux multiniveaux - 197

Routeurs Cisco, mise en œuvre de BGP - 201 Routeurs Cisco, perfectionnement - 204 Routeurs Cisco, mise en oeuvre sur IP - 209

Déployer des solutions de vidéosurveillance intelligentes - 214 Déployer un réseau de vidéosurveillance sur IP - 216

Asterisk, configuration et mise en oeuvre - 219 IMS, mise en oeuvre - 222

SIP, mise en oeuvre - 225

Voix sur IP, mise en oeuvre avancée - 228 Voix sur IP, sécurité - 230

Voix sur IP, mise en oeuvre - 234 Gestion de réseaux avec SNMP - 238

Zabbix administration, superviser vos systèmes et réseaux - 241 Cacti, supervision et reporting réseaux/systèmes - 244

Nagios, exploitation - 247

Nagios, administration de réseaux - 249

Administration, contrôle des systèmes/réseaux - 252 Réseau fibre optique, mise en œuvre - 254

Mise en oeuvre d'un réseau WiFi sécurisé - 257 Réseaux Privés Virtuels, mise en oeuvre - 261 IPv6, audit et migration - 265

IPv6, mise en oeuvre - 268

Réseaux, incidents et dépannage - 271 TCP/IP, mise en oeuvre - 274

Introduction aux réseaux - 278

Réseaux informatiques pour non-informaticiens - 282 Annuaire Open LDAP sous Unix/Linux - 285

____________________________________________________________________________________

(4)

Annuaires LDAP sous Windows - 288

Gestion d'annuaires d'entreprise avec LDAP - 291 La QoS dans les réseaux IP, MPLS et Ethernet - 293 Réseaux, solutions d'administration - 296

Audit et analyse des réseaux - 298 Réseaux mobiles LTE/4G - 303

Réseaux mobiles, évolution de l'UMTS, 3G+, IMS - 307 Réseaux mobiles, solutions 3G - UMTS - 310

Réseaux mobiles, GSM, GPRS et EDGE - 313 Evolution des réseaux mobiles - 316

Architecture Wi-Fi-WiMax - 319

Introduction aux télécommunications - 321 Câblage informatique et nouveaux réseaux - 324 Sécurité VPN, sans-fil et mobilité - 326

IP, technologies et services - 329 PHP 5, sécurité des applications - 335 Sécurité des applications en .NET - 337 Java/JEE, sécurité des applications - 339

Sécurité SI, sensibilisation des utilisateurs - 341 Sécurité réseaux/Internet, synthèse - 345

Sécurité des SI, synthèse - 350 Réseaux sans fil, Wi-Fi - 355

Téléphonie sur IP, architectures et solutions - 361 Réseaux et Internet du futur - 365

Réseaux, synthèse technique - 368 Cloud Computing, sécurité - 377

Powered by TCPDF (www.tcpdf.org)

____________________________________________________________________________________

(5)

Réseaux et Sécurité

CYCLE CERTIFIANT RESPONSABLE SÉCURITÉ DES SI

Réf: KUR

Durée : 12 jours (7 heures)

OBJECTIFS DE LA FORMATION

Ce cycle vous apportera toutes les connaissances nécessaires à la définition et la mise en oeuvre de la politique de sécurité de l'entreprise. Vous apprendrez à répondre aux impératifs de sécurité dans les communications IT et l'architecture du système d'information. Ce cycle traitera aussi de normes ISO relatives à ce domaine, avec un focus particulier sur l'analyse de risques et la mise en place d'un plan de secours et de continuité.

Contenu de cette formation Responsable Sécurité SI:

-La sécurité des Systèmes d'Information -Sensibilisation et communication -La sécurité des réseaux et de l'Internet -La sécurité des applications et la supervision -L'analyse de risques

-Le plan de secours et de continuité

PROGRAMME DE FORMATION

La sécurité des Systèmes d'Information

-La notion et les types de risque (potentialité, impact, accident, erreur, malveillance).

-La classification DIC. La gestion du risque (prévention, protection, report de risque, externalisation).

-RSSI, chef d'orchestre de la sécurité. Rôle et responsabilité.

-Les cadres normatifs et réglementaires. Vers la gouvernance informatique, les liens avec ITIL et CMMI.

-La norme ISO dans une démarche Systèmes de management. La certification ISO 27001.

-L'analyse de risque. Comment constituer sa propre base de connaissances menaces/vulnérabilités.

-Les méthodes en activité : EBIOS/FEROS, MEHARI.

-Les audits de sécurité. Les bonnes pratiques de la norme 19011 appliquées à la sécurité.

Sensibilisation et communication

-Mettre en place un plan de sensibilisation et de communication.

-La charte de sécurité, son existence légale, son contenu, sa validation.

-Couverture des risques. Plans de secours, de continuité, de reprise et de gestion de crise.

-Concevoir des solutions optimales. Démarche pour les solutions de sécurisation adaptées pour chaque action.

-Définition d'une architecture cible. Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.

-Déployer un projet PKI, les pièges à éviter. Les techniques d'authentification, SSO, fédération d'identité.

-Les principes juridiques applicables au SI. La responsabilité civile délictuelle et contractuelle.

-Recommandations pour une sécurisation légale du SI. La cyber-surveillance des salariés, limites et contraintes légales.

____________________________________________________________________________________

(6)

La sécurité des réseaux et de l'Internet

-Evolution de la cybercriminalité. Nouveaux usages (Web 2.0, virtualisation, Cloud Computing...) et risques associés.

-Outils et méthodes d'intrusion par TCP-IP. Les attaques applicatives (DNS, HTTP, SMTP, etc.).

-Sécurité des postes clients. Les menaces : backdoor, virus, rootkit... Le rôle du firewall personnel et ses limites.

-Sécurité du sans-fil (Wi-fi et Bluetooth). Attaques spécifiques (Wardriving, failles WEP et EAP).

-Technologie firewall et proxy. Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...).

-Techniques cryptographiques. Algorithmes à clé publique : Diffie Hellman, RSA... Scellement et signature-électronique.

-Sécurité pour l'Intranet/Extranet. Les attaques sur SSL/TLS (sslstrip, sslnif...). AnnuaireLDAP et sécurité.

-Réseaux Privés Virtuels (VPN). IPSec. Les modes AH et ESP, IKE et la gestion des clés.

La sécurité des applications et la supervision

-Les principales techniques d'attaque des applications (buffer overflow, XSS, SQL Injection, vol de session...).

-Le processus SDL (Security Development Lifecycle). Utilisation de la technique de " fuzzing ".

-Les outils de revue de code orientés sécurité. Le Firewall applicatif (WAF). Hardening et vérification d'intégrité.

-Gestion et supervision active de la sécurité. Les tableaux de bord Sécurité. La norme ISO 27004.

-Les missions du RSSI dans le suivi de la sécurité. Les audits de sécurité (techniques ou organisationnels).

-Les tests de vulnérabilité ou tests d'intrusion. Les outils Sondes IDS, Scanner VDS, Firewall IPS.

-Consigner les preuves et riposter efficacement. Se tenir informé des nouvelles vulnérabilités.

-Gérer les mises à niveaux. Savoir réagir en cas d'incidents. Les services indispensables : où les trouver.

L'analyse de risques

-Rappels sur les terminologies ISO 27000.

-Identification et classification des risques.

-L'analyse de risques selon l'ISO.

-Les méthodes d'analyse de risques EBIOS 2010 et MEHARI 2010. Les autres méthodes internationales.

-Comment choisir la meilleure méthode sur la base d'exemples et études de cas pratique.

-Une méthode globale ou une méthode par projet.

-Le vrai coût d'une analyse de risques.

Le plan de secours et de continuité

-Les enjeux pour l'entreprise d'une stratégie de continuité : lois et réglementations, normes et standards.

-Définir la stratégie de continuité.

-Les phases d'un projet plan de continuité.

____________________________________________________________________________________

(7)

-L'analyse des risques pour le plan de continuité.

-L'identification des activités critiques.

-Les éléments et le budget pour élaborer les scénarios.

-Les équipes de secours : constitution, rôles... Les principes de déclenchement du plan de secours.

PROFIL STAGIAIRES & PRÉ-REQUIS

Ingénieur, expert, consultant en informatique.

Bonnes connaissances en systèmes et réseaux informatiques.

PRIX

Paris : 7 751.00 € HT - 9 301.20 € TTC Province : 7 751.00 € HT - 9 301.20 € TTC

DATES DE FORMATIONS

Paris,Lyon,Aix,Nantes,Rennes,Toulouse,Bordeaux,Bruxelles,Strasbourg,Lille,Geneve,Sophia-antipolis,Luxembourg : Nous consulter.

____________________________________________________________________________________

(8)

CYCLE CERTIFIANT ADMINISTRATEUR RÉSEAUX

Réf: KAR

OBJECTIFS DE LA FORMATION

Ce cycle vous apportera toutes les connaissances nécessaires à la compréhension, l'installation et l'administration des réseaux d'entreprise. Vous apprendrez le fonctionnement et la mise en œuvre des principaux protocoles réseaux tels que TCP/IP, DNS, HTTP, ainsi que des différents équipements d'interconnexion comme les commutateurs et les routeurs. Un module entièrement dédié à la sécurité des systèmes et des réseaux complétera ce cycle de formation.

Contenu de cette formation Administrateur réseaux:

-Principes généraux et les différents réseaux

-Alternatives de raccordement et réseaux locaux (LAN) -TCP/IP et les protocoles de haut niveau

-Routeurs Cisco, mise en œuvre sur IP -Le routeur Cisco au quotidien

-Risques et menaces, architectures de sécurité

PROGRAMME DE FORMATION

Principes généraux et les différents réseaux

-Un réseau pour quoi faire ? Les différents éléments et leur rôle.

-Classification des différents types de réseaux.

-Avantages et inconvénients des différentes technologies.

-Quelles technologies pour quels besoins ? -Introduction au modèle client/serveur.

-Partager les ressources. Nature et objet d'un protocole.

-Le modèle ISO/OSI : quel intérêt ? Les sept couches.

Alternatives de raccordement et réseaux locaux (LAN)

-La paire torsadée, coaxial et fibre optique.

-Principe et règle de câblage. Le sans fil.

-Pourquoi et quand utiliser un réseau local ? -Le type d'adressage du standard Ethernet.

-Contraintes, avantages et mode de fonctionnement d'Ethernet (CSMA/CD).

-Plusieurs débits de 10 Mo à plusieurs Go (10/100 base T/Gigabit Ethernet/...).

-Les réseaux locaux sans fil (802.11x).

-Les différents équipements, leurs rôles et leurs avantages respectifs.

Travaux pratiques

____________________________________________________________________________________

(9)

Création d'un réseau local avec des switch et des stations de travail. Installation d'un analyseur réseau. Configuration des adresses paramètres IP sur les stations de travail. Identifier et travailler avec les adresses MAC, requêtes ARP et la table ARP.

Tests de connexion entre les stations.

TCP/IP et les protocoles de haut niveau

-Les contraintes d'adressage des réseaux. Le protocole IP.

-Le plan d'adressages. Le Broadcast et le Multicast.

-Les protocoles TCP et UDP. Notion de numéro de port.

-Le service de nom DNS. Rôle et intérêt.

-Les principes de fonctionnement. La notion de domaine.

-Le serveur DHCP. Les principes de base.

-Savoir attribuer des adresses IP dynamiquement. Les autres services rendus par DHCP.

-Les protocoles de messagerie SMTP, POP3, IMAP4. Le HTTP, HTTPS, FTP, TELNET et SSH.

Exemple d'utilisation de FTP entre les postes de travail et le serveur FTP (prise de trace et analyse des trames et paquets).

Connexion en telnet sur les routeurs (prise de trace et analyse des trames et paquets). Intégration des postes de travail en tant que client DNS et DHCP.

Routeurs Cisco, mise en œuvre sur IP

-L'architecture d'un routeur Cisco.

-Installation et configuration.

-Configuration des commutateurs Cisco.

-Configurer le routage IP. Les protocoles de routage.

-Routage à vecteurs de distance RIP v1 et v2. EIGRP. Principes de fonctionnement. Traitement des boucles.

-Les protocoles de routage OSPF. Base de données et topologie. Les états de liens. La convergence.

-Topologie, tables, boucles, routes, routage politique. Routage multicast.

-Configurer un routeur pour les réseaux WAN.

-La translation d'adresses. Les adresses publiques et les adresses privées.

-Les accès pour une application donnée. Les Access-List étendue.

Raccordement physique des routeurs. Configuration des adresses IP sur les routeurs. Identifier et travailler avec les adresses MAC, les requêtes ARP et la table ARP des routeurs. Analyser la table de routage. Tests de connexion entre stations et routeurs. Configuration d'une table de translation.

Le routeur Cisco au quotidien

-Comment récupérer le mot de passe.

-Les états du registre de configuration. Télécharger une nouvelle version de packlogiciel.

____________________________________________________________________________________

(10)

-Sauvegarder via TFTP. Téléchargement d'une nouvelle configuration.

-La supervision du routeur. La vérification sur logiciel.

-La gestion des modifications et de la configuration.

-La sécurité. Les adresses publiques et les adresses privées.

-Les techniques de maintenance. Reconnaître et réparer des composants matériels défectueux.

-Maintenance matérielle. Tests des interfaces. Maintenance logicielle. Debugging.

Sauvegarde et réinstallation de configuration et IOS via le réseau. Récupération après perte d'IOS en Flash. Récupération et remplacement de mot de passe.

Risques et menaces, architectures de sécurité

-Introduction à la sécurité.

-Les attaques "couches basses" et les attaques applicatives.

-Quelles architectures pour quels besoins ? -Firewall : pierre angulaire de la sécurité.

-Proxy serveur et relais applicatif.

-Sécurité des données et des échanges.

-Sécuriser un système, le "Hardening".

-Audit et sécurité au quotidien.

Installation et utilisation de Wireshark. Mise en œuvre d'une attaque applicative. Installation d'un proxy Cache/Authentification.

Déploiement d'un relais SMTP et d'un proxy HTTP/FTP Antivirus. Réalisation d'une attaque Man in the Middle sur une session SSL. Mise en œuvre d'IPSec.

PROFIL STAGIAIRES & PRÉ-REQUIS

Techniciens informatiques.

Connaissances de base en informatique.

PRIX

DATES DE FORMATIONS

____________________________________________________________________________________

(11)

Réseaux et Sécurité Systèmes d'exploitation

SÉCURISER UN SYSTÈME LINUX/UNIX

Réf: SRX

OBJECTIFS DE LA FORMATION

Ce stage très pratique et technique vous montrera comment sécuriser des serveurs Linux, au moyen d'outils et logiciels libres, ces outils sont nombreux, mûrs et adoptés par les principaux acteurs du marché. À l'issue de cette formation, les participants sauront définir une stratégie de sécurité, sécuriser des serveurs Linux/Unix et maintenir un niveau de sécurité constant dans le temps. Le cours prévoit entre autres les thèmes suivants: sécurisation du système « isolé », sécurisation du réseau dans l'entreprise, mener à bien un audit de sécurité.

- Introduction

- La sécurité et l'Open source

- L'installation trop complète : l'exemple de Linux - La sécurité locale du système

- La sécurité au niveau réseau - Les utilitaires d'audit de sécurité

PROGRAMME DE FORMATION

Introduction

- Pourquoi sécuriser un système : de quoi doit-on se protéger, de qui, pourquoi peut-on être attaqué ? Les utilisateurs, l'authentification

- Dès le départ, définir une stratégie d'authentification sécurisée - Gestion des mots de passe, « éducation » des utilisateurs - Qui doit avoir un shell ?

- Qui doit pouvoir se connecter ? - La notion de pseudo user Le cryptage des mots de passe

- Les différents algorithmes de chiffrement Stockage d'un mot de passe Chiffrement d'un mot de passe (openssl, crypt/MD5) Vérification d'un mot de passe Quelques algorithmes de chiffrement sur Unix et en réseau

- Stockage des mots de passe cryptés et protections - Le durcissement des mots de passe utilisateurs - Exemples d'attaques par dictionnaire

La sécurité et l'Open source Les implications de l'Open source

____________________________________________________________________________________

(12)

- Les corrections sont rapides, les bugs sont rendus publics

Problèmes liés au code (bugs connus) et donc exploités par les hackers - La technique d'approche d'un hacker : connaître les failles = savoir attaquer - Exemple d'« exploit » d'une vulnérabilité et solution de sécurisation - Quelle solution : mise à jour des logiciels, changement de logiciel ?

L'installation trop complète : l'exemple de Linux Choisir une distribution dite « sécurisée »

- Debian, RedHat et les autres distributions

Installation d'un système à partir d'une distribution classique - Eviter le piège de l'installation facile

- Le maître mot : n'installer que le minimum requis

- Méthodes d'ajout ou de suppression de composants logiciels Le noyau

- Allégement du noyau (utiliser le minimum pour vos besoins) - Drivers de périphériques, fonctionnalités, etc

- Quelle version choisir, comment se renseigner, où trouver l'information, les patches - Les modules Simplicité d'administration, mais risque éventuel !

La sécurité locale du système La gestion des droits

- Exemples de malveillance et d'inadvertance

- Faible permissivité par défaut, ouvrir les droits sans en accorder trop

- Vérification des droits des fichiers, scripts et commandes efficaces pour diagnostiquer - L'importance des droits sur les répertoires

- Vérification automatisée : un changement de droit est il légitime ?

- Les droits des fichiers exécutables (identité d'un processus, setuid/setgid bit) - Gestion des processus identité réelle, identité effective

Les systèmes de fichiers

- Avantages du montage de quelques d'un FS en lecture seule

____________________________________________________________________________________

(13)

- Les attributs des fichiers, disponibilité et intérêt, gestion de l'effacement physique - Récupérer un fichier effacé ?

- Les outils comme Tripwire ou Aide, les scripts d'audit du changement La gestion des fichiers de log

- Conservation des logs, combien de temps, pour quoi faire ? - Problème d'espace disque induit par les logs d'un service - L'outil d'analyse des logs : logwatch

- Réagir en temps réel : exemple de script PAM

- Paramétrage de PAM dans les différents contextes

- Renforcer les règles PAM concernant l'authentification des comptes - Intérêt de restreindre les ressources du système au niveau PAM Environnement sécurisé par SELinux

- Confinement de l'exécution des processus

- Terminologie DAC, MAC, RBAC, contexte, modèle, - Définition de la politique de sécurité

- Outils d'administration

La sécurité au niveau réseau

La gestion des services : deux précautions valent mieux qu'une - Utiliser un firewall ? Utiliser les wrappers ?

- Mettre en place des filtres d'accès aux services

- Configurer un firewall de manière sécurisée, la bonne démarche de sécurisation au niveau réseau Quels outils pour vérifier l'accessibilité d'un service

- Les techniques et outils de test d'accès aux services - Les commandes de diagnostic

Le filtrage du trafic au niveau IP

- Mise en place d'un firewall NetFilter sous Linux - Philosophie et syntaxe de iptables

La gestion des services

____________________________________________________________________________________

(14)

- De quoi ai-je besoin ?

- Qu'est-ce que ce service qui écoute sur ce port ?

- Le super serveur xinetd, flexibilité, fiabilité, filtrage, lutte anti-attaque DOS - Les restrictions d'accès par le wrapper, les fichiers de trace

- Réaliser un audit des services actifs Les attaques DOS

- Technique d'approche et but cherché

- Comment y remédier, ou plutôt y résister, les outils et leur paramétrage Le problème de l'écoute du trafic réseau

- Paramétrage de ssh (clés, fichiers, commandes, stratégie, ) - "tunnels ssh" pour les applications de l'informatique existante

Les utilitaires d'audit de sécurité Les principaux logiciels de crackage

- Des produits propriétaires et les alternatives libres - Crack, John the Ripper, Qcrack

Des produits OpenSource liés à la sécurité

- Panorama des systèmes de détection d'intrusion HIDS et NIDS - TRIPWIRE / AIDE

- SNORT

- Tester la vulnérabilité avec NESSUS (richesse des rapports) Méthodologie et webographie

- Démarche de mise en oeuvre d'un outil de sécurité - Les sites liés à la sécurité, la check-list sécurité

PROFIL STAGIAIRES & PRÉ-REQUIS

Ce cours s'adresse aux administrateurs de serveurs et de réseaux ayant le souci de mettre en oeuvre des serveurs sécurisés.

Bonnes connaissances en administration des systèmes et réseaux.

PRIX

Paris : 1 750.00 € HT - 2 100.00 € TTC

____________________________________________________________________________________

(15)

Province : 1 750.00 € HT - 2 100.00 € TTC

DATES DE FORMATIONS

____________________________________________________________________________________

(16)

Systèmes d'exploitation Réseaux et Sécurité

WINDOWS 2008/2003, SÉCURISER L'INFRASTRUCTURE

Réf: WSE

OBJECTIFS DE LA FORMATION

Cette formation vous apportera toutes les connaissances nécessaires afin de sécuriser vos environnements Windows Server 2003/2008 et de mettre en oeuvre les outils de sécurité qui y sont intégrés. Vous verrez comment sécuriser l'OS, l'Active Directory, créer une architecture PKI, protéger vos données ou encore vos accès réseaux.

- Rappel : les fondamentaux de la sécurité informatiq- La sécurité du système d'exploitation - Gestion des correctifs sous Windows 2003/2008 Server

- Sécurisation de l'Active Directory

- Cryptage, gestion des certificats et architecture PKI - L'authentification : la clef de la sécurité

- La protection de données

- La protection d'accès réseau NAP - Mise en place de la sécurité réseau - Sécurisation des accès distants

PROGRAMME DE FORMATION

Travaux pratiques de cette formation Windows sécurité

Des démonstrations et des manipulations de type travaux pratiques alterneront avec le cours de manière à fournir une illustration concrète des thèmes étudiés Les travaux pratiques ont lieu sous Windows 2003 Serveur

Programme de cette formation Windows sécurité Rappel : les fondamentaux de la sécurité informatique

- Les différents types de problèmes de sécurité : sécurité du réseau, sécurité des systèmes et des services, sécurité des utilisateurs La sécurité d'entreprise et la sécurité d’hôte

- Identification des fonctionnalités clés d'une infrastructure sécurisée

- Maintien de l'intégrité de données Détecter les intrusions Eviter les interruptions de service

La sécurité du système d’exploitation

- Option d'installation minimale et mode Core pour sécuriser le système

- La gestion des rôles, des fonctionnalités et des services : la segmentation de l’administration - La virtualisation avec Hyper V : consolidation et sécurisation des serveurs

- Meilleure gestion de l’environnement d’exécution des programmes

____________________________________________________________________________________

(17)

- Le Contrôle des comptes utilisateur (UAC) – intérêt et mise en œuvre - Le pare feu Windows

Travaux pratiques de cette formation Windows sécurité

Paramétrages et réglages de base pour la sécurisation d’un serveur Windows 2008

Gestion des correctifs sous Windows 2003/2008 Server - Vocabulaire : service pack, correctif logiciel, correctif de sécurité - Analyse de l'environnement : l'outil Hfnetchk

- Scripts de gestion de correctif, déploiement : l'outil Qchain

- Autres méthodes : examen de clefs de registre, les outils Qfecheck et HotfixWSUS : intérêt et mise en œuvre - Gestion des correctifs côté client : Windows Update, Windows Update Corporate, MBSA, SMS, outils tiers Travaux pratiques de cette formation Windows sécurité

Chaînage de correctifs, utilisation de MBSA

Sécurisation de l’Active Directory - Principe de base pour la sécurité de l’AD

- Protection des objets par les ACL et protection contre l’effacement accidentel

- Mise en place de délégations et mise en place d'une stratégie de sécurité d'entreprise avec les GPO - Savoir mettre en place une isolation de domaine AD

- Les serveurs RODC : intérêt et mise en œuvre Travaux pratiques de cette formation Windows sécurité

Sécurisation de l'Active Directory Granularité des mots de passe Installation et paramétrage d’un RODC

Cryptage, gestion des certificats et architecture PKI - Les bases de PKI

- Gestion des certificats et des clés privées

- Le rôle de serveur de certificats : mise en œuvre et paramétrage Travaux pratiques de cette formation Windows sécurité

Mise en place d’un serveur de certificats Administrations de base des certificats Sécurisation des accès web avec HTTPS

L’authentification : la clef de la sécurité

- Fonctionnement du protocole Kerberos et centre de distribution de clés Kerberos (KDC)

____________________________________________________________________________________

(18)

- Kerberos avec les cartes à puces et la biométrie

- Création et déploiement de solutions de certificats pour cartes à puce - L’authentification multi-facteurs pour augmenter la sécurité

- Mise en place de l’audit de l’authentification

Tests de fonctionnement du protocole Kerberos Auditer les accès aux comptes et aux objets

La protection de données

- Rappel sur la nécessité de protéger l’intégrité des données - Analyse des technologies de protection de données - Rappel sur les fondamentaux de la sécurité NTFS

- Mise en place d’EFS : Encrypting File System Limites d’EFS - Mise en œuvre des agents de récupération EFS

- La technologie BitLocker sur Windows 2008 Server et Windows Vista Travaux pratiques de cette formation Windows sécurité

Mise en place d’EFS Récupération de données avec un agent de récupération

La protection d'accès réseau NAP - Principe du NAP

- Les serveurs NPS Mis en place de stratégie d’accès - Contrôles des PC internes et externes

Mise en place de NAP avec contrôles d’accès obligatoires Limiter l'accès au réseau pour les machines non conformes avec DHCP Mise en quarantaine des clients

Mise en place de la sécurité réseau

- Les avancées en termes de sécurité réseau sous Windows 2003/2008 Server - Sécuriser l'accès au domaine avec IPsec

- Le firewall avancé de Windows 2008 Server

Mise en œuvre d’IPSec sous Windows Paramétrage avancée du firewall

____________________________________________________________________________________

(19)

Sécurisation des accès distants

- Configuration et administration du service RAS

- Service d'authentification IAS : architecture et protocole RADIUS

- Les VPN : principe du tunneling Mise en place de VPN via Internet ou l’intranet en utilisant le tunneling PPTP, L2P, L2TP Travaux pratiques de cette formation Windows sécurité

Mise en place d’un serveur RAS et d’un serveur RADIUS sous Windows 2008 Server

PROFIL STAGIAIRES & PRÉ-REQUIS

Administrateurs et Ingénieurs système. Bonnes connaissances de TCP/IP, de l'administration de Windows Server 2003 ou 2008 et de l'Active Directory.

PRIX

DATES DE FORMATIONS

____________________________________________________________________________________

(20)

WINDOWS 2012, SÉCURISER L'INFRASTRUCTURE

Réf: DIU

OBJECTIFS DE LA FORMATION

Cette formation vous apportera toutes les connaissances nécessaires en vue de sécuriser votre environnement Windows Server 2012 et mettre en œuvre les outils de sécurité qui y sont intégrés. Vous verrez comment sécuriser l'OS, l'Active Directory, créer une architecture PKI, protéger vos données et vos accès réseaux.

-La sécurité du système d'exploitation -Certificats et architecture PKI -Sécurisation de l'Active Directory -La protection de données

-La protection d'accès réseau NAP -VPN et IPSec

PROGRAMME DE FORMATION La sécurité du système d'exploitation

-Option d'installation minimale et mode Core.

-Le contrôle d'accès dynamique des comptes utilisateur.

-Le firewall avancé de Windows 2012 Server.

-Ouverture de session et authentification Windows : authentification NTLM.

-Mise en œuvre de la gestion des mises à jour (WSUS).

-Evaluer, identifier et gérer la sécurité avec les outils : MSAT, MBSA, MSCM.

Travaux pratiques

Paramétrages et réglages de base pour la sécurisation d'un serveur Windows 2012.

Certificats et architecture PKI

-Les bases de PKI.

-Gestion des certificats et des clés privées.

-Le rôle de serveur de certificats.

-L'architecture PKI à 2 niveaux.

-Serveur d'autorité de certification : autorité de certification (AD-CS).

Travaux pratiques

Mise en place d'un serveur de certificats. Administration de base des certificats. Sécurisation des accès Web avec HTTPS.

Sécurisation de l'Active Directory

-Principe de base pour la sécurité de l'AD.

____________________________________________________________________________________

(21)

-Nouveautés des services de certificats Active Directory (AD CS).

-RODC (Read-Only Domain Controler) : intérêt et mise en œuvre.

-Protection par ACL (liste de contrôle d'accès).

Travaux pratiques

Sécurisation de l'Active Directory. Granularité des mots de passe. Installation et paramétrage d'un RODC.

La protection de données

-Rappel sur les fondamentaux de la sécurité NTFS, ReFS.

-Mise en place d'EFS. Limites d'EFS.

-BitLocker : cryptage du disque et stockage de la clé de cryptage.

Travaux pratiques

Mise en place d'EFS. Récupération de données avec un agent.

La protection d'accès réseau NAP

-Configurer NAP (Network Access Protection).

-Contrôle des PC internes et externes.

-Configurer la mise en œuvre de NAP pour VPN.

-Les serveurs NPS. Composants d'une Infrastructure RADIUS.

Travaux pratiques

Mise en place de NAP avec contrôles d'accès obligatoires. Limiter l'accès au réseau pour les machines non conformes avec DHCP.

VPN et IPSec

-Les VPN : principe du tunneling.

-Sécuriser l'accès au domaine avec IPSec.

Travaux pratiques

Mise en œuvre d'IPSec sous Windows. Paramétrage avancé du firewall. Mise en place d'un serveur RADIUS.

PROFIL STAGIAIRES & PRÉ-REQUIS

Administrateurs et ingénieurs systèmes.

Bonnes connaissances de TCP/IP, de l'administration de Windows Server 2012 et de l'Active Directory.

PRIX

DATES DE FORMATIONS

____________________________________________________________________________________

(22)

WINDOWS 7, SE PROTÉGER CONTRE LES VIRUS ET MALWARES

Réf: MAL

OBJECTIFS DE LA FORMATION

Cette formation détaille les virus et malwares informatiques qui dégradent le fonctionnement des ordinateurs et perturbent l'activité des entreprises. A l'issue, vous aurez compris comment ils agissent et serez capables de mettre en place une démarche, de choisir les meilleures techniques et d'utiliser les bons outils pour les détecter et les éradiquer.

Contenu de cette formation sécurité windows:

-Introduction

-Comment se protéger ? L'antivirus et le Firewall -Mécanismes d'infection

-Identifier pour mieux éradiquer -Prévenir plutôt que guérir

PROGRAMME DE FORMATION Introduction

-Les concepts de base.

-Qu'entend-on par infections virales ? -Définition du concept de virus.

-La jungle des noms (backdoor, vers, cheval de Troie...).

-Les vecteurs d'infection les plus répandus.

-Désactivation et contournement des sécurités.

Exemples et analyse d'une infection (backdoor, rootkit...). Le spyware et le phishing.

Comment se protéger ? L'antivirus et le Firewall

-Les principes de fonctionnement.

-Les types de détection (heuristiques, comportementale...).

-Le Packer.

-Les fausses alertes.

-Présentation du Firewall.

-Que peut-il détecter ? -Quelles sont ses limites ? Travaux pratiques

Test de détection avec les différents types et contournement d'un Firewall.

____________________________________________________________________________________

(23)

Mécanismes d'infection

-Le fonctionnement des programmes.

-La relation avec les DLL.

-Les injections de code.

-Comment détecter une infection au démarrage.

-Rappel du démarrage de Windows.

-Les outils appropriés.

-Les infections et la base de registre.

Exemple d'injection virale. Simulation d'un code malicieux en phase de démarrage et techniques d'éradication.

Identifier pour mieux éradiquer

-L'importance de bien identifier la menace.

-Utiliser l'outil le plus approprié.

-Eradiquer " l'éternel retour ".

-Supprimer les résidus inactifs.

Exemple de scripts pour contrer les infections. Comment identifier les sources d'infection. Eradiquer sans formater.

Prévenir plutôt que guérir

-Sensibiliser les utilisateurs.

-Les procédures à mettre en place.

-Choisir les bons outils.

-Choisir ses systèmes de sécurité.

-Les solutions du marché et l'Appliance antivirus.

Exemple de plan d'action à mettre en place en entreprise.

PROFIL STAGIAIRES & PRÉ-REQUIS

Technicien, administrateur et ingénieur système/réseau/sécurité.

Bonnes connaissances de la gestion de postes Windows en réseau.

PRIX

____________________________________________________________________________________

(24)

DATES DE FORMATIONS

____________________________________________________________________________________

(25)

WINDOWS 7, SÉCURITÉ ET PERFORMANCE

Réf: WSP

OBJECTIFS DE LA FORMATION

Cette formation vous apprendra à optimiser les performances de Windows 7, le nouveau système d'exploitation de Microsoft et vous permettra de maîtriser les techniques et outils destinés à assurer un bon niveau de sécurité.

Contenu de cette formation Windows 7:

-Rappel sur les fondamentaux de la sécurité -Techniques de protection

-Les accès et les identités -Protéger les connexions réseau

-Les sauvegardes et les points de restauration -Les stratégies et modèles de sécurité -Outils d'analyse et observateur d'événements -Opérations de maintenance

PROGRAMME DE FORMATION

Rappel sur les fondamentaux de la sécurité

-La sécurité physique, des accès et des données.

-Les mises à jour et la gestion des failles avec WSUS.

-La sécurité des accès réseaux avec le firewall et le proxy.

-Comment réduire les menaces et les vulnérabilités.

-Les nouveautés comme le centre de maintenance et de sécurité.

Panorama des fonctions de sécurité de Windows 7.

Techniques de protection

-Signature de code pour les pilotes Kernel Mode.

-Comment se protéger contre le code malveillant (DEP), -Savoir isoler les services, utiliser Windows Defender.

-Fonctions BitLocker Drive Encryption et Bitlocker To Go.

Gérer, déplacer les fichiers cryptés. Utiliser Bitlocker To Go.

Les accès et les identités

-L'authentification NTLM et Kerberos.

-Gérer les mots de passe, les certificats.

____________________________________________________________________________________

(26)

-Le contrôle des comptes utilisateurs (UAC).

Gérer les droits (ACL) des comptes utilisateurs, modifier les UAC sur différents profils.

Protéger les connexions réseau

-La sécurité dans un contexte " domaine " Windows.

-Le pare-feu de Windows 7 et ses fonctions avancées.

-Le Network Access Protection (NAP).

-Administrer les PC à distance avec DirectAccess.

Paramétrer le pare-feu. Joindre un domaine, isoler les postes de travail. Mise en oeuvre du NAP et du DirectAccess.

Les sauvegardes et les points de restauration

-Gérer et automatiser les sauvegardes.

-Les clichés instantanés et les Volume Shadow Copies.

Sauvegarder, réinstaller. Récupérer Windows RE.

Les stratégies et modèles de sécurité

-Les modèles d'administration.

-Les paramètres d'environnement de l'utilisateur.

-Les paramètres de sécurité.

-Limiter l'installation d'applications non conformes grâce à AppLocker.

Utiliser Secpol.msc. Créer un modèle personnalisé de sécurité. Tester AppLocker.

Outils d'analyse et observateur d'événements

-L'analyseur de performances et de stabilité. Les rapports d'erreurs.

-Diagnostiquer la mémoire. Compatibilité (ACT 5).

-Stratégie d'audit orientée sécurité et optimisation.

-Abonnements : poste de consolidation de l'audit.

Manipuler les outils d'analyse. Faire un audit centralisé.

Opérations de maintenance

-Paramétrage de boot BCD. Les types de démarrage.

-Options de récupération à partir du DVD.

____________________________________________________________________________________

(27)

PROFIL STAGIAIRES & PRÉ-REQUIS

Technicien et administrateur système/réseau.

Bonnes connaissances de l'administration de Windows 7.

PRIX

DATES DE FORMATIONS

____________________________________________________________________________________

(28)

WINDOWS 8, SÉCURITÉ ET PERFORMANCE

Réf: NAP

OBJECTIFS DE LA FORMATION

Cette formation vous apprendra à optimiser les performances de Windows 8, le nouveau système d'exploitation de Microsoft, et vous permettra de maîtriser les techniques et outils destinés à assurer un bon niveau de sécurité.

-Les fondamentaux de la sécurité -Les stratégies et modèles de sécurité -Les techniques de protection

-La sécurisation des postes de travail -La protection des connexions réseaux -Les sauvegardes et les points de restauration -Les outils d'analyse

PROGRAMME DE FORMATION Les fondamentaux de la sécurité

-La sécurité physique, des accès et des données.

-Les mises à jour et la gestion des failles avec WSUS.

-La sécurité des accès réseaux. Firewall et proxy.

-Comment réduire les menaces et les vulnérabilités ? -Nouveautés. Centre de maintenance et de sécurité.

Travaux pratiques

Panorama des fonctions de sécurité de Windows 8.

Les stratégies et modèles de sécurité

-Les modèles d'administration.

-Les paramètres d'environnement de l'utilisateur.

-Installer et configurer des applications.

-Gestion des Apps du Windows Store.

-Paramètres de configuration d'Internet Explorer.

-Configuration des restrictions d'application.

Travaux pratiques

Limiter l'installation d'applications non conformes grâce à AppLocker.

Les techniques de protection

-Signature de code pour les pilotes Kernel Mode.

____________________________________________________________________________________

(29)

-Configuration de Windows Defender.

Travaux pratiques

Gérer, déplacer les fichiers cryptés.

La sécurisation des postes de travail

-Authentification et autorisation dans Windows 8.

-Implémentation des GPO.

-Sécurisation des données avec EFS et BitLocker.

-Configuration du contrôle de compte utilisateur (UAC).

Travaux pratiques

Gérer les droits (ACL) des comptes utilisateurs, modifier les UAC sur différents profils.

La protection des connexions réseaux

-La sécurité dans un contexte domaine Windows.

-Le pare-feu de Windows 8 et ses fonctions avancées.

-Le Network Access Protection (NAP).

-Administrer les PC à distance avec DirectAccess.

Travaux pratiques

Paramétrer le pare-feu. Joindre un domaine, isoler les postes de travail. Mise en oeuvre du NAP et du DirectAccess.

Les sauvegardes et les points de restauration

-Gérer et automatiser les sauvegardes.

-Les clichés instantanés et les Volume Shadow Copies.

Travaux pratiques

Sauvegarder, réinstaller, récupérer Windows.

Les outils d'analyse

-L'analyseur de performances et de stabilité. Les rapports d'erreurs.

-Diagnostiquer la mémoire.

-Le Kit de déploiement et d'évaluation Windows.

-Les outils : Windows Performance Toolkit (WPT), Application Compatibility Toolkit (ACT).

-Autonomie de la batterie et consommation d'énergie.

Travaux pratiques

Manipuler les outils d'analyse. Faire un audit centralisé.

PROFIL STAGIAIRES & PRÉ-REQUIS

Technicien et administrateur système/réseau.

____________________________________________________________________________________

(30)

Bonnes connaissances de l'administration de Windows 8.

PRIX

DATES DE FORMATIONS

____________________________________________________________________________________

(31)

PKI, MISE EN OEUVRE

Réf: PKI

OBJECTIFS DE LA FORMATION

Après une présentation détaillée des principes de P.K.I., ce cours vous aidera à déterminer dans quelle mesure ces solutions peuvent être adaptées à vos besoins et vous montrera comment mener un projet P.K.I. dans les meilleures conditions. Les travaux pratiques vous permettront d'aborder les problématiques de déploiement d'une autorité de certification hiérarchique, de génération des certificats utilisateurs et serveurs, de gestion d'une liste de révocations, de mise en oeuvre d'une messagerie sécurisée et d'une solution Single Sign-On (SSO).

- Introduction - Cryptographie

- Certification numérique - L'architecture PKI

- Gestion des projets PKI : par quelles applications commencer ? - Panorama des offres du marché

PROGRAMME DE FORMATION

Introduction

- Présentation des faiblesses des solutions traditionnelles - Pourquoi la messagerie électronique n'est-elle pas sécurisée ?

- Peut-on faire confiance à une authentification basée sur un mot de passe ? - Quelle valeur doit-on donner aux documents numériques ?

- Usurpation d'identité de l'expéditeur d'un message

- Basic authentication, Brute force et SQL injection Illustration des faiblesses de l'authentification Web traditionnelle Travaux pratiques de cette formation PKI

Utilisation des lacunes protocolaires

Cryptographie

- Concepts et vocabulaire

- Présentation des algorithmes de chiffrement symétrique - Les méthodes de chiffrement asymétrique

- Les avantages et limites de ces procédés - Fonctions de hachage : principe et utilité - Les techniques d'échange de clés

____________________________________________________________________________________

(32)

- Installation et configuration d'un serveur SSH

- Première connexion, réception de la clé publique du serveur

- Réinstallation du serveur SSH (génération d'un nouveau couple de clés) - Nouvelle connexion Observation des résultats

- SSH et "man in the middle"

Travaux pratiques de cette formation PKI

SSH, l'usage du chiffrement asymétrique sans certificat

Certification numérique

- Problème résident des techniques présentées - La certification numérique

- Présentation du standard X509 et X509v3 - Autorités de certifications

- La délégation de confiance

- Signature électronique et authentification - Rôle des différents magasins disponibles

- Comprendre le principe de confiance accordée aux autorités de certification - Certificats personnels et clés privées

- Exportation et importation de certificats et de clés privées associées Travaux pratiques de cette formation PKI

Magasins de certificats Microsoft

L'architecture PKI

- Comment construire une politique de certification ?

- Autorité de certification Publication des certificats Révocation des certificats et gestion de la « Certificate Revocation List » Norme PKCS Récupération des clés

- Autorité d'enregistrement (RA) Présentation de son rôle Mode de communication avec l'autorité de certification (PKCS 10) - Avantages et limites de la génération des clés depuis le poste client

- Modèles de confiance hiérarchique et distribuée

- L'annuaire, le complément indispensable Présentation du protocole LDAP v3 - Mise en oeuvre d'une autorité de certification racine

- Déploiement d'autorités intermédiaires et processus de certification de ces autorités

____________________________________________________________________________________

(33)

- Génération de certificats utilisateurs et serveurs

- Gestion des certificats et des autorités au sein des magasins de certificats - Mise en oeuvre de la « Certificate Revocation List » et des « Distributions Points » Travaux pratiques de cette formation PKI

Mise en oeuvre d'une hiérarchie d'autorités de certification

Gestion des projets PKI : par quelles applications commencer ? - Arbitrage des contraintes

- Les différentes composantes d'un projet PKI - Quels sont les interlocuteurs concernés ? - Identification des applications « PKI ready » - Choix des technologies

- Définition des procédures d'utilisation et d'exploitation - Et vis-à-vis de la législation ?

Panorama des offres du marché - L'approche Microsoft

- Les offres commerciales dédiées: Betrusted (ex-Baltimore) et Entrust - OpenPKI : la réponse de la communauté Open Source

- IdealX, entre solution commerciale et open source - Les offres externalisées Certplus, Versign Travaux pratiques de cette formation PKI

- Authentification Web-SSO type SSL v3 avec firewall applicatif Mise en place d'un serveur LDAP Génération d'un certificat serveur et de certificats pour les utilisateurs Authentification forte par certificat X509 entre l'utilisateur et le firewall applicatif Transfert de l'identification vers l'application- Messagerie : intégrité, signature et confidentialité des échanges Mise en oeuvre d'un serveur de messagerie sécurisé Génération de certificats pour les utilisateurs Mise en oeuvre d'un annuaire d'entreprise pour la diffusion des certificats Envoi de messages chiffrés et/ou signés entre les participants

PROFIL STAGIAIRES & PRÉ-REQUIS

Directeurs informatiques, responsables sécurité, chefs de projet, consultants techniques. Bonnes connaissances en systèmes, réseaux et sécurité informatique.

PRIX

____________________________________________________________________________________

(34)

DATES DE FORMATIONS

____________________________________________________________________________________

(35)

SÉCURITÉ DES APPLICATIONS WEB, PERFECTIONNEMENT

Réf: SEI

OBJECTIFS DE LA FORMATION

Ce stage de perfectionnement vous permettra d'enrichir vos compétences pour vous protéger et mieux réagir face aux nombreuses menaces du Web. Vous verrez comment auditer la sécurité de vos applications, les tester et mettre en place les contre-mesures les plus adaptées

Contenu de cette formation Sécurite avancée Web:

-Rappel sur les principales failles de sécurité -La sécurité des applications

-Auditer et sécuriser une application web -Le chiffrement

-Tester les applications

PROGRAMME DE FORMATION

Rappel sur les principales failles de sécurité

-L'attaque Cross-Site Scripting (XSS).

-L'injection de commandes et injection SQL.

-Les attaques par Deni de Service (DoS).

-Le Deni de Service Distribué (DDoS).

-Le Buffer overflow (Débordement de pile).

-Le projet OWASP (Open Web Application Security Project).

Mise en place d'un serveur web présentant ces vulnérabilités pour en observer le comportement et en comprendre l'origine.

Démonstration de l'exploitation d'un buffer overflow.

La sécurité des applications

-Concept base et importance.

-Les comptes créés pour effectuer les tests.

-Les dossiers fictifs, peut-on s'en passer?

-Les séquences de tests et de mise au point sont-elles encore présentes en production?

Auditer et sécuriser une application web

-Démarche et mise en place d'un audit.

-Bien gérer l'interaction avec la base de données.

-Mettre en place une authentification sécurisée. Exploitation d'une faille d'authentification.

-La gestion des erreurs et exceptions. Comment mettre en place la gestion des logs.

____________________________________________________________________________________

(36)

-Savoir effectuer l'analyse et la corrélation des informations de log.

-Les bonnes pratiques pour avoir des formulaires sécurisés. Exemple d'exploitation d'un formulaire mal développé.

Mise en oeuvre d'une infrastructure trois tiers, client, serveur web et bases de données. Simulation d'une tentative d'attaque.

Analyse et solution.

Le chiffrement

-Rappels sur les principes de base.

-Implémenter le chiffrement dans une application. Les exploitations possibles.

-Tester si une application est bien protégée par le chiffrement.

-Les applications de chiffrement du marché.

Mise en oeuvre d'une autorité de certification privée avec intégration de certificats dans une application.

Tester les applications

-Comment tester les applications avant la mise en production.

-Le fingerprinting: l'identification des caractéristiques du serveur (moteur web, framework, applications).

-Utiliser un web spider pour détecter les liens brisés, les pages avec ou sans authentification et chiffrement.

-Comment mesurer la disponibilité d'une application avec une simulation.

Exemple de tentative d'attaques et fingerprinting. Comment écrire un web spider pour détecter les liens brisés. Vérifier l'authentification sur les pages.

Méthodes pédagogiques

-Bases théoriques illustrées par des travaux et exercices permettant de pratiquer

PROFIL STAGIAIRES & PRÉ-REQUIS

Administrateurs réseaux, systèmes, Webmaster.

Bonnes connaissances systèmes et réseaux, connaissances de base en développement ou connaissances équivalentes à celles apportées par le cours ORSYS "Sécurité des applications Web" réf. SER.

PRIX

DATES DE FORMATIONS

____________________________________________________________________________________

(37)

SÉCURITÉ DES APPLICATIONS WEB

Réf: SER

OBJECTIFS DE LA FORMATION

L'intrusion sur les serveurs de l'entreprise représente un risque majeur. Il est essentiel de comprendre et d'appliquer les technologies et les produits permettant d'apporter le niveau de sécurité suffisant aux applications déployées et plus

particulièrement aux applications à risque comme les services extranet et la messagerie. Résolument pragmatique, ce stage vous apportera les clés de la protection d'un service en ligne à partir d'exemples concrets d'attaques et de ripostes adaptées.

- Introduction

- Constituants d'une application Web- Le protocole HTTP en détail - Les risques inhérents aux services Web

- Le firewall réseau dans la protection d'application HTTP - Confidentialité des informations

- Configuration du système et des logiciels - Principe du développement sécurisé - L'authentification des utilisateurs - Le firewall « applicatif »

- Supervision de la sécurité - Conclusion

PROGRAMME DE FORMATION

Travaux pratiques de cette formation sécurite Web

Des sites en ligne sécurisés et protégés (firewall multi-DMZ) seront déployés, une sonde IDS Snort, une protection avancée Apache en reverse Proxy furtif et filtrant, une accélération SSL, une authentification forte par certificat, un contrôle d'intégrité type Tripwire

Programme de cette formation sécurite Web Introduction

- Présentation du contexte en quelques chiffres - Le projet « honeynet » et ses enseignements - Les attaques les plus courantes

- L'évolution des attaques, l'adaptation de celles-ci aux techniques de sécurité

Constituants d'une application Web

- Quels sont les éléments que l'on trouve dans une application N-tiers - Le serveur frontal HTTP, son rôle et ses faiblesses

- L'apport d'un serveur Middleware

____________________________________________________________________________________

(38)

- Le serveur de données, un élément devenu indispensable - Le principe de fonctionnement

- Les risques intrinsèques de ces composants - Les acteurs majeurs du marché

Le protocole HTTP en détail

- Rappels sur connexion TCP, http, persistance et pipelining - Les PDUs GET, POST, PUT, DELETE

- Les options HEAD et TRACE

- Les champs de l'en-tête, les codes de status 1xx à 5xx - Redirection, hôte virtuel, proxy cache et tunneling - Les cookies, les attributs, les options associées - Les authentifications (Basic, Improved Digest)

- L'accélération http, proxy, le Web balancing, l'équilibrage de charges Travaux pratiques de cette formation sécurite Web

Installation et utilisation de l'analyseur réseau EtherealUtilisation d'un proxy spécifique Achille

Les risques inhérents aux services Web - Pourquoi les services Web sont-ils plus exposés ? - SQL Injection, une attaque très répandue

- Comprendre la mécanique des attaques par débordement de pile (Buffer Overflow) - Code Red, détail du fonctionnement

- Vol de session par cookie poisonning - Manipulation des champs et risques associés

- Cross Site Scripting ou l'attaque d'un site par ses utilisateurs - Failles internes aux logiciels commerciaux

Travaux pratiques de cette formation sécurite Web

Exploitation de la faille « Unicode »Contournement d'une authentification par SQL InjectionCookie et vol de sessionCross Site Scripting

Le firewall réseau dans la protection d'application HTTP - Le firewall réseau, présentation de son rôle et de ses fonctions

____________________________________________________________________________________