Stage pratique de 4 jour(s) Rf : INT

Dtection d'intrusions
comment grer les incidents de scurit
OBJECTIFS Cette formation la fois thorique et pratique prsente les techniques d'attaques les plus volues ce jour et montre comment y faire face. A partir d'attaques ralises sur cibles identifies (serveurs Web, clients, rseaux, firewall, bases de donnes...), le stagiaire apprendra dclencher la riposte adapte (filtrage d'antitrojan, filtrage URL mal forme, dtection de spam et dtection d'intrusion en temps rel avec sonde IDS). 1) Le monde de la scurit informatique 2) TCP/IP pour firewalls et dtection d'intrusions 3) Comprendre les attaques sur TCP/IP 4) Intelligence Gathering : l'art du camouflage 5) Protger ses donnes Travaux pratiques 6) Dtecter les trojans et les backdoors 7) Dfendre les services en ligne 8) Comment grer un incident ? 9) Conclusion : quel cadre juridique ?

Participants
Ingnieurs scurit, systmes et rseaux ayant scuriser le SI de l'entreprise. Chefs de projets souhaitant comprendre les attaques auxquelles l'entreprise est confronte et mettre en uvre les meilleures ripostes technologiques.

Pr-requis
Bonnes connaissances des rseaux TCP/IP. Connaissances de base en scurit informatique.

Prix 2012 : 2150 HT Eligible DIF

Dates des sessions

Paris
16 oct. 2012, 13 nov. 2012 4 dc. 2012, 8 jan. 2013 5 fv. 2013, 5 mar. 2013 9 avr. 2013, 14 mai 2013 11 juin 2013

Des architectures scurises et "normalement " protges (firewall multi-DMZ, applications scurises) seront la cible des attaques. Les parades seront adaptes aux attaques ; il sera utilis, la demande, Checkpoint Firewall-1 avec Malicious Attack Detection, ISS Realsecure et BlackIce, Apache en reverse Proxy furtif et filtrant, Proxy Trend Micro Interscan Virus Wall et Tripwire. Les plateformes d'attaque seront principalement sous Linux ; les cibles seront Windows NT et Solaris.

1) Le monde de la scurit informatique

- Dfinitions " officielles " : le hacker, le hacking. - La communaut des hackers dans le monde, les " gurus ", les " script kiddies ". - L'tat d'esprit et la culture du hacker. - Les confrences et les sites majeurs de la scurit. Travaux pratiques Navigation Underground. Savoir localiser les informations utiles.

2) TCP/IP pour firewalls et dtection d'intrusions

- IP, TCP et UDP sous un autre angle. - Zoom sur ARP et ICMP. - Le routage forc de paquets IP (source routing). - La fragmentation IP et les rgles de rassemblage. - De l'utilit d'un filtrage srieux. - Scuriser ses serveurs : un impratif. - Les parades par technologies : du routeur filtrant au firewall stateful inspection ; du proxy au reverse proxy. - Panorama rapide des solutions et des produits. Travaux pratiques Visualisation et analyse d'un trafic classique. Utilisation de diffrents sniffers (Unix et Windows).

3) Comprendre les attaques sur TCP/IP

- Le " Spoofing " IP. - Attaques par dni de service. - Prdiction des numros de squence TCP. - Vol de session TCP : Hijacking (Hunt, Juggernaut). - Attaques sur SNMP. - Attaque par TCP Spoofing (Mitnick) : dmystification. Travaux pratiques Injection de paquets fabriqus sur le rseau. Utilisation au choix des participants d'outils graphiques, de Perl, de C ou de scripts ddis. Hijacking d'une connexion telnet.

4) Intelligence Gathering : l'art du camouflage

- Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche. - Identification des serveurs. - Comprendre le contexte : analyser les rsultats, dterminer les rgles de filtrage, cas spcifiques. Travaux pratiques Recherche par techniques non intrusives d'informations sur une cible potentielle (au choix des participants). Utilisation d'outils (Windows et Linux) de scans de rseaux.

5) Protger ses donnes

- Systmes mot de passe " en clair ", par challenge, crypt.

ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78

page 1 / 2

- Le point sur l'authentification sous Windows. - Rappels sur SSH et SSL (HTTPS). - Sniffing d'un rseau switch : ARP poisonning. - Attaques sur les donnes cryptes : " Man in the Middle " sur SSH et SSL, " Keystoke Analysis " sur SSH. - Dtection de sniffer : outils et mthodes avances. - Attaques sur mots de passe. Travaux pratiques Dcryptage et vol de session SSH : attaque " Man in the Middle ". Cassage de mots de passe avec LophtCrack (Windows) et John The Ripper (Unix).

6) Dtecter les trojans et les backdoors

- Etat de l'art des backdoors sous Windows et Unix. - Mise en place de backdoors et de trojans. - Le tlchargement de scripts sur les clients, exploitation de bugs des navigateurs. - Les " Covert Channels " : application client-serveur utilisant ICMP (Loki), communication avec les Agents de Dni de Service distribus. Travaux pratiques Analyse de Loki, client-serveur utilisant ICMP. Accder des informations prives avec son navigateur.

7) Dfendre les services en ligne

- Prise de contrle d'un serveur : recherche et exploitation de vulnrabilits, mise en place de " backdoors " et suppression des traces. Comment contourner un firewall ? (netcat et rebonds.) - La recherche du dni de service. - Les dnis de service distribus (DDoS). - Les attaques par dbordement (buffer overflow). Exploitation de failles dans le code source. Techniques similaires : " Format String ", " Heap Overflow " - Vulnrabilits dans les applications Web. - Vol d'informations dans une base de donnes. - Les RootKits. Travaux pratiques Exploitation du bug utilis par le ver " Code Red ". Obtention d'un shell root par diffrents types de buffer overflow. Test d'un dni de service (Jolt2, Ssping). Utilisation de netcat pour contourner un firewall. Utilisation des techniques de " SQL Injection " pour casser une authentification Web.

8) Comment grer un incident ?

- Les signes d'une intrusion russie dans un SI. - Qu'ont obtenu les hackers ? Jusqu'o sont-ils alls ? - Comment ragir face une intrusion russie ? - Quels serveurs sont concerns ? - Savoir retrouver le point d'entre et le combler. - La bote outils Unix/Windows pour la recherche de preuves. - Nettoyage et remise en production de serveurs compromis.

9) Conclusion : quel cadre juridique ?

- La rponse adquate aux hackers. - La loi franaise en matire de hacking. - Le rle de l'tat, les organisme officiels. - Qu'attendre de l'Office Central de Lutte contre la Criminalit (OCLCTIC). - La recherche des preuves et des auteurs. - Et dans un contexte international ? - Le test intrusif ou le hacking domestiqu ? - Rester dans un cadre lgal, choisir le prestataire, tre sr du rsultat.

ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78

page 2 / 2