Guide De Develop Pent De Moni

Détection et analyse d'intrusions : Travaux Pratiques - 4 jours formation 588 Vous apprendrez à

Objectif

À qui s'adresse cette formation Travaux Pratiques

• • • •

Détecter et répondre aux attaques d'intrus sur le réseau et sur les machines Intégrer des systèmes de détection d'intrusions (IDS) dans la structure réseau existante Régler les alertes IDS grâce aux techniques les plus récentes Détecter les intrusions et à y remédier grâce à la surveillance de la sécurité des réseaux (Network Security Monitoring, NSM) • Corréler les alertes IDS aux scans de vulnérabilités • Dévoiler les schémas de détection d'intrusion

Les IDS sont les outils les plus puissants permettant d'alerter les analystes de tout exploit sur le réseau et sur les machines. Lors de cette formation, vous découvrirez les méthodes utilisées par les "hackers" pour pénétrer dans les réseaux, le rôle d'un IDS dans la détection de ces attaques et l'utilité du NSM pour analyser ces événements. Vous apprendrez à configurer et déployer un IDS pour identifier les attaques, ainsi qu'à utiliser les techniques de NSM pour résoudre les alertes IDS. À tous ceux qui sont impliqués dans la maintenance de la sécurité réseau et système. Les participants doivent avoir une expérience du niveau de le formation 468, "Sécurité système et réseau", ainsi que de bonnes connaissances de TCP/IP. Vous acquerrez un expérience pratique grâce à l'utilisation de plusieurs outils IDS et NSM. Les exercices comprennent : • Interception d'attaque avec Snort NIDS • Gestion de Snort avec IDS Policy Manager • Repérage de scans Nmap • Surveillance de la sécurité d'entreprise avec une console BASE/MySQL/Apache • Corréler les alertes Snort aux scans de vulnérabilités de Nessus • Réglage des IDS pour une détection réussie • Résolution d'alertes IDS avec Sguil • Interception des piratages de serveur avec OSSEC HIDS • Évaluation des risques et corrélation des événements avec OSSIM • Écriture de vos propres signatures Snort

588_0903_02042009

01 49 68 53 00

www.learningtree.fr/588

Détection et analyse d'intrusions : Travaux Pratiques - 4 jours formation 588 Introduction au NSM

• Syntaxe d'une signature IDS

Des réseaux défendables

• Le plan d'attaque de l'ennemi • Identification rapide des intrusions • Utilisation de plusieurs composants de détection Le rôle d'un IDS

• Révéler toute violation des stratégies d'assurance de l'information • Validation d'événements IDS avec les techniques de NSM Découverte d'un IDS

• Classification des techniques de détection selon la chronologie des attaques • Étude de la base de données d'alertes Snort MySQL • Meilleure détection des attaques avec les leurres

Déploiement d'un IDS réseau

Savoir reconnaître les attaques Vulnérabilités les plus évidentes

Détection d'attaques avec HIDS (Host-IDS)

• Centralisation des journaux avec Syslog • Analyse des journaux de serveurs et de pare-feu pour détecter des anomalies • Détection des journaux falsifiés • Interrogation de journaux avec Microsoft Log Parser

• Empreintes d'une entreprise • Scans de port furtifs Création de "buffer overflow" (BO)

• Identification d'attaques BO à distance • Mutation des exploits de BO Cyberextortion avec le déni de service

Vérification du fonctionnement de l'IDS

• Scans avec l'outil VA (Vulnerability Assessment) • Rejouer les attaques réelles avec tcreplay • Construction de paquets d'attaques IP

• Attaques par botnets • "Distributed Reflection DoS"

Réglage de l'IDS

• Diminution des faux positives • Filtrage d'événements, réglage de la propagation, de la consolidation et des paramètres • Agrégation de plusieurs événements

Surveillance des attaques sur le réseau

• Localiser des sondes NIDS (Network IDS sensors) • Fonctionnement des sondes en mode furtif • Détection d'intrusions dans un réseau sans fil avec Snort-Wireless Solutions pour réseaux commutés

• Détection de commutateurs avec les fonctions de SPAN • Utilisation de hubs et d'écouteurs pour connecter des sondes • Combinaison des sorties d'un double écouteur

Tromper les IDS

• Cacher les attaques Web via SSL et la mutation polymorphique • Recouvrement de fragments IP et TCP • Fragmentation de paquets avec fragroute

Analyse des intrusions Surveillance de la sécurité avec NSM

• Analyse des transcriptions et des sessions • Déterminer l'identité d'un attaquant • Repérage de l'intrusion • Détection d'extrusion pour intercepter des attaques

Détection des intrusions dans l'entreprise

• Conception d'une hiérarchie d'IDS multicouches et distribués • Consolidation avec des systèmes de gestion de la sécurité • Garantir la fiabilité avec des répartiteurs de charge IDS

Validation des intrusions

• Corréler les alertes IDS aux vulnérabilités • Rassembler des événements à partir de plusieurs sources • Affichage d'un événement de sécurité de haut niveau en corrélant les vues

Interprétation d'alertes IDS Identification des signatures IDS

• Détection d'anomalies et d'utilisations abusives : analyse avec état et combinaison avancée de chaînes • Sélection des signatures directes et évoluées • Amélioration de la qualité des signatures pour un exploit

Classification des scénarios d'attaques

• Attaquer les serveurs directement • Attaquer les clients indirectement • Attaques par rebond Investigation sur le réseau

• Sécuriser la sonde • Recueil de preuves 588_0903_02042009

01 49 68 53 00

www.learningtree.fr/588