Sunteți pe pagina 1din 2

Détection et analyse d'intrusions : Travaux Pratiques - 4 jours

formation 588

Vous apprendrez à • Détecter et répondre aux attaques d'intrus sur le réseau et sur les machines
• Intégrer des systèmes de détection d'intrusions (IDS) dans la structure réseau existante
• Régler les alertes IDS grâce aux techniques les plus récentes
• Détecter les intrusions et à y remédier grâce à la surveillance de la sécurité des réseaux (Network
Security Monitoring, NSM)
• Corréler les alertes IDS aux scans de vulnérabilités
• Dévoiler les schémas de détection d'intrusion

Objectif Les IDS sont les outils les plus puissants permettant d'alerter les analystes de tout exploit sur le réseau et
sur les machines. Lors de cette formation, vous découvrirez les méthodes utilisées par les "hackers" pour
pénétrer dans les réseaux, le rôle d'un IDS dans la détection de ces attaques et l'utilité du NSM pour analyser
ces événements. Vous apprendrez à configurer et déployer un IDS pour identifier les attaques, ainsi qu'à
utiliser les techniques de NSM pour résoudre les alertes IDS.

À qui s'adresse cette À tous ceux qui sont impliqués dans la maintenance de la sécurité réseau et système. Les participants
formation doivent avoir une expérience du niveau de le formation 468, "Sécurité système et réseau", ainsi que de
bonnes connaissances de TCP/IP.

Travaux Pratiques Vous acquerrez un expérience pratique grâce à l'utilisation de plusieurs outils IDS et NSM. Les exercices
comprennent :
• Interception d'attaque avec Snort NIDS
• Gestion de Snort avec IDS Policy Manager
• Repérage de scans Nmap
• Surveillance de la sécurité d'entreprise avec une console BASE/MySQL/Apache
• Corréler les alertes Snort aux scans de vulnérabilités de Nessus
• Réglage des IDS pour une détection réussie
• Résolution d'alertes IDS avec Sguil
• Interception des piratages de serveur avec OSSEC HIDS
• Évaluation des risques et corrélation des événements avec OSSIM
• Écriture de vos propres signatures Snort

588_0903_02042009

01 49 68 53 00 www.learningtree.fr/588
Détection et analyse d'intrusions : Travaux Pratiques - 4 jours
formation 588

Introduction au NSM • Syntaxe d'une signature IDS Savoir reconnaître les attaques
Des réseaux défendables Vulnérabilités les plus évidentes
• Le plan d'attaque de l'ennemi Détection d'attaques avec HIDS (Host-IDS) • Empreintes d'une entreprise
• Identification rapide des intrusions • Centralisation des journaux avec Syslog • Scans de port furtifs
• Utilisation de plusieurs composants de • Analyse des journaux de serveurs et de
détection pare-feu pour détecter des anomalies Création de "buffer overflow" (BO)
• Détection des journaux falsifiés • Identification d'attaques BO à distance
Le rôle d'un IDS • Interrogation de journaux avec • Mutation des exploits de BO
• Révéler toute violation des stratégies Microsoft Log Parser
d'assurance de l'information Cyberextortion avec le déni de service
• Validation d'événements IDS avec les Vérification du fonctionnement de l'IDS • Attaques par botnets
techniques de NSM • Scans avec l'outil VA (Vulnerability • "Distributed Reflection DoS"
Assessment)
Découverte d'un IDS • Rejouer les attaques réelles avec
• Classification des techniques de tcreplay
détection selon la chronologie des • Construction de paquets d'attaques IP
attaques
• Étude de la base de données d'alertes Réglage de l'IDS
Snort MySQL • Diminution des faux positives
• Meilleure détection des attaques avec • Filtrage d'événements, réglage de la
les leurres propagation, de la consolidation et des
paramètres
Déploiement d'un IDS réseau • Agrégation de plusieurs événements
Surveillance des attaques sur le réseau
• Localiser des sondes NIDS (Network Tromper les IDS
IDS sensors) • Cacher les attaques Web via SSL et la
• Fonctionnement des sondes en mode mutation polymorphique
furtif • Recouvrement de fragments IP et TCP
• Détection d'intrusions dans un réseau • Fragmentation de paquets avec
sans fil avec Snort-Wireless fragroute

Solutions pour réseaux commutés Analyse des intrusions


• Détection de commutateurs avec les Surveillance de la sécurité avec NSM
fonctions de SPAN • Analyse des transcriptions et des
• Utilisation de hubs et d'écouteurs pour sessions
connecter des sondes • Déterminer l'identité d'un attaquant
• Combinaison des sorties d'un double • Repérage de l'intrusion
écouteur • Détection d'extrusion pour intercepter
des attaques
Détection des intrusions dans l'entreprise
• Conception d'une hiérarchie d'IDS Validation des intrusions
multicouches et distribués • Corréler les alertes IDS aux
• Consolidation avec des systèmes de vulnérabilités
gestion de la sécurité • Rassembler des événements à partir de
• Garantir la fiabilité avec des plusieurs sources
répartiteurs de charge IDS • Affichage d'un événement de sécurité
de haut niveau en corrélant les vues
Interprétation d'alertes IDS
Identification des signatures IDS Classification des scénarios d'attaques
• Détection d'anomalies et d'utilisations • Attaquer les serveurs directement
abusives : analyse avec état et • Attaquer les clients indirectement
combinaison avancée de chaînes • Attaques par rebond
• Sélection des signatures directes et
évoluées Investigation sur le réseau
• Amélioration de la qualité des • Sécuriser la sonde
signatures pour un exploit • Recueil de preuves
588_0903_02042009

01 49 68 53 00 www.learningtree.fr/588

S-ar putea să vă placă și