Objectifs

A l’issue de cette formation, les participants seront capables d’appréhender toutes les notions nécessaires à l’exploitation de sondes de détection d’intrusion. Ces connaissances leur permettront notamment d’optimiser l’efficacité des systèmes de détection et d’interpréter correctement les alertes générées afin de mesurer l’impact.

Contenu

Présentation des outils

• Tripwire
• Lsof
• Tcpdump
• Shadow
• Snort

Recherche de machines

• Ping sweep
• ACK sacn
• DNS
• Identification de machines
• Stack fingerprint

Recherche de ports/services

• TCP scan
• Syn scan
• UPD scan
• Slow scan
• Distributed scan
• Idlescan scan
• Decoy scan
• Versions des applications

Exploitation de vulnérabilités

• Règles de snort
• L’entête
• Les options
• Débordements de tampons
• Méthode spécifique
• Méthode générique
• Cgi

Canaux cachés

• SSH
• HTTPS/SSL
• Autres

Backdoors

• Loki
• Méthode générique

La journalisation

• Exemples de journaux
• Cisco
• Apache
• Swatch, logsurfer, surveillance
• Interêt dans la détection d’intrusion
• Presentation de XML-Logs
• Analyse de journaux
• Analyses avec XML-Logs

La normalisation de flux IP

• Exemples de techniques d’évasion
• Avantages - Inconvénients
• Références

Conditions

Durée : 1 jour
Date : A définir
Lieu : Compiègne
Tarifs : 550 € HT / personne

Méthode pédagogique

Cours magistral, avec de nombreux exemples pratiques.

Prérequis

Il est nécessaire d'avoir une bonne connaissance des réseaux Windows ou Unix ou du protocole TCP/IP.

Public

Ce cours pratique et technique s'adresse aux administrateurs réseau et administrateurs de serveurs.