Tutoriel détection d'intrusion avancée

	Voir aussi...  Planning des formations inter-entreprises  Tutoriel Exploitation des systèmes de sécurité Internet
Lieu et date  Organisateur et inscription  Objectifs et public visé  Durée  Programme

Date : 20 janvier 2003, à Paris

Pour s'inscrire à l'un des tutoriels, utiliser le formulaire en ligne ou contacter Anne-Laetitia Raphanaud.

Chaque année, de nombreuses entreprises françaises sont victimes d'attaques sur leurs réseaux informatiques. Certaines entreprises ignorent ces incident. Pour que le développement des services en ligne sur Internet soit un avantage économique et ne soit pas une menace, il est nécessaire de maitriser la sécurité de son réseau informatique et dans un deuxième temps de maitriser le processus de détection des incidents, des anomalies, des attaques et des intrusions.

Ce tutoriel permet de démystifier les attaques sur les réseaux IP et les services en ligne, de montrer dans quelles limites ces attaques, types par types, peuvent être détectées, et comment minimiser ses risques avec un réseau d'entreprise ouvert sur le monde.

Ce tutoriel s'adresse aux administrateurs sécurité, aux administrateurs système et réseaux, et aux responsables sécurité.

Ce tutoriel dure une journée ; il est dispensé en langue française.

09H00

Introduction
Présentation du domaine

• Etat de l'art
• Principes
• Journalisation, alarmes, sondes, analyse
• Logiciels d'analyse de journalisation
• Netforensics, Infovista, Netsecurelog, Webtrends, Logsurfer, XML-LOGS
• Logiciels de détection d'intrusion
• Logiciels de scellement
• Tripwire, Aide

Pré-requis

• Introduction à IP
• Présentation technique de tcpdump
• Présentation technique de SNORT

11H00

Présentation des attaques

• Recherche de machines
• ping sweep
• traceroute (udp, tcp, tracert)
• Ack scan
• Recherche de services
• TCP scan
• Syn scan
• UDP scan
• Slow scan
• Distributed scan (dscan)
• idlescan
• Decoy scan
• Identification des machines et des logiciels
• Champs ID
• Stack fingerprint
• Obtention de la version et de la configuration des logiciels
Exemple : version.bind, axfr, smtp, hsc.ida, ...
• Obtention d'informations via les services accessibles

14H00

Présentation des attaques (suite)

• Tentatives d'exploitations des vulnérabilités
• Les débordements de buffers
• Attaques sur les serveur WEB
• Démonstrations de vulnérabilités IIS, redhat
• Détections de ces tentatives
• Détections de chevaux de Troie (sur le réseau)
• Dénis de services
• Simples
• Répartis (DDOS)
• Les fausses alertes

16H00

Analyse des journaux

• Présentation de la journalisation
• Cisco, apache, snort
• Présentation technique de Logsurfer
• Utilisation avancée
• Exemples réels

Limites de la détection d'intrusion

• Fragmentation IP
• fragrouter
• Modification de signatures
• teardrop
• whisker
• Masquage des adresses sources
• Saturation de ressources
• IDSwakeup

Conclusion

• Présentation d'une solution de détection d'intrusion à base de logiciels libres
• Présentation d'une architecture complète : filtrage IP, relais et détection d'intrusion