Formación : Detección de intrusos

Cómo gestionar los incidentes de seguridad

Detección de intrusos

Cómo gestionar los incidentes de seguridad
Descargar en formato pdf Compartir este curso por correo electrónico 2


Esta formación teórica y práctica presenta las técnicas de ataque más avanzadas hasta la fecha y muestra cómo hacerles frente. A partir de ataques realizados contra objetivos identificados (servidores web, clientes, redes, cortafuegos, bases de datos, etc.), los participantes aprenderán a desencadenar la respuesta adecuada (filtrado antitroyanos, filtrado de URL malformadas, detección de spam y detección de intrusiones en tiempo real con sondas IDS).


Abierta
In-company
A medida

Curso práctico presencial o en clase a distancia

Ref. INT
Precio : Contacto
  4d - 28h00
Contacto




Esta formación teórica y práctica presenta las técnicas de ataque más avanzadas hasta la fecha y muestra cómo hacerles frente. A partir de ataques realizados contra objetivos identificados (servidores web, clientes, redes, cortafuegos, bases de datos, etc.), los participantes aprenderán a desencadenar la respuesta adecuada (filtrado antitroyanos, filtrado de URL malformadas, detección de spam y detección de intrusiones en tiempo real con sondas IDS).

Público afectado
Directores y arquitectos de seguridad. Técnicos y administradores de sistemas y redes.

Requisitos previos
Buenos conocimientos de redes TCP/IP. Conocimientos básicos de seguridad informática.

Programa de la formación

El mundo de la seguridad informática

  • Definiciones "oficiales": hacker, piratería informática.
  • La comunidad mundial de hackers, los "gurús", los "script kiddies".
  • La mentalidad y la cultura hacker.
  • Conferencias y grandes sitios de seguridad.
Trabajo práctico
Navegación subterránea. Localice información útil.

TCP/IP para cortafuegos y detección de intrusiones

  • IP, TCP y UDP desde otro ángulo.
  • Centrarse en ARP e ICMP.
  • Enrutamiento forzado de paquetes IP (enrutamiento de origen).
  • Reglas de fragmentación y reensamblaje IP.
  • La necesidad de un filtrado serio.
  • Proteger sus servidores: una obligación.
  • Contramedidas basadas en la tecnología: de los routers de filtrado a los cortafuegos de inspección de estado; de los proxies a los proxies inversos.
  • Una rápida visión general de soluciones y productos.
Trabajo práctico
Visualización y análisis del tráfico clásico. Utilización de diferentes sniffers.

Comprender los ataques a TCP/IP

  • Suplantación de IP.
  • Ataques de denegación de servicio.
  • Predicción del número de secuencia TCP.
  • Robo de sesión TCP: Hijacking (Hunt, Juggernaut).
  • Ataques a SNMP.
  • Ataque TCP Spoofing (Mitnick): desmitificación.
Trabajo práctico
Inyección de paquetes fabricados en la red. Uso de herramientas gráficas, Perl, C o scripts dedicados. Secuestro de una conexión telnet.

Recopilación de información: el arte del camuflaje

  • Búsqueda de rastros: consulta de bases de datos Whois, servidores DNS, motores de búsqueda.
  • Identificación del servidor.
  • Comprensión del contexto: análisis de resultados, determinación de reglas de filtrado, casos específicos.
Trabajo práctico
Utilización de técnicas no intrusivas para buscar información sobre un objetivo potencial (elegido por los participantes). Utilización de herramientas de exploración de la red.

Protección de datos

  • Sistemas con contraseñas "claras", contraseñas de desafío, contraseñas cifradas.
  • Una actualización sobre la autenticación de Windows.
  • Un recordatorio de SSH y SSL (HTTPS).
  • Sniffing de una red conmutada: ARP poisoning.
  • Ataques a datos cifrados: "Man in the Middle" a SSH y SSL, "Keystoke Analysis" a SSH.
  • Detección de sniffer: herramientas y métodos avanzados.
  • Ataques con contraseña.
Trabajo práctico
Descifrado y robo de sesiones SSH: ataque "Man in the Middle". Descifrado de contraseñas con LophtCrack (Windows) y John The Ripper (Unix).

Detección de troyanos y puertas traseras

  • Estado del arte de las puertas traseras en Windows y Unix.
  • Instalación de puertas traseras y troyanos.
  • Descarga de scripts a los clientes, explotando los fallos del navegador.
  • Canales encubiertos: aplicaciones cliente-servidor que utilizan ICMP.
  • Ejemplo de comunicación con agentes de denegación de servicio distribuidos.
Trabajo práctico
Análisis de Loki, un cliente-servidor que utiliza ICMP. Acceder a información privada con el navegador.

Defender los servicios en línea

  • Tomar el control de un servidor: encontrar y explotar vulnerabilidades.
  • Ejemplos de creación de puertas traseras y eliminación de rastros.
  • ¿Cómo puentear un cortafuegos (netcat y rebotes)?
  • Investigación sobre la denegación de servicio.
  • Denegación de servicio distribuida (DDoS).
  • Ataques de desbordamiento del búfer.
  • Explotación de vulnerabilidades en el código fuente. Técnicas similares: "Format String", "Heap Overflow".
  • Vulnerabilidades en aplicaciones Web.
  • Robo de información de una base de datos.
  • RootKits.
Trabajo práctico
Explotación del bug utilizado por el gusano "Código Rojo". Obtención de un shell de root utilizando varios tipos de desbordamiento de búfer. Pruebas de denegación de servicio (Jolt2, Ssping). Utilización de netcat para eludir un cortafuegos. Uso de técnicas de "SQL Injection" para romper la autenticación Web.

¿Cómo se gestiona un incidente?

  • Los signos de una intrusión de SI exitosa.
  • ¿Qué han conseguido los hackers? ¿Hasta dónde han llegado?
  • ¿Cómo reaccionar ante una intrusión exitosa?
  • ¿Qué servidores están afectados?
  • Encuentra el punto de entrada y llénalo.
  • La caja de herramientas de Unix/Windows para encontrar pruebas.
  • Limpieza y vuelta a la producción de los servidores comprometidos.

Conclusión: ¿cuál es el marco jurídico?

  • La respuesta adecuada a los hackers.
  • Ley francesa sobre piratería informática.
  • El papel del Estado, organismos oficiales.
  • ¿Qué podemos esperar de la Office Central de Lutte contre la Criminalité (OCLCTIC)?
  • Búsqueda de pruebas y autores.
  • ¿Y en un contexto internacional?
  • ¿Pruebas intrusivas o hacking domesticado?
  • Manténgase dentro de un marco legal, elija el proveedor de servicios, esté seguro del resultado.


Modalidades prácticas
Trabajo práctico
Las arquitecturas seguras y "normalmente" protegidas (cortafuegos multi-DMZ, aplicaciones seguras) serán el blanco de los ataques.