Méthode d'enseignement préconisée
La méthode d'enseignement est axée sur la pratique puisque certains concepts objet peuvent être difficiles à saisir si on se limite à des explications théoriques.
C'est pourquoi, aussi souvent que possible, les sujets couverts sont accompagnés d'exemples concis et précis qui permettent de comprendre des concepts abstraits par une mise en application concrète.
TCP/IP & Détection d'intrusions
Cette formation présente des notions de bases et avancées des réseaux TCP/IP ainsi que des principes de sécurité réseau. De plus, les outils « Open Source » disponibles seront revus ainsi que leur fonctionnement pour mieux prévenir les attaques et intrusions.
Introduction à TCP/IP (Modèle OSI, trame IP, etc)
Convention d'adressage (Classes d'adressages)
Description et utilisation des différents protocoles / services (ARP, ICMP, UDP, TCP, SNMP, etc)
TCP/IP et la sécurité (IPSec, FreeSWAN)
TCP/IP, la suite ... (Ipv6, SNMP v3, QoS, téléphonie IP, etc)
Introduction à la détection d'intrusion
Analyse de trafic avec tcpdump et ethereal
Analyse de trafic avec snort
Signatures des attaques
Ce que vous apprendrez
Cet atelier de sécurité a pour but de perfectionner les intervenants et techniciens impliqués dans la gestion et la sécurité des réseaux d'une organisation. Ces personnes auront ainsi une idée très précise du fonctionnement et des possibilités qu'offrent certains outils open source.
Plan de formation
Partie 1 : Introduction à TCP/IP
Description du modèle OSI
Entête IP d'un paquet
Paquets TCP et UDP
Paquets ICMP et messages d'erreur
Concept IP tel que la fragmentation, ICMP, réponse aux stymulus, réseau microsoft, DNS, Routing)
Description des ports TCP/IP et UDP/IP
Partie 2 : Convention d'adressage
- Adressage publique et privé
- Définition des classes d'adressages
- Définition des masques de réseau
Partie 3 : Description et utilisation des différents protocoles / services
- Description des ports de services TCP/IP et UDP/IP
- Description des protocoles
- ARP et RARP
- ICMP
- UDP
- TCP
- SNMP
- IGRP/EIGRP
- OSPF
Partie 4 : TCP/IP et la sécurité
- Introduction à la sécurité TCP/IP
- Utilisation de IPSec
- Description du projet « Open Source » FreeSWAN
Partie 5 : TCP/IP, la suite ...
- Nouveau principe d'adressage IPv6
- Définition du protocole SNMP v3
- Définition du principe QoS
- Comment la téléphonie IP peut garantir une communication saine
Partie 6 : Introduction à la détection d'intrusion
- Exemple de sortie TCP provenant de tcpdump (ASCII)
- Exemple de sortie TCP provenant de tcpdump (Hexa)
- Comportements normaux et anormaux de paquets IP
- Comportement IP des paquets Microsoft
- Comportement des différents protocoles (DNS, FTP, etc)
- Routage des paquets IP
Partie 7 : Analyse de trafic avec tcpdump et ethereal
- Introduction à tcpdump
- Introduction à ethereal
- Ports TCP et UDP
- Dissection d'un datagram
- Comment distinguer un vrai paquet réseau d'un paquet construit à la main
- Comment déceler une reconnaissance de votre réseau
Partie 8 : Analyse de trafic avec snort
- Introduction au IDS et NIDS
- Introduction à snort
- Limitations des IDS et NIDS
- Architecture de snort (forces et faiblesses)
- Snort en mode "sniffer"
- Concept de "Flight recorder" avec snort (Packet logger mode)
- Snort en mode NIDS
- Gestion des règles de snort
- Analyse des logs de snort
- Outils complémentaires à snort
Partie 9 : Signatures des attaques
- Introduction aux signatures réseaux
- Principales signatures (Subseven I et II, BO, Deep Throut, etc.)
- Plusieurs versions de la même signature (Padding)
- Détection des mauvais paquets (Numéro de séquence, etc.)
- Échelle de sévérité d'une attaque
Partie 10 : Conclusion
