-les protocoles IP, TCP et UDP.

– Zoom sur ARP et ICMP.
– Le routage forcé de paquets IP (source routing).

– La fragmentation IP et les règles de réassemblage.

– Sécuriser ses serveurs : un impératif.

– Les parades par technologies : du routeur filtrant au firewall stateful
inspection ; du proxy au reverse proxy.

– Panorama rapide des solutions et des produits.
Travaux pratiques
Visualisation et analyse d’un trafic classique. Utilisation de différents sniffers

– Comment les pirates informatiques mettent en œuvre le « Spoofing » IP ?

– Réaliser des attaques par déni de service.

– La technique de la prédiction des numéros de séquence TCP.

– Vol de session TCP : Hijacking (Hunt, Juggernaut).

– Comprendre comment les pirates arrivent à réaliser des attaques sur SNMP.

– Attaque par TCP Spoofing (Mitnick) : démystification.
Travaux pratiques
Injection de paquets fabriqués sur le réseau. Utilisation au choix des
participants d’outils graphiques, de Perl, de C ou de scripts dédiés.

– Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche.

– Apprendre les techniques pour mettre en place l’identification des serveurs.

– Comprendre le contexte : analyser les résultats, déterminer les règles de filtrage, cas spécifiques.
Travaux pratiques
Recherche par techniques non intrusives d’informations sur une cible
potentielle (au choix des participants). Utilisation d’outils de scans de réseaux

– Etat de l’art des backdoors sous Windows et Unix. Qu’est-ce un backdoor ?

– Comment mettre en place des backdoors et des trojans.

– Le téléchargement de scripts sur les clients, exploitation de bugs des navigateurs.

– Les « Covert Channels » : application client-serveur utilisant ICMP.

– Exemple de communication avec les Agents de Déni de Service distribués.
Travaux pratiques
Analyse de Loki, client-serveur utilisant ICMP. Accéder à des
informations privées avec son navigateur.

– Prise de contrôle d’un serveur : recherche et exploitation de vulnérabilités.

– Exemples de mise en place de « backdoors » et suppression des traces.
– Comment contourner un firewall (netcat et rebonds) ?

– Les techniques pour effectuer la recherche du déni de service.

– Qu’est-ce que le déni de service distribué (DDoS) ? Comment
les pirates s’organisent pour effectuer une telle attaque ?

– Les attaques par débordement (buffer overflow).

– Exploitation de failles dans le code source. Techniques
similaires : « Format String », « Heap Overflow ».

– Quelles sont les vulnérabilités dans les applications Web ?
Comment les détecter et se protéger ?

– Comment les personnes malveillantes arrivent à voler les
informations dans une base de données.

– Qu’est-ce que sont les RootKits.
Travaux pratiques
Exploitation du bug utilisé par le ver « Code Red ». Obtention d’un
shell root par différents types de buffer overflow. Test d’un déni de
service (Jolt2, Ssping). Utilisation de netcat pour contourner un
firewall. Utilisation des techniques de « SQL Injection » pour casser
une authentification Web.

– Qu’est-ce qu’un SOC ?

– A quoi sert-il ? Pourquoi de plus en plus d’entreprises
l’utilisent ?

– Les fonctions du SOC : Logging, Monitoring, Reporting audit
et sécurité, analyses post incidents.

– Les bénéfices d’un SOC.

– Les solutions pour un SOC.

– Le SIM (Security Information Management).

– Le SIEM (Security Information and Event Management).

– Le SEM (Security Event Management).

– Exemple d’une stratégie de monitoring.

– En quoi consiste le métier de l’analyste SOC ?

– Quelles sont ses compétences ?

– Monitorer et trier les alertes et les événements.

– Savoir prioriser les alertes.

– Les signes d’une intrusion réussie dans un SI.

– Qu’ont obtenu les hackers ? Jusqu’où sont-ils allés ?

– Comment réagir face à une intrusion réussie ?

– Quels serveurs sont concernés ?

– Savoir retrouver le point d’entrée et le combler.

– La boîte à outils Unix/Windows pour la recherche de preuves.

– Nettoyage et remise en production de serveurs compromis