Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-cnd-certified-network-defender-2-2-reussir-la-certification-cnd
Le Certified Network Defender (CND) est un cours vendor-neutral, c'est à dire sans orientation technique vis à vis d'un quelconque fournisseur de matériel ou d'éditeur de solutions de sécurité des réseaux informatiques
Le cursus CND est un cours 50 % pratique sous forme de labs, modélisant les activités courantes d'administrateurs réseaux, basés sur les outils et techniques les plus utilisés dans la sécurité réseau.
Ces éléments ont été mise en place grâce aux meilleurs pratiques établies par le ministère américain de la Défense (DoD) ainsi qu'au travers du framework de cybersécurité décrit par le National Initiative of Cybersecurity Education.
Le programme permet aux administrateurs réseaux de se préparer aux technologies de la sécurité des réseaux ainsi que sur les opérations et méthodologies qui y sont relatives et ainsi appliquer une logique de sécurité en profondeur (Defense-in-Depth)
Lors de Tome 2, nous allons pouvoir approfondir nos connaissances concernant le durcissement réseaux et systèmes, ainsi que la découverte de différentes technologies pour la protection et réseaux et systèmes informatiques.
Nous allons aussi pouvoir découvrir les différentes méthodologies et approches afin de pouvoir configurer, déployer et exploiter correctement différents périphériques de sécurité (HIDS, IDS, VPN, Firewall), la supervision des réseaux informatiques, la gestion des backups, ainsi que la découverte d’une nouvelle notion tout aussi importante et qui concerne la sécurité organisationnelle (Avec la gestion du risque et des incidents de sécurité informatique).
2. Une formation
Introduction à la CND
Neutre, pratique et condensée
Sécurité des réseaux
Situations réelles
NICE
Département de défense
Cours le plus avancé
3. Une formation
Plan de la formation
Introduction
1. Durcissement et sécurité des hôtes
2. Configuration et gestion sécurisée des firewall
3. Configuration et gestion sécurisée des IDS
4. Configuration et gestion sécurisée des VPN
5. Protection des réseaux sans fils
6. Supervision et analyse du Traffic
7. Risques et vulnerability management
8. Data Backup & Recovery
9. Gestion et réponses aux incidents de sécurité réseau
Conclusion
4. Une formation
Ce que vous allez apprendre
Sécurité PhysiqueSécurité Physique
Contrôle d’accèsContrôle d’accès
Serveurs ProxyServeurs ProxyFirewalls/IDSFirewalls/IDS
Durcissement OSDurcissement OS Filtrage paquet / ContenueFiltrage paquet / Contenue
Protection AntivirusProtection Antivirus
AuthentificationAuthentification
Mots de passe sécurisésMots de passe sécurisés
Évaluation de solutions de
sécurité
Évaluation de solutions de
sécurité
ChiffrementChiffrement
DMZDMZ
Configuration sécuriséConfiguration sécurisé Gestion et analyse des logsGestion et analyse des logs
6. Une formation
Prérequis
Connaissances de base de la pile TCP/IP
Connaissances de base configuration OS
Première expérience dans le domaine IT
Motivation et passion ☺
12. Une formation
Plan de la formation
Introduction
1. Durcissement et sécurité des hôtes
2. Configuration et gestion sécurisée des firewall
3. Configuration et gestion sécurisée des IDS
4. Configuration et gestion sécurisée des VPN
5. Protection des réseaux sans fils
6. Supervision et analyse du Traffic
7. Risques et vulnerability management
8. Data Backup & Recovery
9. Gestion et réponses aux incidents de sécurité réseau
Conclusion
13. Une formation
Durcissement serveurs Web
Placer les serveurs de support au niveau
d’un réseau protégé :
Ex. LDAP, BDD, Radius …
Restreindre le trafic entre :
Réseau public
Serveur Web
Serveurs de support
18. Une formation
Meilleures Pratiques
Placer le serveur dans un sous-réseau isolé
Désactiver les options de configurations non nécessaires
Activer le mail relay
Patchs et mises à jour
Reverse DNS Lookup
Sender Policy Framewok
2 enregistrements MX
URI Real Time block Lists
Authentification ² SSL
20. Une formation
Ce que vous allez apprendre
Sécurité PhysiqueSécurité Physique
Contrôle d’accèsContrôle d’accès
Serveurs ProxyServeurs ProxyFirewalls/IDSFirewalls/IDS
Durcissement OSDurcissement OS Filtrage paquet / ContenueFiltrage paquet / Contenue
Protection AntivirusProtection Antivirus
AuthentificationAuthentification
Mots de passe sécurisésMots de passe sécurisés
Évaluation de solutions de
sécurité
Évaluation de solutions de
sécurité
ChiffrementChiffrement
DMZDMZ
Configuration sécuriséConfiguration sécurisé Gestion et analyse des logsGestion et analyse des logs
22. Une formation
Meilleures pratiques
Désactiver les comptes Anonymous
Activer la journalisation
Restreindre les accès par IP ou nom de domaine
Configurer les contrôles d’accès (ACL)
Restreindre les tentatives de connexion
Configurer les règles de filtrages
SSL/FTPS
27. Une formation
Durcissement routeurs
Changer les mots de passe par défaut
Désactivation broadcast
Désactivation HTTP
Bloquer requête ICMP
Désactiver source rooting
Logs routeurs
Sécurité physique
Filtrage Ingress/Egress
34. Une formation
Introduction
La sécurité de l’hôte dépend de la sécurité
des applications installées dessus
Toutes les applications doivent être durcies
Black et white List ☺
Classification de la catégorie de la menace
37. Une formation
Prérequis
Connaissances de base de la pile TCP/IP
Connaissances de base configuration OS
Première expérience dans le domaine IT
Motivation et passion ☺
39. Une formation
Introduction
Protection des données contre toute
modification ou accès non autorisé
Identification des données sensibles
RGPD ☺
Utilisation de différents outils de
chiffrement
41. Une formation
DLP
Data Loss Prevention
Plan de prévention contre la parte de
données
Identification des fuites
Supervision des échanges de données
Prévention contre toute fuite de données
Politique de gestion des données ☺
42. Une formation
DLP
Sensibilisation des collaborateurs
Formation pour les employés qui traite des données
Sensibilisation sur les réseaux sociaux
Identification des points sensibles
Destruction des documents
Mots de passe forts
Mesures protectives des disques durs
50. Une formation
Sécurité hyperviseur
Verrouiller l’hyperviseur
Désactiver les services non nécessaires
Outils de contrôle d’intégrité
Sécurité physique
Patch et mises à jour
Désactivation des services hyperviseurs
Allocation des ressources étudiées
IDS/IPS Hyperviseur
Supervision
52. Une formation
Meilleures pratiques
Politique de sécurité
IDS, Firewall et antivirus
Zones de confiance
Mise à jour des hyperviseurs
Analyse des évènements
Contrôle d’intégrité
Accès physique
Chiffrement
Sensibilisation
56. Une formation
Introduction
Permet de détecter les tentatives
d’intrusion sur un hôte spécifique
Rootkits, processus malicieux,
registres etc …
Supervision et reporting
Menace interne incluse
57. Une formation
OSSEC
Host-Based IDS - HIDS
Open source
Analyse
des logs
intégrité,
supervision
des entrées
alerte en
temps réel
réponses
actives
58. Une formation
Alienvault - USM
Host Based
Ids (HIDS)
Network
based IDS
(NIDS)
Compromission
système
Applications
non sollicité
Malwares
Escalade de
privilège
Rootkit Intégrité
Accès non
autorisé
63. Une formation
Buck-Security
Gestion des mots de passe
Services non nécessaires
Linux Patch Management
Vérifier les permissions
Lab : Sécurisation d’un hôte linux
Plan
64. Une formation
Buck-Security
Statut de sécurité d’un système Linux
Vérification de sécurité
Meilleures pratiques
Des fichiers jusqu’aux packages et
services
65. Une formation
Gestion des mots de passe
Utilisation d’un mot de passe élevé
pour le compte Root
Politique de gestion des mots de passe
par défaut à changer
/etc/login.defs
66. Une formation
Services non nécessaires
Quels types de services tournent ?
Quels processus acceptent les
connexions entrantes ?
Quels sont les ports ouverts ?
Désactiver ceux qui sont inutiles
67. Une formation
Linux Patch Management
Mises à jour et Patch
Mises à jour de packages
Site web de la distribution
Téléchargement et installation
68. Une formation
Vérifier les permissions
Permissions de fichiers
Puissance de linux ☺
Chmod
Lecture
Ecriture
Exécution
69. Une formation
Passage de l’examen
Code : 312-38
Nombre de questions : 100
Durée : 4 heures
Passage : ECC/Person Vue
Score : 70%
Difficile
70. Une formation
Passage de l’examen
Code : 312-38
Nombre de questions : 100
Durée : 4 heures
Passage : ECC/Person Vue
Score : 70%
Difficile
73. Une formation
Introduction
Première ligne de défense contre les
attaques
Configuration de sécurité au niveau de
différents points
Représente un SPOF
Conception, configuration et exploitation
74. Une formation
Que fait un Firewall ?
Prévenir des scans réseau
Contrôler le trafic
Authentifier les utilisateurs
Filtrer paquets, services et protocoles
Journalisation
Translation d’adresse réseau
Prévenir des Malwares
75. Une formation
Ce qu’il ne fait pas !
Ne prévient pas des backdoors
Ne protège pas des menaces internes
N’est pas une alternative aux antivirus et antimalwares
Ne prévient pas contre les attaques de social engineering
Ne prévient pas contre la mauvaise utilisations des mots de
passe
Ne comprend pas le Trafic Tunnelé
77. Une formation
Les règles du firewall
Une règle définit des paramètres spécifiques
à une connexion réseau
Bloquer ou permettre la connexion
Customisation des contrôles d’accès
Plusieurs paramètres : Adresses sources,
destination, protocole ..
82. Une formation
Technologies du Firewall
Filtrage par
paquet
Filtrage via un
circuit
Proxy
VPN Statful –
multi couches
Inspection niveau
applicatif
Translation des
noms réseau
97. Une formation
Durcissement serveurs Web
Placer votre serveur web dans un réseau
isolé (Ex. DMZ)
Bénéfices de l’isolation du serveur :
Limiter la compromission
Meilleur supervision
Détection des attaques
Contrôle des flux
98. Une formation
Durcissement serveurs Web
Placer votre serveur web dans un réseau
isolé (Ex. DMZ)
Bénéfices de l’isolation du serveur :
Limiter la compromission
Meilleur supervision
Détection des attaques
Contrôle des flux
101. Une formation
Avant le déploiement
Effecteur une analyse de risque
Impact « potentiel » des menaces
Concevoir une politique de sécurité
Renforcer la politique de sécurité
105. Une formation
Durcissement serveurs Web
Placer les serveurs de support au niveau
d’un réseau protégé :
Ex. LDAP, BDD, Radius …
Restreindre le trafic entre :
Réseau public
Serveur Web
Serveurs de support
110. Une formation
L’installation
Installation du Hardware, OS, Patchs et mises à joursInstallation du Hardware, OS, Patchs et mises à jours
Configuration pour la protection contre les accès
non autorisés
Configuration pour la protection contre les accès
non autorisés
Configuration des comptes administrateursConfiguration des comptes administrateurs
111. Une formation
Politiques
Conception des règles et politiquesConception des règles et politiques
Configuration des règles et politiquesConfiguration des règles et politiques
Test des règles (Pentest si possible ^^)Test des règles (Pentest si possible ^^)
113. Une formation
L’intégration
Intégration du firewall au sein de l'infrastructureIntégration du firewall au sein de l'infrastructure
Hardware ou SoftwareHardware ou Software
TestTest
AméliorationAmélioration
114. Une formation
Ce qu’il faut tester
ConnectivitésConnectivités RèglesRègles GestionGestion
Implémentation
sécurisée
Implémentation
sécurisée
JournalisationJournalisation InteropérabilitéInteropérabilité
PerformancePerformance ConvergenceConvergence FonctionnalitésFonctionnalités
115. Une formation
Meilleures pratiques
Patches et mises à jourPatches et mises à jour
Applications métiersApplications métiers
Amélioration continueAmélioration continue
Supervision des logsSupervision des logs
BackupBackup
Analyse des logsAnalyse des logs
121. Une formation
Plateforme OS
Système sécurisé
Le bateau ne doit pas avoir de fuite ☺
Patchs
Désactivation des services non
nécessaires
Actions pré-déploiement
128. Une formation
Définition
Modem
Secure Private Local Area Network
Public Network
Internet
Firewall
Firewall Log
Firewall Log
Centralized Server
X
X= Restricted unknown traffic
Specified traffic allowed
134. Une formation
Définition
Tentative de compromission illégale
de la confidentialité, intégrité ou
disponibilité
Intrusion système Intrusion réseau
Intrusion système
de fichier
135. Une formation
Indication d’intrusion
Intrusion au système de fichiers
Nouveaux fichiersNouveaux fichiers
Changement de permissions des fichiersChangement de permissions des fichiers
Changement des tailles des fichiersChangement des tailles des fichiers
Fichiers manquantsFichiers manquants
137. Une formation
Indication d’intrusion
Intrusion au système
Logs non cohérentsLogs non cohérents
Performance en chutePerformance en chute
Modification de configurationModification de configuration
CrashCrash
Processus non familiersProcessus non familiers
141. Une formation
Définition
Système de détection et de prévention
d’intrusions
Gestion des intrusions dans un réseau
informatique
Deux sous groupes :
1. IDS Détection d’intrusion
2. IPS Prévention d’intrusion
143. Une formation
Pourquoi le besoin en IDPS ?
Couche de sécurité supplémentaireCouche de sécurité supplémentaire
Sécurité en profondeurSécurité en profondeur
Fait ce que le firewall ne peut pas faireFait ce que le firewall ne peut pas faire
Minimisation des menaces suite à une évasionMinimisation des menaces suite à une évasion
Nécessité d’une configuration sécuriséeNécessité d’une configuration sécurisée
Processus de déploiementProcessus de déploiement
145. Une formation
Meilleures Pratiques
Placer le serveur dans un sous-réseau isolé
Désactiver les options de configurations non nécessaires
Activer le mail relay
Patchs et mises à jour
Reverse DNS Lookup
Sender Policy Framewok
2 enregistrements MX
URI Real Time block Lists
Authentification ² SSL
146. Une formation
Rôle d’un IDS
Fonctions d’un IDS
Evènements examinés
Activités d’un IDS
Fonctionnement d’un IDS
Composants IDS
Les capteurs réseaux
Plan
148. Une formation
Fonctions d’un IDS
Supervision et analyse de
l’activité réseau et système
Supervision et analyse de
l’activité réseau et système
Analyse de la
configuration et réseaux
Analyse de la
configuration et réseaux
Contrôle de l’intégritéContrôle de l’intégrité
Identification des
patterns d’attaques
Identification des
patterns d’attaques
AnalyseAnalyse
Formation et
sensibilisation
Formation et
sensibilisation
149. Une formation
Evènements examinés
Activité réseaux et systèmeActivité réseaux et système
Identification de vulnérabilitésIdentification de vulnérabilités
Identification de configuration non sécuriséeIdentification de configuration non sécurisée
Analyse des autorisationsAnalyse des autorisations
151. Une formation
Fonctionnement d’un IDS
Réseau de l’entreprise
FirewallInternet
Détection d’anomalie
Vrai ?
Analyse
protocolaire
Comparaison
Vrai ?
Switch Vrai ?
Serveur de
logs
Notifications
Arrêt de la
connexion
Paquet
supprimé
X
X
X
BDD de
signatures
Règles
IDS
Processus IDS
152. Une formation
Composants IDS
Capteurs réseauxCapteurs réseaux
Systèmes d’alertesSystèmes d’alertes
Console de commandeConsole de commande
Système de réponseSystème de réponse
Base de données de signaturesBase de données de signatures
153. Une formation
Les capteurs réseaux
Capteu
r1
Capteu
r2
Capteu
r3
Utilisateur
Q.G
Internet
Routeur
LAN
Sous réseau
1
Sous réseau2
157. Une formation
Etape de détection d’intrusion
Types d’implémentation d’IDS
Approches IDS
Analyse protocolaire
IDS Structurel
Déploiement de NIDS
Lab : Déploiement de NIDS
Plan
159. Une formation
Types d’implémentation d’IDS
Classification Of Intrusion Detection System
Intrusion
Detection
Approach
Protected
System
Structure
Data
Source
Behaviour
after an
Attack
Analys
Timing
Anomaly
Detection
Signature
Detection
HIDS NIDS Hybrids
Centralized
System
Distributed
System
Agent
System
Audit
Trail
Network
Packets
SystemState
Analysis
Active
IDS
Passive
IDS
On the fly
Processing
Interval
based IDS
161. Une formation
Approches IDS
Misuse Detection System Anomaly Detection System
Detection Module Detection Module
Auditing
Modules
Profiles Interference
Engine
Target
Systems
Target
Systems
Auditing
Modules
Profiles Anomaly
Detection
Engine
162. Une formation
Analyse protocolaire
Passive Mode Active Mode
Firewall
Frontline
IPS
Passive IDS
Mode
Firewall
Frontline
IPS
Active IDS
Mode
Active
Response
Listen
and
Monitor
Listen and
Monitor
163. Une formation
Protection par IDS
NIDS
HIDS
Misuse
Detection
Misuse
Detection
Anomaly
Detection
Unknown
Features
Known Attack
Novel Attack
Untrusted
Network
169. Une formation
Déploiement d’HIDS
Couche de sécurité supplémentaire
Défense en profondeur
Sécurité des hôtes
Installation dans tous les hôtes sur le réseau
Système de gestion et journalisation
centralisée
Déployé et discuté précédemment
172. Types d’alertes d’IDS
Gestion des faux positifs
Niveau acceptable de FP
Calcul de FP et FN
Gestion des faux négatifs
Lab : Cisco IPS
Plan
Une formation
174. Alerte non légitime
Perte de temps précieux
Alerte d’IDS légitime
Sources multiples
Gestion des faux positifs
Equipement
réseau
Traffic
réseau
Bugs
logiciel
Une formation
175. Un IDS sans configuration convenable
ressortira plusieurs faux positifs
Une bonne configuration convenable
diminuera de 60% le taux de faux
positifs
Customisation nécessaire
Niveau acceptable de FP
Une formation
177. Les faux négatifs sont plus dangereux que les
faux positifs
Réduire les faux négatifs sans augmenter les
faux positifs
Conception, gestion et sécurité
Gestion sécurisée des règles des IDS
Communication transparente
Gestion des faux négatifs
Une formation
180. Une formation
Meilleures pratiques
Désactiver les comptes Anonymous
Activer la journalisation
Restreindre les accès par IP ou nom de domaine
Configurer les contrôles d’accès (ACL)
Restreindre les tentatives de connexion
Configurer les règles de filtrages
SSL/FTPS
182. Une formation
Les caractéristiques d’un bon IDS
A moins besoin d’intervention
Humaine
Tolérant aux erreurs
Résiste aux montées en version
Pas bypassable facilement
Répond à votre besoin ☺
183. Une formation
Les Erreurs à éviter
Déploiement dans le sens ou l’IDS ne voit
pas tout le trafic réseau
Ignorer fréquemment les alertes IDS
Ne pas disposer d’une politique de réponse
aux incidents
Customisation par rapport aux faux et vrai
négatifs
188. Une formation
Placement des IPS
IPS
FirewallInternet
IDS
Network
Switch
Network
Server
IPS
Network Host
Network Switch
189. Une formation
Fonctions des IPS
Supervision des flux de données dans le
réseau
Détection des tentatives de sniffing
Détection et analyse de la couche
applicative
Analyse des paquets individuellement
190. Une formation
Ce que fait un IPS
Détection de paquets malicieux
Analyse par signature connue
Purge des erreurs dans le réseau
Deep packet inspection
Abaisser le taux de faux positifs
204. Une formation
Produits VPN
Manufacturer Product Name Web Site
CheckPoint
VPN-1 VSX,VPN-1 pro
VPN-1Edge,Firewall-1
Web Site
NetGear ProSafe VPN www.netgear.com
Symantec Corporation
Symantec Entreprise
Firewall,Norton
Personal
Firewall for Macintoch
www.symantec.com
215. Une formation
Introduction
La sécurité du VPN dépend
principalement de sa configuration
Le choix du type de VPN et de la
technologie à utiliser est primordiale
Test d’intrusion à traiter dans la
dernière partie
222. Une formation
Durcissement routeurs
Changer les mots de passe par défaut
Désactivation broadcast
Désactivation HTTP
Bloquer requête ICMP
Désactiver source rooting
Logs routeurs
Sécurité physique
Filtrage Ingress/Egress
232. Une formation
Composants réseaux WLAN
Répéteur
sans fils
Répéteur
sans fils
Routeur sans
fils
Routeur sans
fils
Adaptateur
sans fils
Adaptateur
sans fils
Point sans
fils
Point sans
fils
237. Une formation
Introduction
Meilleure technique de cryptage ->
Meilleure technique de décryptage
Avenir impossible à prédire
Sécurité à 100% -> Un Mythe
Démocratisation des réseaux sans fils
Histoire vulnérable
Depuis les années 2000
238. Une formation
WEP
WEP (Wired Equivalent Privacy ou
Protection Equivalente au Câble )
Clé d’une longueur de 64 à 256 bits
dont 24 ne sont pas utilisés pour le
chiffrement
239. Une formation
WEP
Cela fait une clé, si on la compare à
un mot, d’une longueur de 5 à 29
caractères
La majorité des clés sont composées
de 13 caractères
Faille -> Algorithme
241. Une formation
WPA/WPA2
TKIP – Temporal Key
Integrity protocol
permutation clés
Mode personnel
PSK (Pre shared key)
WPA offre une protection d’un niveau
bien supérieur au WEP
Utilise le même algorithme de
chiffrement et est basé sur le même
principe de vecteur d’initialisation
247. Une formation
Open System Authentication
Shared Key authentication
Authentification centralisée
Lab : FreeRadius
Plan
248. Une formation
Open system authentication
1 Requête
d’authentification
2 Réponse (Paramètres de sécurité )
3 Requête OSA
4 Réponse OSA
5 Requête d’association (Paramètres de
sécurité )
6 Réponse d’association
Tentative de
connexion Point d’accès
( AP)
Switch
Internet
249. Une formation
Shared Key Authentication
1 Requêtes d’authentification
2 Challenge d’authentification
3 Chiffrement du message
4 Décryptage du massage et validation
de l’association
Client
Point d’accès
(AP)
Switch
Internet
250. Une formation
Authentification centralisée
1 Requête de connexion
2 Requête d’identification EAP
3 Réponse EAP
d’identification
6 Réponse incluant les identifiants
depuis le serveur Radius
8 Envoi d’identifiants chiffrés
4 Communication des
identifiants
5 Envoi de la requête
d’authentification incluant incluant le
mécanisme d’authentification
7 Envoi de la clé d’authentification
Client Point d’accès Serveur Radius