|
|
Penetration Test
Informations générales
Code: PNT
Durée : 2 jours
Participants : 10 Maximum
Prix : 1350 € HT
Public visé
- Consultants en sécurité
- Ingénieurs / Techniciens
- Administrateurs systèmes / réseau
Moyens
- Support de cours
- 50% d'exercices pratiques
- 1 PC par personne / Internet
- Environnement Windows de démonstration (2000, 2003, XP...), et Linux
- CD d'outils Pentest
Objectifs
- Organiser une procédure d'audit de sécurité de type test de pénétration sur son SI
- Utiliser les outils d’analyse de la sécurité les plus performants
- Mettez en application vos compétences techniques des cours HSB/HSA dans le cadre d’une intervention professionnelle.
|
Description
Ce cours vous apprendra à mettre en place une véritable procédure d’audit de type Pen Test sur votre S.I.
Il s’agit d’une intervention très technique, qui permet de déterminer le potentiel réel d’intrusion et de destruction d’un pirate sur l’infrastructure à auditer, et de valider l’efficacité réelle de la sécurité appliquée aux systèmes, au réseau et à la confidentialité des informations.
Vous y étudierez notamment l’organisation et les procédures propres à ce type d’audit; ainsi qu’à utiliser vos compétences techniques (des compéten ces équivalentes aux cours HSB et HSA recommandées) et les meilleurs outils d’analyse et d’automatisation des attaques (outils publiques ou privés développés par nos équipes) pour la réalisation de cette intervention.
|
Jour 1
- Qu’est ce qu’un Pen test
- L’intérêt du Pen test
- Intégration d’un pentest dans un proces-sus de sécurité général
- Définition de la politique de management sécuri-té, et pen test itératif.
- Organiser son intervention
- Expression des besoins, périmètre et objectifs de l’audit et structurer l’intervention.
- Préparer le référentiel
- Aspects techniques et aspects légaux.
- La portée technique de l’audit
- Déterminer les éléments techniques sur les-quels porteront l’intervention: Prises d’informa-tions, réseau, web, applicatifs, systèmes et collaborateurs.
- Réaliser l’audit
- La prise d’information
- Enumération et identification des systèmes et des utilisateurs.
- Acquisition d’accès
- Attaques des éléments techniques : systèmes, réseau, web, applicatifs et services, collabora-teurs.
- Elévation de privilèges
- Devenir administrateurs, outrepasser les pro-tections systèmes et réseau, trouver les infor-mations sensibles sur les systèmes.
- Maintien des accès sur le système
- Garder et utiliser les accès obtenus pour pour-suivre l`audit du réseau.
- Les traces de l’intrusion
- Evaluer les logs systèmes et les IDS
|
Jour 2
- Les outils de pen test
- Présentation, utilisation et comparatif des outils
- Les outils de scan
- Les outils réseaux
- Outils d’analyse des règles de Firewall, détournements de session, attaques des protocoles sécurisés, dénis de services.
- Les outils d’analyse système
- Sous Windows, Linux, UNIX et Mac.
- Les outils d’analyse web
- Scanner de pages web/CGI, outils d’exploitation de vulnérabilités dans les pages web et les bases de données.
- Les outils d’attaque des collaborateurs
- Ingénierie sociale, attaques par Email.
- Les outils de Maintien des accès
- Backdoor système et réseau.
- Les framework d’exploitation
- Présentation de CANVAS et de Metasploit.
- Le rapport
- Evaluation des risques
- Impact, potentialité et criticité d’une vulnérabilité.
- Organiser le rapport
- Synthèse, énumération des systèmes et des vulnérabilités.
- Ecriture et remise du rapport
|
|
Forum
Sysdream ouvre un forum technique pour tous ses clients, sur lequel vous pourrez demander à nos consultants toute précision ou conseil relatifs à nos cours ou aux questions techniques que vous vous posez !
Si vous avez déjà suivi une session de cours chez nous, venez vous inscrire.
|
