Séminaire SRI Sécurité réseaux/Internet, synthèse

3 jours

.
.

OBJECTIFS
Ce séminaire vous montrera comment répondre aux impératifs de sécurité des communications de
l'entreprise et intégrer la sécurité dans l'architecture d'un système d'information. Il comprend une
analyse détaillée des menaces et moyens d'intrusion ainsi que des techniques spécifiques de sécurité,
solutions et produits. A l'issue de ce séminaire, vous disposerez des éléments techniques pour
comprendre les technologies qui protègent votre système d'information et sécurisent son ouverture
aux réseaux extérieurs Internet, Extranet et VPN.
.
Introduction : qui fait quoi et comment ?
Outils et méthodes d'intrusion par TCP-IP
Sécurité des postes clients
Sécurité Wifi
Technologie firewall/proxy
Techniques cryptographiques
Architectures de sécurité pour l'Intranet/Extranet
Réseaux Privés Virtuels (VPN)
Sécurité des applications
Gestion et supervision active de la sécurité

.
Participants
Responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de
sécurité, responsables ou administrateurs réseau, informatique, système.
Pré-requis
De bonnes connaissances sur les réseaux et les systèmes sont nécessaires.
Documentation
Le support de cours est accompagné d'une bibliographie et d'une liste de serveurs Web utiles dans
le domaine de la sécurité.

CONTENU
Introduction : qui fait quoi et comment ?
- Concepts et principes de sécurité : risque, menaces, vulnérabilité, politique de sécurité...
- Evolution de la cybercriminalité en France et dans le monde.
- Typologie des risques, le top 20 des attaques sur Internet.
- Les failles de sécurité dans les logiciels (évolution et cycle de vie).
- Nouvelles techniques d'attaque et contre-mesures associées.

Outils et méthodes d'intrusion par TCP-IP

- Les attaques par le stack IP (IP Spoofing, TCP-flooding, SMURF, etc.).
- Les attaques applicatives (DNS, HTTP, SMTP, etc.).
- Utilisation d'un code mobile malveillant (conception, diffusion, propagation).
- Comprendre les techniques des hackers (sniffing, tapping, smurfing, hi-jacking, flooding,
cracking...).
- Les sites majeurs de la sécurité (CERT, Security focus/bugtraq, CVE...).

Sécurité des postes clients

- Comprendre les menaces orientées postes clients (backdoor, virus, worm, spyware, rootkit,
keylogger...).
- Le rôle du firewall personnel et ses limites.

ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 1 / 3
 - Les logiciels anti-virus/anti-spyware (comparatif et déploiement).
- Comment gérer les correctifs de sécurité sur les postes clients ?
- Linux et Open Office bien mieux sécurisés que Microsoft Windows et MS Office ?
- Quels sont les apports réels de Vista en matière de sécurité ?
- Comment sécuriser les périphériques amovibles (disques externes, clés USB, DVD, etc.).
- Le contrôle de conformité du client Cisco NAC, Microsoft NAP.

Sécurité Wifi
- Technologies de réseaux sans fil (Standards IEEE 802.11).
- Attaques spécifiques (Wardriving, failles WEP, failles EAP).
- Mécanismes de sécurité des bornes (SSID, Filtrage MAC).
- Vulnérabilités WEP. Faiblesse de l'algorithme RC4.
- Description des risques (interception du trafic, man in the middle, DoS, ...).
- Le standard de sécurité IEEE 802.11i (WPA et WPA2).
- Architecture des WLAN (segmentation des réseaux, des flux).
- Authentifier des utilisateurs (EAP, passphrase, certificats, token...).
- Les différentes méthodes Cisco LEAP, EAP-TLS, PEAP...
- Audit et surveillance du réseau.
- Recherche des réseaux « sauvages ».
- Outils d'audit, logiciels libres, Netstumbler, WifiScanner...

Technologie firewall/proxy
- Les serveurs proxy, reverse proxy, le masquage d'adresse.
- Le filtrage : comment identifier pour filtrer une application.
- Firewall et proxy : quelle complémentarité ?
- Les firewalls dédiés/non dédiés.
- Principe des firewalls, périmètre fonctionnel.
- La mise en place de solutions DMZ (zones démilitarisées).
- Sécurité liée à l'adressage : adressage privé (RFC 1918), fonctions NAT et PAT.
- Les firewalls de type "Appliance", l'approche SOHO.
- Comment sélectionner le firewall le mieux adapté à vos contraintes.
- Produits et principaux acteurs du marché.
- Les solutions à haute disponibilité (Stonesoft, Radware, Alteon...).

Techniques cryptographiques
- Historique, terminologie, principaux algorithmes connus, cryptanalyse.
- Législation et principales contraintes d'utilisation en France et dans le monde.
- Algorithmes à clé publique : Diffie Hellman, RSA, schémas à apport nul de connaissance.
- Scellement et signature électronique : MD5, MAC, MAA, SHA, DSS.
- Mots de passe, token, carte à puce, certificats ou biométrie ?
- Authentification forte : logiciels (S/key), cartes à puces, calculettes d'authentification.
- Préserver la confidentialité des mots de passe.
- Un exemple d'authentification sûre : RSA SecurID.
- Application de la cryptographie : schéma de confidentialité et d'intégrité, législation, produits de
chiffrement pour réseaux étendus, protocoles de sécurité (IPSec, SSL, SOCKS, S/MIME, PGP...).
- Evaluation des systèmes d'authentification : Radius, Tacacs+, Kerberos, X509.
- Comment déployer des tokens, smartcards, cartes à puce.
- Compléter l'authentification par l'intégrité et la confidentialité de vos données.

Architectures de sécurité pour l'Intranet/Extranet

- Les architectures à clés publiques (Public Key Infrastructure).
- Le standard SSL, la version 2, la version 3, TLS, 40 ou 128 bits.
- Un serveur de certificat interne ou public ? En France ou aux USA ? À quel prix ?
- Comment obtenir des certificats serveurs et clients.
- Comment faire gérer ces certificats : de la création à la révocation.
- Annuaire LDAP et sécurité.
- Architectures "3A" (authentification, autorisation, audit) : concept de SSO, Kerberos,
normes OSF/DCE et ECMA Tacacs.

Réseaux Privés Virtuels (VPN)

- Réseau privé virtuel : analyse du besoin, conception et déploiement.
- La création d'un VPN (Virtual Private Network) site à site via Internet.
- Comment déployer des accès distants à travers l'Internet ?
- Comment offrir un service sécurisé Extranet à valeur ajoutée.
- Le standard IPSec, les modes AH et ESP, IKE et la gestion des clés.

ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 2 / 3
 - Les produits compatibles IPSec, l'interopérabilité entre produits.
- Comment surmonter les problèmes entre IPSec et NAT ?
- Les VPN SSL (quel intérêt par rapport à IPSec ?).
- Les produits VPN SSL, l'enjeu de la portabilité.
- Les offres VPN Opérateurs (MPLS et VPLS). VPN IPSec ou VPN MPLS ?
- VPN IPSec ou VPN SSL pour le poste nomade ?

Sécurité des applications

- Comment bien architecturer son application (front-office/back-office) ?
- Comment réaliser un filtrage d'URL efficace ? Liste blanche et/ou liste noire.
- La sécurité intrusive/non intrusive.
- Le pare-feu applicatif ou reverse proxy filtrant.
- L'authentification renforcée et la gestion SSO.
- Le hardening et les vérifications d'intégrité en temps réel.
- L'authentification des services distants : comment la renforcer ?
- Comment améliorer les performances et assurer une haute disponibilité ?

Gestion et supervision active de la sécurité

- L'apport des normes ISO 27001 et ISO 27002 dans le management de la sécurité.
- Les tableaux de bord Sécurité. La norme ISO 27004.
- Les missions du RSSI dans le suivi de la sécurité.
- Les audits de sécurité (technique ou organisationnel).
- Le contrôle de sécurité périmétrique par scanner.
- Les tests de vulnérabilité ou tests d'intrusion, les contraintes des lois (LCEN, LSQ, etc.).
- Les outils spécialisés Sondes IDS, Scanner VDS, Firewall IPS.
- Comment répondre efficacement aux attaques ?
- Comment consigner les éléments de preuve et mettre en oeuvre un plan de riposte efficace ?
- Mettre en place une solution de SIM (Security Information Management).
- La veille technologique : comment se tenir toujours informé des nouvelles vulnérabilités ?
- Comment gérer les mises à niveaux, intégrer les contraintes de qualification en production.
- Comment réagir en cas d'incidents, détection de failles et trous de sécurité.
- Les services indispensables : où les trouver, faut-il externaliser ? Quelle est l'offre du MSS ?
Démonstrations
- Intrusion dans un service Web en ligne par l'exploitation d'une faille de sécurité logicielle.
- Mise en oeuvre d'un serveur HTTPS - installation certificat serveur (analyse des échanges et
visualisation des clés privées et publiques, certificat).
- Mise en oeuvre d'un tunnel de sécurité de type IPSec (analyse des échanges protocolaires).
- Protection avancée d'un service Web ; détection des attaques et parades en temps réel.
- Mise en oeuvre d'un IPS. Détection d'attaque sur flux en clair et chiffré.

ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 3 / 3