Forensique Réseaux
BT211
Sommaire
Description
La formation à la forensique des réseaux porte sur l’analyse du trafic réseau pour identifier les intrusions ou les activités anormales. Par rapport à la forensique informatique, où les preuves sont généralement conservées sur disque, les données de réseau sont plus volatiles et imprévisibles et nécessitent donc une approche différente.
Ce cours pose les bases de la compréhension des réseaux et du processus d’investigation sur ceux-ci. Les participants maîtriseront les bases de l’analyse forensique dans un environnement de réseau. Ce cours comprendra des démonstrations et des exercices de laboratoire pour renforcer les capacités pratiques.
Comment réussir au mieux ce cours
Pour réussir ce cours, il vous faudra :
- Participer à l’ensemble des labos
- Produire du travail personnel entre les cours
- Exécuter les exercices, s’auto-former, réaliser les tâches demandées, etc.
Outre une participation active au cours, l’étudiant doit fournir au moins 10h de travail personnel durant la semaine de cours afin d’acquérir une expérience pratique dans les domaines enseignés.
Le participant doit également posséder un ordinateur personnel capable de faire tourner un système virtuel avec une connexion Internet stable (voir ci-dessous pour plus de détails).
Public cible
Ce cours s’adresse à ceux qui ont des connaissances de base sur :
- Agents des services de police et de renseignement
- Intervenants en cas d’incident
- Enquêteurs informatiques
- Administrateurs TI/réseaux
- Personnel de sécurité informatique
- Jeunes analystes de la cybercriminalité
Objectifs
- Détection de divers types d’incidents informatiques et de réseaux
- Analyser les artefacts de réseau laissés sur un système compromis
- Comprendre les alertes et les avis
- Réagir aux incidents
- Surveillance du trafic réseau et analyse des journaux
- Apprendre à travailler avec différents outils.
Prérequis
Syllabus
Description
Au cours de ce module, les participants apprendront à lire des paquets de données, à découper des fichiers et à identifier les activités suspectes sur le réseau. Les participants auront un aperçu de la manière dont une attaque sur le réseau est menée et comment elle peut être identifiée. Les participants seront chargés de construire des outils de défense essentiels qui déclencheront des alertes lorsque le système sera attaqué.
Contenu technique
- Comprendre les composantes du réseau
o Comprendre les pare-feu en réseau
Filtre à paquets IDS commun
o Analyse du trafic
o Comprendre la structure des paquets Analyse des paquets
o HAProxy
o EtherApe
o Wireshark Connaissance de Wireshark Statistiques Flux TCP Comprendre les règles de coloration Voir les options sur les paquets Explorez dans les protocoles communs
Description
Au cours de ce module, les participants comprendront les défis que pose l’enquête sur les cas concernant les réseaux. Les participants s’exerceront à utiliser divers outils et méthodes d’enquête pour corréler les données et recueillir des preuves.
Contenu technique
- Processus d’enquête forensique réseaux
o Compétences en matière d’automatisation TCPDump Extraction des lettres de créance Objets d’exportation
o Attaque du MiTM Méthodes Différentes utilisations Outils communs MiTM Créez votre attaque
o Trouver les anomalies du réseau
o Analyse des flux
o Sculpture de fichiers en réseau Wireshark NetworkMiner En premier lieu avec une configuration spéciale
o Découvrir les tunnels du réseau.
Description
Au cours de ce module, les participants approfondiront l’étude des paquets de données, apprendront à identifier les anomalies du réseau et à comprendre les alertes du système. Les participants maîtriseront l’utilisation d’outils connus d’interface en ligne de commande (CLI) et d’interface utilisateur graphique (GUI) pour se spécialiser davantage dans ce domaine.
Contenu technique
- Analyse avancée des réseaux
o Wireshark avancé Analyse des flux Enquête avancée sur les incidents Enquêter sur les communications peu communes Décryptage du trafic SSL/TLS Recherche de logiciels malveillants et processus d’analyse
o Tshark avancé Filtres à passage unique et à passages multiples Automatisation Enquête sur la charge utile - Zeek
o Journaux de sortie
o Automatisation du processus
o Suivi des données dans les journaux
o Zeek-Cut Parsing - Analyse de la VoIP
o Protocole VoIP
o Analyse du trafic VoIP
o Boîte vocale
o Messagerie SIP
o DTMF
o Décryptage des appels VoIP
o Plugin Wireshark personnalisé
o Analyse des messages VoIP REGISTER
o Extraction de hashes
o Craquage de mots de passe.
Description
Dans ce module, les participants apprendront à déployer des analyseurs automatiques de données, en utilisant des règles prédéfinies ou en élaborant des ensembles de règles personnalisés pour alerter et bloquer en cas de détection d’un trafic suspect.
Contenu technique
- IPS vs. IDS
o Outils et méthodes essentiels de détection des intrusions
▪ Installation et configuration de Sysmon
▪ Fichiers hachés
▪ Journal des événements Windows
▪ Analyser et filtrer les événements
▪ Événements du réseau
o Analyse IDS/IPS
▪ Composants matériels et logiciels
▪ Processus de fonctionnement de l’IDS/IPS
▪ Configuration IDS/IPS
▪ Snort
o Système de règles
o Fonctionnement avec un pare-feu et des réseaux
o Configuration avancée de Snort
o Utilisation et mise à jour des règles intégrées
o Création d’un système de décision personnalisé.
Description
Dans ce module, les participants résumeront les résultats de l’enquête et les consigneront dans un rapport. Celui-ci doit être compréhensible, factuel et défendable en détail selon les principes généraux de la forensique.
Contenu technique
- Rédaction de rapports
o Motif de l’enquête
o Preuves examinées
o Description de l’enquête
o Détails de la constatation Fichiers récupérés Journaux d’accès au réseau Fichiers cachés Journaux de trafic du réseau Applications utilisées pour des activités illicites Cryptage et techniques utilisées pour cacher les données.
Labos
Les labos suivants font partie du cours BT211 :
- Labo 1 Configuration du pare-feu
- Labo 2 Analyse des paquets
- Labo 3 Travailler avec Tshark
- Labo 4 Attaques de réseaux
- Labo 5 Découpage de fichiers de réseau
- Labo 6 Fichiers de réseau gravés dans la mémoire
- Labo 7 Décryptage du trafic crypté
- Labo 8 Travailler avec Zeek
- Labo 9 Analyse du trafic VoIP
- Labo 10 Automatisation avec Sysmon
- Labo 11 Création d’outils de sécurité des réseaux
Type de Cours
Le participant peut bénéficier d’un des deux modes de cours :
- Une classe de cours virtuelle avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
- Des cours in situ avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
Cependant, en raison des restrictions sanitaires, l’ensemble des cours se fait sous la forme de classes virtuelles.
Toutes les sessions sont enregistrées et peuvent être re-visionnées pendant 30 jours.
Tout le matériel de cours est mis à disposition du participant sous forme électronique, couvrant les syllabus, les labos, et les études de cas.
Groupe de cours: Défense
Entre Pratique et Théorie
Notre approche de la formation est éminemment pratique et vise à permettre au participant d’appliquer dans un contexte pratique les connaissances qu’il acquiert.Certification
Ce cours prépare aux certifications suivantes:
- CNFE (Mile2)
Équipement requis
Connexion réseau
Comme ce cours est essentiellement fondé sur un Learning Managament
System (LMS), incluant une arène pour les labos, les participants ont besoin d’une connexion fiable à Internet.
Apporter votre propre matériel
Le cours étant principalement basé sur la pratique, les participants doivent avoir un ordinateur portable avec :
- L’audio et la vidéo
- 8 GB RAM
- 200 GB d’espace disque
- La capacité d’un environnement virtuel (capable de faire tourner
la dernière version de Virtualbox ou un simulateur de machine virtuelle
équivalent)
Et bien sûr un bon kit casque/micro.
