Análisis de los Mecanismos de Intrusión

Versión para impresoraVersión para impresora

Código: SC-375
Modalidad: presencial
Total Horas: Consultar

Fecha Inicio: Bajo demanda

Descripcion del Curso

Este curso proveerá al estudiante de las habilidades necesarias para descubrir y analizar las intrusiones en un entorno UNIX.

Objetivo

Las personas que realicen el curso aprenderán a:

  1. Detectar intrusiones en sistemas de empresa
  2. Analizar un sistema comprometido para informació crucial: tiempo de ataque, localización del atacante, modificaciones del sistema del atacante
  3. Correlacionar multiples ficheros log desde diferentes partes de la empresa para determinar el uso del atacante
  4. Comportamiento y auditoría de lo sistemas de ficheros para determinar las modificaciones del atacante
  5. Describir las nuevas metodologías de ataque con pruebas de ejemplos

Prerequisitos

Para obtener el máximo aprovechamiento del curso, los alumnos necesitan:

  • Demostrar conocimientos básicos del sistema UNIX y adminitración de redes
  • Demostrar conocimientos básicos sobre Transmission Control Protocol/Internet Protocol (TCP/IP)
  • Demostrar conocimientos medios sobre servicios de redes: DNS, DHCP, SMTP, HTTP, y firewalls

A quién va dirigido

Los estudiantes que se pueden beneficiar de este curso son administradores de sistemas y administradores de seguridad, los cuales son responsables de detectar y analizar intrusiones en el sistema de la empresa.

Cursos relacionados

Cursos relacionados (Después):
SC-410: Análisis de la Seguridad y Recuperación de los Sistemas

Contenido

Huellas empresariales

  • Describir lo principal de los privilegios menores y descubirmiento
  • Describir como los atacantes usan las huellas activas utilizando escáner de puerto, DNS y ICMP
  • Describir como los atacantes usan las huellas pasivas utilizando motores de búsqueda
  • Describir como los atacantes enumeran los servicios recopilando mensajes de los banner e información de protocolo
  • Describir como los atacantes utilizan métodos de ingeniería social para reunir información sobre la empresa

Acceso no autorizado de Sistema

  • Describir como los atacantes consiguen a través de acceso no autorizado utilizar cuentas
  • Describir como los atacantes consiguen a través de acceso no autorizado crear desperfectos en el sistemae
  • Explicar la metodología de los atacantes para localizar servicios de empresas vulnerables y aprovecharse
  • Describir como se desborda un buffer
  • Describir la escalada de benificios
  • Describir como el caballo de Troya es el medio para escalar privilegios

Proteger el acceso a root (raíz)

  • Describir como los atacantes aseguran el acceso a raíz mediante backdoors en el sistema
  • Describir las siguientes back doors: SUID shell, bound shell, y trusted hosts
  • Describir el sistema de ficheros raíz
  • Demostrar como el sistema de ficheros raíz kit oculta ficheros, procesos y conexiones
  • Describir el núcleo
  • Demostrar como el kernel captura todas las actividades del sistema

Encriptar y ocultar información del sistema

  • Revisar tecnologías de encriptación
  • Descrbir como los atacantes usan criptografía para encriptar los ficheros
  • Demostrar la encriptación utilizando GnuPGP y OpenSSL
  • Describir escenografía digital
  • Demostar como los atacantes ocultan ficheros dentro de ficheros usando escenografía digital
  • Descrbir como los atacantes ocultan datos dentro de partes del sistema de ficheros inesperadas
  • Demostrar como los atacantes ocultan un fichero en un fichero de metadatos del sistema
  • Demostrar como los atacantes usan sistema de ficheros loopback y aumentan los atributos a información oculta

Análisis del log de la empresa

  • Identificar los diferentes tipos de servicios de empresa: como DNS, DHCP, SMTP, HTTP, y Firewalls
  • Identificar los ficheros log diponibles para los servicios de la empresa
  • Descrbir la información relevante de las intrusiones en cada fichero log
  • Examinar los ficheros log de la emrpresa para localizar actividades sospechosas
  • Correlacionar la información de múltiples ficheros log con determinadas intrusiones

Análisis de intrusión de accesos no autorizados al sistema

  • Identificar los ficheros log por defecto en el acceso del sistema en el directorio /var
  • IdentificarBasic Security Module (BSM) opcional y los ficheros log del sistema para las cuentas
  • Describir formatos de ficheros log y las herramientas disponibles para la lectura del formato
  • Describir la información relevante de cada fichero log
  • Corelacionar la múltiple información de los ficheros log con determinados accesos no autorizados al sistema
  • Demostrar como los atacantes modifican los ficheros log para ocultar su presencia en el sistema

Análisis de intrusión en el sistema de ficheros

  • Definir sistemas y utilidades de confianza
  • Localizar backdoors en un sistema UNIX: alternar cuentas de root, bound shells, SUID shells, verificar ficheros del host
  • Localizar el sistema de ficheros ráiz en un sistema UNIX
  • Descubrir directorios ocultos, comandos del sistema reemplazados, comandos de utilidades remotas, y sniffers de red
  • Describir herramientas de análisis del sistema de ficheros
  • Implementar rkhunter, chkrootkit, y Solaris Fingerprint Database para localizar el raíz

Análisis de memoria del sistema

  • Describir los tipos de intrusión importantese, de los cuales la información reside en memoria
  • Describir técnicas de captura de información de la memoria volátil para el sistema de ficheros
  • Introducción a herramientas de análisis de memoria mdb y gdb
  • Demostrar como recuperar la información desde memoria utilizando las herramientas mdb y gdb

Metodologías para la investigación de incidentes

  • Identificar los diferentes tipos de escenarios para la intrusión
  • Aplicar una metodología basada en un escenario de intrusión
  • Recopilar la información apropiada (ficheros log, sistema de ficheros, e imágenes de memoria) basada en un escenario de intrusión