Enterprise Intrusion-Analyse

AS-SYSTEME Unternehmensberatung
In Zürich und Bern (Schweiz)

3.100 
zzgl. MwSt.
Möchten Sie den Bildungsanbieter lieber direkt anrufen?
711 9... Mehr ansehen
Vergleichen Sie diesen Kurs mit ähnlichen Kursen
Mehr ansehen

Wichtige informationen

Beschreibung

Dieser Kurs vermittelt folgende Kenntnisse und Fähigkeiten: - 1. Erkennen eines Angriffs auf ein Unternehmenssystem. - 2. Analysieren eines beeinträchtigten Systems auf entscheidende Informationen: Zeit des Angriffs, Standort des Angreifers, am System durch den Angreifer vorgenommene Änderungen. - 3. Inbeziehungsetzen mehrerer Protokolldateien aus verschiedenen Bereichen des ..
Gerichtet an: Der Kurs richtet sich an System- und Sicherheitsadministratoren, die für das Erkennen und Analysieren von Angriffen auf Unternehmenssysteme verantwortlich sind.

Wichtige informationen
Veranstaltungsort(e)

Wo und wann

Beginn Lage
auf Anfrage
Bern
Mühlemattstrasse 14a, CH-3007, Bern, Schweiz
auf Anfrage
Zürich
Javastrasse 4, CH-8604, Zürich, Schweiz

Häufig gestellte Fragen

· Voraussetzungen

Um diesen Kurs erfolgreich absolvieren zu können, sollten Sie über folgende Vorkenntnisse verfügen: - Nachweisliche grundlegende Kenntnisse von System- und Netzwerkadministrationsaufgaben unter UNIX. - Nachweisliches grundlegendes Verständnis der Grundlagen der TCP/IP-Vernetzung (Transmission Control Protocol, Internet Protocol). - Kenntnisse von Netzwerkdiensten wie D...

Themenkreis

Trainingsziel

Dieser Kurs vermittelt folgende Kenntnisse und Fähigkeiten:

  • 1. Erkennen eines Angriffs auf ein Unternehmenssystem.


  • 2. Analysieren eines beeinträchtigten Systems auf entscheidende Informationen: Zeit des Angriffs, Standort des Angreifers, am System durch den Angreifer vorgenommene Änderungen.


  • 3. Inbeziehungsetzen mehrerer Protokolldateien aus verschiedenen Bereichen des Unternehmens, um Aktivitäten des Angreifers zu ermitteln.


  • 4. Durchführen einer Überwachung der Dateisysteme zur Ermittlung von durch den Angreifer vorgenommenen Änderungen.


  • 5. Beschreiben moderner Angriffsmethoden mit Beispielen für den Konzeptnachweis.



Teilnehmerkreis

Der Kurs richtet sich an System- und Sicherheitsadministratoren, die für das Erkennen und Analysieren von Angriffen auf Unternehmenssysteme verantwortlich sind.

Voraussetzungen

Um diesen Kurs erfolgreich absolvieren zu können, sollten Sie über folgende Vorkenntnisse verfügen:

  • Nachweisliche grundlegende Kenntnisse von System- und Netzwerkadministrationsaufgaben unter UNIX.


  • Nachweisliches grundlegendes Verständnis der Grundlagen der TCP/IP-Vernetzung (Transmission Control Protocol, Internet Protocol).


  • Kenntnisse von Netzwerkdiensten wie DNS, DHCP, SMTP, HTTP und Firewalls.



Im Vorfeld

SA-200-S10: Solaris 10 OS Systemadministration I

SA-300-S10: Netzwerkadministration für Solaris 10

SC-300: Security unter Solaris

SC-345: Netzwerk-Angriffserkennung (Network Intrusion Detection) in Solaris

Überblick über den Inhalt des Trainings

Der Kurs "Enterprise Intrusion-Analyse" vermittelt die Fertigkeiten,

die zum Erkennen und Analysieren von Angriffen auf ein Unternehmen in

einer UNIX-Umgebung erforderlich sind.

Profilerstellung (Footprinting) von Unternehmen

  • Beschreiben der Prinzipien Least Privilege und Offenlegung.
  • Beschreiben, wie Angreifer unter Verwendung von Portscans, DNS und ICMP aktives Fingerprinting einsetzen.
  • Beschreiben, wie Angreifer unter Verwendung von Suchmaschinen passives Fingerprinting einsetzen.
  • Beschreiben, wie Angreifer durch Sammeln von Bannernachrichen und Protokollinformationen Services erfassen.
  • Beschreiben, wie Angreifer mithilfe von Methoden des Social Engineerings Informationen über ein Unternehmen sammeln.



Unberechtigter Systemzugriff

  • Beschreiben, wie Angreifer unberechtigten Zugriff über Benutzerkonten erlangen.
  • Beschreiben, wie Angreifer unberechtigten Zugriff über Softwarefehler erlangen.
  • Erläutern der von Angreifern verwendeten Methoden zum Aufspüren

    anfälliger Services des Unternehmens und zum Erzeugen von Exploits für

    die Schwachstellen.
  • Beschreiben eines Pufferüberlaufs (Buffer Overflow).
  • Beschreiben der Eskalation von Privilegien (privilege escalation).
  • Beschreiben eines Trojaners als Mittel zur Eskalation von Privilegien.



Absichern des root-Zugriffs

  • Beschreiben, wie Angreifer den root-Zugriff durch Hintertüren (Backdoor) auf einem System absichern.
  • Beschreiben der folgenden Hintertüren: SUID-Shell, gebundene Shell (bound shell) und vertrauenswürdige Hosts.
  • Beschreiben eines Dateisystem-Rootkits.
  • Demonstrieren, wie ein Dateisystem-Rootkit Dateien, Prozesse und Verbindungen versteckt.
  • Beschreiben eines Kernel-Rootkits.
  • Demonstrieren, wie ein Kernel-Rootkit alle Systemaktivitäten erfasst.



Verschlüsseln und Verstecken von Daten auf einem System

  • Überblick der Verschlüsselungstechnologien
  • Beschreiben, wie Angreifer mithilfe von Kryptografie Dateien verschlüsseln.
  • Demonstrieren von Verschlüsselung unter Verwendung von GnuPGP und OpenSSL.
  • Beschreiben der digitalen Steganografie.
  • Demonstrieren, wie Angreifer Dateien mithilfe von digitaler Steganografie in Dateien verstecken.
  • Beschreiben, wie Angreifer Daten in unerwarteten Bereichen des Dateisystems verstecken.
  • Demonstrieren, wie Angreifer eine Datei in Dateisystem-Metadaten verstecken.
  • Demonstrieren, wie Angreifer das Schleifendateisystem und erweiterte Attribute zum Verstecken von Daten verwenden.



Analyse von Unternehmensprotokollen

  • Identifizieren der unterschiedlichen Typen von Unternehmens-Services wie DNS, DHCP, SMTP, HTTP und Firewalls.
  • Identifizieren der verfügbaren Protokolldateien für Unternehmens-Services.
  • Beschreiben der relevanten Angriffsinformationen (intrusion) in der jeweiligen Protokolldatei.
  • Untersuchen der Unternehmensprotokolldateien, um verdächtige Aktivitäten aufzufinden.
  • Inbeziehungsetzen von Information aus mehreren Protokolldateien zum Ermitteln eines Angriffs.



Analyse von Angriffen durch unberechtigten Systemzugriff

  • Identifizieren der Systemzugriff-Standardprotokolldateien in der Verzeichnisstruktur /var.
  • Identifizieren optionaler BSM (Basic Security Module)- und Systemkonto-Protokolldateien.
  • Beschreiben von Protokolldateiformaten und verfügbaren Tools zum Lesen dieser Formate.
  • Beschreiben der relevanten Informationen in der jeweiligen Protokolldatei.
  • Inbeziehungsetzen von Information aus mehreren Protokolldateien zum Ermitteln unberechtigter Systemzugriffe.
  • Demonstrieren, wie Angreifer Protokolldateien verändern, um ihre Anwesenheit auf einem System zu verschleiern.



Analyse von Dateisystemangriffen

  • Definieren der Vertrauenswürdigkeit von Systemen und Dienstprogrammen.
  • Auffinden von Hintertüren auf einem UNIX-System: alternative

    root-Konten, gebundene Shells (bound shell), SUID-Shells,

    vertrauenswürdige Hosts-Dateien.
  • Auffinden von Dateisystem-Rootkits auf einem UNIX-System.
  • Entdecken versteckter Verzeichnisse, ausgetauschter Systembefehle, entfernter Befehlsdienstprogramme und Netzwerk-Sniffer.
  • Beschreiben automatisierter Dateisystem-Analysetools.
  • Implementieren von rkhunter, chkrootkit und der Solaris-Fingerabdruckdatenbank zum Auffinden von Rootkits.



Analyse von Systemspeicher

  • Beschreiben der wichtigen Typen von Angriffsdaten, die sich im Speicher befinden.
  • Beschreiben von Methoden zum Erfassen flüchtiger Speicherdaten in einem Dateisystem.
  • Einführung in die Speicheranalysetools mdb und gdb.
  • Demonstrieren, wie Daten mithilfe der Tools mdb und gdb aus dem Speicher wiederhergestellt werden.



Methoden für die Vorfallsuntersuchung

  • Identifizieren verschiedener Typen von Angriffsszenarien.
  • Anwenden einer Methodik auf Grundlage eines Angriffsszenarios.
  • Sammeln geeigneter Daten (Protokolldateien, Dateisysteme und Speicherabbilder) auf Grundlage des Angriffsszenarios.



Kurssprache deutsch, Unterrichtsmaterial überwiegend in englischer Sprache.


Vergleichen Sie diesen Kurs mit ähnlichen Kursen
Mehr ansehen