دوره SEC 503

 پس از آنکه دانشجویان در دوره SANS 504با حملات امنیتی و نحوه کار هکر ها آشنا شدند بایستی بتوانند راهکارهای کشف مقابله با آنها را درک کرده و بصورت عملی یاد بگیرند . در این راستا موسسه سنز دوره های 503و 511و 555را به ترتیب فراهم کرده است تا تیم آبی برای مرکز عملیات امنیت و کلا امور کشف نفوذ های امنیتی را تربیت کند . با فراگیری این دوره ها دانشجویان میتوانند پروتکل ها را به دقت شناخته و معماری دقیق سنسور چینی امنیتی را یاد گرفته و تحلیل لاگ را عملا بیاموزند.
در دوره
SANS 503دانشجو از بنیان تا ارشدیت در رابطه با پروتکل های شبکه آموزش میبیند . جزییاتی را دررابطه با پروتکل های مختلف ، هدر ها و لایه ها یاد میگیرد که میتوان به جرات گفت در هیچ دوره ای آن را نیاموخته است . در این دوره مفهوم تحلیل ترافیک را به دقت یاد میگرد و با ابزار هایی چون وایرشارک و اسنورت به تحلیل عملی آنها میپردازد.
رولهای اسنورت برای کشف حملات مینویسد و دقیقا درک میکند که یک
IDS/IPDSچطور کار میکند . تحلیل عملی لایه های اطلاعاتی در وایرشارک به ایشان کمک میکند که بتوانند رولهای کشف نفوذ را بصورت عالمانه در اسنورت  بنویسند . اصولا با فراگیری این درس علاوه بر دانش کشف نفوذ ، کمک مهمی برای نحوه مدیریت سایر ابزار های امنیتی لایه شبکه را فراهم میسازد. این درس یکی از بنیادی ترین ساختار های ذهنی را در تحلیل ترافیک شبکه برای دانشجو فراهم میاورد تا بتواند در دوره هایی چون فارنزیک شبکه به خوبی از عهده مطالب برآید.

پیش نیاز های دوره

مخاطبین دوره

SEC 504

ترجیحا  گذراندن یکی از دوره های MCSE یا CCNA

آشنایی با دستورات مقدماتی لینوکس

  • کارشناسان امنیت
  • کارشناسان واحد پاسخگویی به حوادث
  • کارشناسان واحد مرکز عملیات امنیت
 

سرفصل دوره

Concepts of TCP/IP

  • Why is it necessary to understand packet headers and data?
  • TCP/IP communications model
  • Data encapsulation/de-encapsulation
  • Discussion of bits, bytes, binary, and hex

Introduction to Wireshark

  • Navigating around Wireshark
  • Examination of Wireshark statistics
  • Stream reassembly
  • Finding content in packets

Network Access/Link Layer: Layer 2

  • Introduction to 802.x link layer
  • Address resolution protocol
  • ARP spoofing

IP Layer: Layer 3

IPv4

    • Examination of fields in theory and practice
    • Checksums and their importance, especially for an IDS/IPS
    • Fragmentation: IP header fields involved in fragmentation, composition of the fragments, fragmentation attacks

IPv6

    • Comparison with IPv4
    • IPv6 addresses
    • Neighbor discovery protocol
    • Extension headers
    • IPv6 in transition

Wireshark Display Filters

  • Examination of some of the many ways that Wireshark facilitates creating display filters
  • Composition of display filters

Writing BPF Filters

  • The ubiquity of BPF and utility of filters
  • Format of BPF filters
  • Use of bit masking

TCP

  • Examination of fields in theory and practice
  • Packet dissection
  • Checksums
  • Normal and abnormal TCP stimulus and response
  • Importance of TCP reassembly for IDS/IPS

UDP

  • Examination of fields in theory and practice
  • UDP stimulus and response

ICMP

  • Examination of fields in theory and practice
  • When ICMP messages should not be sent
  • Use in mapping and reconnaissance
  • Normal ICMP
  • Malicious ICMP

Real-World Analysis — Command Line Tools

  • Regular Expressions fundamentals
  • Rapid processing using command line tools
  • Rapid identification of events of interest

Scapy

  • Packet crafting and analysis using Scapy
  • Writing a packet(s) to the network or a pcap file
  • Reading a packet(s) from the network or from a pcap file
  • Practical Scapy uses for network analysis and network defenders

Advanced Wireshark

  • Exporting web objects
  • Extracting arbitrary application content
  • Wireshark investigation of an incident
  • Practical Wireshark uses for analyzing SMB protocol activity
  • Tshark

Detection Methods for Application Protocols

  • Pattern matching, protocol decode, and anomaly detection challenges

DNS

  • DNS architecture and function
  • Caching
  • DNSSEC
  • Malicious DNS, including cache poisoning

Microsoft Protocols

  • SMB/CIFS
  • MSRPC
  • Detection challenges
  • Practical Wireshark application

Modern HTTP and TLS

  • Protocol format
  • Why and how this protocol is evolving
  • Detection challenges

SMTP

  • Protocol format
  • STARTTLS
  • Sample of attacks
  • Detection challenges

IDS/IPS Evasion Theory

  • Theory and implications of evasions at different protocol layers
  • Sampling of evasions
  • Necessity for target-based detection

Identifying Traffic of Interest

  • Finding anomalous application data within large packet repositories
  • Extraction of relevant records
  • Application research and analysis
  • Hands-on exercises after each major topic that offer students the opportunity to reinforce what they just learned.

Network Architecture

  • Instrumenting the network for traffic collection
  • IDS/IPS deployment strategies
  • Hardware to capture traffic

Introduction to IDS/IPS Analysis

  • Function of an IDS
  • The analyst’s role in detection
  • Flow process for Snort and Bro
  • Similarities and differences between Snort and Bro

Snort

  • Introduction to Snort
  • Running Snort
  • Writing Snort rules
  • Solutions for dealing with false negatives and positives
  • Tips for writing efficient rules

Zeek

  • Introduction to Zeek
  • Zeek Operational modes
  • Zeek output logs and how to use them
  • Practical threat analysis
  • Zeek scripting
  • Using Zeek to monitor and correlate related behaviors
  • Hands-on exercises, one after each major topic, offer students the opportunity to reinforce what they just learned.

Introduction to Network Forensics Analysis

  • Theory of network forensics analysis
  • Phases of exploitation
  • Data-driven analysis vs. Alert-driven analysis
  • Hypothesis-driven visualization

Using Network Flow Records

  • NetFlow and IPFIX metadata analysis
  • Using SiLK to find events of interest
  • Identification of lateral movement via NetFlow data

Examining Command and Control Traffic

  • Introduction to command and control traffic
  • TLS interception and analysis
  • TLS profiling
  • Covert DNS C2 channels: dnscat2 and Ionic
  • Other covert tunneling, including The Onion Router (TOR)

Analysis of Large pcaps

  • The challenge of analyzing large pcaps
  • Students analyze three separate incident scenarios.