Resumo
Treinamento Snort Completo
Carga Horária: 40h sendo 4h semanais dividido em 2 aulas de 2h (19:30 as 21:30 - Terças / Quintas)
Modo: Ensino a Distancia
Data Inicio: 07 de Agosto 2012
Instrutor
Rodrigo "Sp0oKeR Montoro é certificado LPI, RHCE e SnortCP com 14 anos de experiência em sistema de segurança opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de sistemas. Na Trustwave Rodrigo trabalha no time de pesquisas do Spiderlabs onde ele foca seu trabalho em assinaturas para Sistema de Detecção de Intrusos, Modsecurity e realiza pesquisas para novos métodos de detecção de atividades maliciosas ( PDFScore, HTTP Header Hunter e uma nova idéia para descobrir binários maliciosos através de scoring). Autor de uma patente requerida envolvendo uma técnica para descobrir documentos digitais maliciosos. É coordenador e evangelizador na Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em inúmeras conferencias opensource (FISL, Conisli) e de segurança Brasil e EUA (OWASP Appsec, Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor (Canada), CNASI, Source Boston (EUA) ) e é coordenador de um projeto para criação de um conjunto de regras para o sistema de detecção de intrusos Snort para malwares Brasileiros.
Objetivo
Ao final do treinamento o aluno
entenderá o funcionamento pleno do snort, bem como melhores práticas e performance. Além
disso entenderá melhor os alertas pois saberá como ler as regras e entender o
que foi detectado deixando a resposta ao incidente mais rápida.
Conteúdo Programático
1-) Introdução a protocolos
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)
3-) Atacantes
4-) Como funciona o Snort
5-) Entendendo a aquisição de dados (DAQ)
6-) Posicionamento dos sensores
7-) Decoders
8-) Preprocessadores (teoria e prática)
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)
3-) Atacantes
4-) Como funciona o Snort
5-) Entendendo a aquisição de dados (DAQ)
6-) Posicionamento dos sensores
7-) Decoders
8-) Preprocessadores (teoria e prática)
- Frag3
- Stream5
- sfPortScan
- SMTP/POP/IMAP
- Arp Spoof
- HTTP Inspect
- DCE/RPC2
- Sensitive Data
- IP Reputation
9-) Analise de performance
- Performance das regras
- Performance dos preprocessadores
- Performance pacotes
- Stream5
- sfPortScan
- SMTP/POP/IMAP
- Arp Spoof
- HTTP Inspect
- DCE/RPC2
- Sensitive Data
- IP Reputation
9-) Analise de performance
- Performance das regras
- Performance dos preprocessadores
- Performance pacotes
10-) Output
- Syslog
- Unified 2
11-) Host Attribute Table
12-) Configurações Múltiplas
13-) Escrevendo e lendo regras para o Snort
- Básico
- Cabeçalho
- Opções de Regra
- Genericas
- Payload
- Non-Payload
- Após detecção / Resposta Ativa
14-) Regras Shared Object
15-) PulledPork – Atualização de Regas
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes – Snorby
17-) Dicas finais
FAQ
- Suporte via e-mail durante todo curso (caso necessário Webex um a um)
- Webinar extras sobre novidades snort lançadas e ameaças atuais
- Material
- Virtual Machine
- Slides
- Compartilhamento da experiência na instalação de inúmeros IDS em pequenas e grandes empresas
- Necessidade de no mínimo de 5 alunos inscritos
Investimento
Valor: R$ 950,00 (5% desconto para DOC / Deposito em conta)
Forma de Pagamento: PagSeguro (possibilidade de parcelar em até 18x).
Caso queira se inscrever aproveita a promoção agora cadastre-se aqui: Formulário Cadastro
Happy Snorting!
Rodrigo Montoro
18 comentários:
Quais são os requisitos que as pessoas que acompanharão o curso devem ter?
Antunes,
O Ideal é que o aluno possua conhecimentos em linux e minimo de protocolos, como funcionam porém como parte do conteudo eu entro nisso. Quanto maior o conhecimento melhor o aproveitamento mas mesmo com conhecimento menor da pra encarar se tiver disposição para estudar visto que tera intervalos entre as aulas e o conteudo todo sera dado em 10 semanas.
Qualquer duvida so perguntar.
Abs!
As aulas serão disponibilizadas para estudo off-line??
Sim, as aulas ficarão disponiveis até 30 dias após o treinamento.
Qual o material didático do curso, e se vai ter POC(prova de conceito)ataques, bypass de IDS e fireall para as implementações do IDS? E como serão as práticas?
O material é composto da VM, Slides e Manual Snort.
Teremos bastante prática e laboratorios demonstrando ataques, detecção, entendimento de como funciona o ataque + detecção. Tudo que for viavel quero adicionar laboratorio pratico para melhor entendimento como arp spoofing, pacotes fragmentados, reassemble TCP, encoding de HTTP.
Abs!
Vai ter apostila ou tutorial, tipo a serie snorteando em casa assunto?
Não teremos uma apostila especifica. Talvez num futuro quando terminar a serie Snortando ela se transforme num material completo =)!
No treinamento teremos o que escreve na pratica e explicações durante as aulas.
A serie Snortando continuara normalmente em paralelo, esta parada por motivo de tempo mas espero em breve dar a devida atenção novamente a ela.
Vai ser abordado a instalação e configuração do Snort Inline???
Já me cadastrei no link fornecido, mas ainda não recebi email de confirmação.
Olá Fagner,
Não teremos Laboratorios mas hj em dia com o DAQ a configuração para rodar inline ou modo passivo é praticamente igual, sendo somente algumas poucas mudanças.
No curso comentarei opções adicionei que temos nas regras e algumas configurações especificas mas como citei nao teremos nada pratico.
Qualquer duvida fique a vontade para perguntas.
Recebi sua inscrição.
Abs!
VAMOS VER NO CURSO, DESDE O BÁSICO INSTALAÇÃO ATÉ OS RECURSOS MAS AVANÇADOS DO SNORT??
E SE OS LABS SÃO COMO CASES REAIS DO DIA A DIA COM VÁRIAS VMs SIMULANDO UM AMBIENTE REAL.
E NA PARTE INICIAL DE PROTOCOLOS TCP-IP VAMOS USAR ALGUNS SNIFFERS(TCPDUMP,WIRESHARK,IPTRAF) PARA MOSTRAR O CONCEITO DE CADA PAYLOAD NA PRATICA??
VOU ME MATRICULAR ESTA SEMANA AINDA!!
Respostas:
1-) VAMOS VER NO CURSO, DESDE O BÁSICO INSTALAÇÃO ATÉ OS RECURSOS MAS AVANÇADOS DO SNORT??
Sim, teremos bastante prática, instalação, tuning, analise de performance, criação de regra, emulação de alguns ataques.
2-) E SE OS LABS SÃO COMO CASES REAIS DO DIA A DIA COM VÁRIAS VMs SIMULANDO UM AMBIENTE REAL.
Não teremos varias VMs pois cada aluno tera VM rodando localmente em sua máquina, voce podera por exemplo adicionar uma VM com backtrack apra emular uns ataques extras mas o treinamento sera VM Linux/Snort + Sistema Operacional que voce tem instalado na sua maquina.
3-) E NA PARTE INICIAL DE PROTOCOLOS TCP-IP VAMOS USAR ALGUNS SNIFFERS(TCPDUMP,WIRESHARK,IPTRAF) PARA MOSTRAR O CONCEITO DE CADA PAYLOAD NA PRATICA??
Sim, na parte inicial que acho de suma importancia demonstrarei de forma mais pratica o que vou ensinar com tcpdump e wireshark. Logicamente isso não é um treinamento de protocolos mas vou tentar explicar o maximo possivel dentro do tempo por é de suma importancia entende-los para configurar corretamente.
A idéia do treinamento é que voce saia entendendo como as coisas funcionam e como o IDS se encaixara nisso.
Fico no aguardo da inscrição e corre que logo não tem mais vagas para essa turma =)!
Abs!
Ainda tem vaga para a turma?
Estou esperando uma ultima confirmação, se não confirmar tenho mais 1 vaga, senão infelizmente somente na proxima turma. Me manda e-mail spooker / AT / gmail (d o t) com que te aviso. Amanha teremos a aula dia zero =)!
Abs!
Olá, estou interessado em fazer o curso, ainda está disponível? se possível, me envie as informações necessárias para fazer o curso. Grato.
Será aberto novas turmas para o curso?
Rodrigo, bom dia.
Qual seu contato de e-mail. Quando haverá turmas?
Opa, pode mandar e-mail para o spooker@gmail.com
Abs
Postar um comentário