segunda-feira, 25 de junho de 2012

Treinamento Snort Completo - Ensino a Distância (EaD)

Resumo
Treinamento Snort Completo
Carga Horária: 40h sendo 4h semanais dividido em 2 aulas de 2h (19:30 as 21:30 - Terças / Quintas)
Modo: Ensino a Distancia
Data Inicio: 07 de Agosto 2012

Instrutor

Rodrigo "Sp0oKeR Montoro é certificado LPI, RHCE e SnortCP com 14 anos de experiência em sistema de segurança opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de sistemas.  Na Trustwave Rodrigo trabalha no time de pesquisas do Spiderlabs onde ele foca seu trabalho em assinaturas para Sistema de Detecção de Intrusos, Modsecurity e realiza pesquisas para novos métodos de detecção de atividades maliciosas ( PDFScore, HTTP Header Hunter e uma nova idéia para descobrir binários maliciosos através de scoring). Autor de uma patente requerida envolvendo uma técnica para descobrir documentos digitais maliciosos. É coordenador e evangelizador na Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em inúmeras conferencias opensource (FISL, Conisli) e de segurança Brasil e EUA (OWASP Appsec, Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor (Canada), CNASI, Source Boston (EUA) ) e é coordenador de um projeto para criação de um conjunto de regras para o sistema de detecção de intrusos Snort para malwares Brasileiros.

Objetivo

O treinamento completo visa ensinar ao profissional o real funcionamento do snort, demonstrando e explicando funcionamento de protocolos além das funcionalidades, combinando fortemente teoria e prática. Também é abordado leitura e escrita de regras sendo que temos um desafio no treinamento onde o aluno analisará o malware do binário até a escrita das regras.

Ao final do treinamento o aluno entenderá o funcionamento pleno do snort, bem como melhores práticas e performance. Além disso entenderá melhor os alertas pois saberá como ler as regras e entender o que foi detectado deixando a resposta ao incidente mais rápida.

Conteúdo Programático

1-) Introdução a protocolos
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)
3-) Atacantes
4-) Como funciona o Snort
5-) Entendendo a aquisição de dados (DAQ)
6-) Posicionamento dos sensores
7-) Decoders
8-) Preprocessadores (teoria e prática)
       - Frag3
       - Stream5
       - sfPortScan
       - SMTP/POP/IMAP
       - Arp Spoof
       - HTTP Inspect
       - DCE/RPC2
       - Sensitive Data
       - IP Reputation

9-) Analise de performance
        - Performance das regras
        - Performance dos preprocessadores
        - Performance pacotes

10-) Output
         - Syslog
         - Unified 2

11-) Host Attribute Table
12-) Configurações Múltiplas
13-) Escrevendo e lendo regras para o Snort
         - Básico
            - Cabeçalho
            - Opções de Regra
         - Genericas
         - Payload
         - Non-Payload
         - Após detecção / Resposta Ativa

14-) Regras Shared Object
15-) PulledPork – Atualização de Regas
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes – Snorby
17-) Dicas finais

FAQ

- Suporte via e-mail durante todo curso (caso necessário Webex um a um)
- Webinar extras sobre novidades snort lançadas e ameaças atuais
-  Material 
      - Virtual Machine
      -  Slides
- Compartilhamento da experiência na instalação de inúmeros IDS em pequenas e grandes empresas
- Necessidade de no mínimo de 5 alunos inscritos

Investimento

Valor: R$ 950,00 (5% desconto para DOC / Deposito em conta)

Forma de Pagamento: PagSeguro (possibilidade de parcelar em até 18x).

Caso queira se inscrever aproveita a promoção agora cadastre-se aqui: Formulário Cadastro


Happy Snorting!

Rodrigo Montoro

18 comentários:

Antun3s disse...

Quais são os requisitos que as pessoas que acompanharão o curso devem ter?

Rodrigo "Sp0oKeR" Montoro disse...

Antunes,

O Ideal é que o aluno possua conhecimentos em linux e minimo de protocolos, como funcionam porém como parte do conteudo eu entro nisso. Quanto maior o conhecimento melhor o aproveitamento mas mesmo com conhecimento menor da pra encarar se tiver disposição para estudar visto que tera intervalos entre as aulas e o conteudo todo sera dado em 10 semanas.

Qualquer duvida so perguntar.

Abs!

Anônimo disse...

As aulas serão disponibilizadas para estudo off-line??

Rodrigo "Sp0oKeR" Montoro disse...

Sim, as aulas ficarão disponiveis até 30 dias após o treinamento.

Anônimo disse...

Qual o material didático do curso, e se vai ter POC(prova de conceito)ataques, bypass de IDS e fireall para as implementações do IDS? E como serão as práticas?

Rodrigo "Sp0oKeR" Montoro disse...

O material é composto da VM, Slides e Manual Snort.

Teremos bastante prática e laboratorios demonstrando ataques, detecção, entendimento de como funciona o ataque + detecção. Tudo que for viavel quero adicionar laboratorio pratico para melhor entendimento como arp spoofing, pacotes fragmentados, reassemble TCP, encoding de HTTP.

Abs!

Anônimo disse...

Vai ter apostila ou tutorial, tipo a serie snorteando em casa assunto?

Rodrigo "Sp0oKeR" Montoro disse...

Não teremos uma apostila especifica. Talvez num futuro quando terminar a serie Snortando ela se transforme num material completo =)!

No treinamento teremos o que escreve na pratica e explicações durante as aulas.

A serie Snortando continuara normalmente em paralelo, esta parada por motivo de tempo mas espero em breve dar a devida atenção novamente a ela.

Fagner Alex disse...

Vai ser abordado a instalação e configuração do Snort Inline???


Já me cadastrei no link fornecido, mas ainda não recebi email de confirmação.

Rodrigo "Sp0oKeR" Montoro disse...

Olá Fagner,

Não teremos Laboratorios mas hj em dia com o DAQ a configuração para rodar inline ou modo passivo é praticamente igual, sendo somente algumas poucas mudanças.

No curso comentarei opções adicionei que temos nas regras e algumas configurações especificas mas como citei nao teremos nada pratico.

Qualquer duvida fique a vontade para perguntas.

Recebi sua inscrição.

Abs!

Anônimo disse...

VAMOS VER NO CURSO, DESDE O BÁSICO INSTALAÇÃO ATÉ OS RECURSOS MAS AVANÇADOS DO SNORT??

E SE OS LABS SÃO COMO CASES REAIS DO DIA A DIA COM VÁRIAS VMs SIMULANDO UM AMBIENTE REAL.

E NA PARTE INICIAL DE PROTOCOLOS TCP-IP VAMOS USAR ALGUNS SNIFFERS(TCPDUMP,WIRESHARK,IPTRAF) PARA MOSTRAR O CONCEITO DE CADA PAYLOAD NA PRATICA??

VOU ME MATRICULAR ESTA SEMANA AINDA!!

Rodrigo "Sp0oKeR" Montoro disse...

Respostas:

1-) VAMOS VER NO CURSO, DESDE O BÁSICO INSTALAÇÃO ATÉ OS RECURSOS MAS AVANÇADOS DO SNORT??

Sim, teremos bastante prática, instalação, tuning, analise de performance, criação de regra, emulação de alguns ataques.

2-) E SE OS LABS SÃO COMO CASES REAIS DO DIA A DIA COM VÁRIAS VMs SIMULANDO UM AMBIENTE REAL.

Não teremos varias VMs pois cada aluno tera VM rodando localmente em sua máquina, voce podera por exemplo adicionar uma VM com backtrack apra emular uns ataques extras mas o treinamento sera VM Linux/Snort + Sistema Operacional que voce tem instalado na sua maquina.

3-) E NA PARTE INICIAL DE PROTOCOLOS TCP-IP VAMOS USAR ALGUNS SNIFFERS(TCPDUMP,WIRESHARK,IPTRAF) PARA MOSTRAR O CONCEITO DE CADA PAYLOAD NA PRATICA??

Sim, na parte inicial que acho de suma importancia demonstrarei de forma mais pratica o que vou ensinar com tcpdump e wireshark. Logicamente isso não é um treinamento de protocolos mas vou tentar explicar o maximo possivel dentro do tempo por é de suma importancia entende-los para configurar corretamente.

A idéia do treinamento é que voce saia entendendo como as coisas funcionam e como o IDS se encaixara nisso.

Fico no aguardo da inscrição e corre que logo não tem mais vagas para essa turma =)!

Abs!

Peper disse...

Ainda tem vaga para a turma?

Rodrigo "Sp0oKeR" Montoro disse...

Estou esperando uma ultima confirmação, se não confirmar tenho mais 1 vaga, senão infelizmente somente na proxima turma. Me manda e-mail spooker / AT / gmail (d o t) com que te aviso. Amanha teremos a aula dia zero =)!

Abs!

Ialle Ironbits disse...

Olá, estou interessado em fazer o curso, ainda está disponível? se possível, me envie as informações necessárias para fazer o curso. Grato.

Teste disse...

Será aberto novas turmas para o curso?

Welbster Network disse...

Rodrigo, bom dia.

Qual seu contato de e-mail. Quando haverá turmas?

Rodrigo Sp0oKeR Montoro disse...

Opa, pode mandar e-mail para o spooker@gmail.com

Abs