Solaris OE Network Intrusion Detection Training  

Ethernet- und IP-Betrieb

• Überblick über das OSI-Netzwerkmodell
• Überblick der Anwendungs- und Netzwerkdientschichten
• Identifizieren von Ethernet-Sicherheitsproblemen
• Überblick der IPv4-Adressierung
• Verständnis der IP-Fragmentierung
• Identifizieren von ICMP-Sicherheitsproblemen
• Implementieren von grundlegenden Verfahren zur Netzwerkverkehrserfassung und -analyse

Analysieren von IP- und ARP-Sicherheitslücken

• Identifizieren von IP-Sicherheitsproblemen
• Beschreiben der IP-Routing- und -Routingprotokollsicherheit
• Schutz vor IP-Missbrauch
• Identifizieren von ARP-Sicherheitsproblemen
• Ausführen von Angriffen gegen ARP
• Schutz vor ARP-Missbrauch
• Implementieren von komplexeren Verfahren zur Netzwerkverkehrserfassung und -analyse

Analysieren von UDP/TCP-Protokoll- und TELNET-Sicherheitslücken

• Diskutieren der Eigenschaften von UDP und TCP
• Identifizieren von TCP-Sicherheitsproblemen
• Beschreiben gängiger TCP-Missbrauchsmöglichkeiten: SYN-Angriff, Sequenzabschätzung, Verbindungs-Hijacking
• Diskutieren der Eigenschaften von TELNET
• Identifizieren von TELNET-Sicherheitsproblemen
• Ausführen von Angriffen gegen TCP und TELNET
• Schutz vor TCP- und TELNET-Missbrauch

Analysieren von FTP- und HTTP-Sicherheitslücken

• Diskutieren der Eigenschaften von FTP
• Beschreiben von FTP-Transfermethoden und -modi
• Identifizieren von FTP-Sicherheitsproblemen
• Beschreiben gängiger FTP-Missbrauchsmöglichkeiten: FTP-Bounce-Angriff, Portdiebstahl, Bruteforce
• Diskutieren der Eigenschaften von HTTPv1.1
• Beschreiben der Funktion von HTTP-Proxyservern und HTTP-Authentifizierung
• Identifizieren von HTTP-Sicherheitsproblemen
• Beschreiben gängiger HTTP-Missbrauchsmöglichkeiten: Pfadnamendiebstahl, Headerspoofing, Proxy-Poisoning
• Ausführen von Angriffen gegen FTP und HTTP
• Schutz vor FTP- und HTTP-Missbrauch

Analysieren von DNS-Sicherheitslücken

• Diskutieren der Eigenschaften von DNS
• Identifizieren von DNS-Sicherheitsproblemen
• Beschreiben gängiger DNS-Missbrauchsmöglichkeiten: DNS-Spoofing, DNS-Cache-Poisoning, unautorisierter Zonentransfer
• Ausführen von Angriffen gegen DNS
• Schutz vor DNS-Missbrauch

Analysieren von SSH- und HTTPS-Sicherheitslücken

• Diskutieren der Eigenschaften von SSH
• Beschreiben der Unterschiede zwischen den Protokollen SSH1 und SSH2
• Identifizieren von SSH-Sicherheitsproblemen
• Beschreiben gängiger SSH-Missbrauchsmöglichkeiten: Einfügeangriff, Bruteforce-Angriff, CRC-Kompensationsangriff
• Beschreiben der Eigenschaften von HTTPS (SSL)
• Diskutieren anderer SSL-aktivierter Protokolle
• Identifizieren von SSL-Problemen
• Beschreiben gängiger SSL-Missbrauchsmöglichkeiten: Man-in-the-Middle sowie Versions-Rollback-Angriff

Erkennen von entfernten Betriebssystemen

• Verwenden von Standardsystembefehlen und Ausnutzen von Standardeinstellungen zum Abschätzen von entfernten Betriebssystemen
• Verwenden von Open Source-Dienstprogrammen zum Abschätzen von entfernten Betriebssystemen durch Scannen geöffneter Ports
• Beschreiben von TCP/IP-Stack-Fingerabdrücken (Fingerprinting)
• Installieren und Verwenden von nmap für die Erkennung entfernter Betriebssysteme

Netzwerkangriffsmethoden und grundlegende Angriffserkennung

• Identifizieren des Ursprungs von Netzwerkangriffen
• Diskutieren von Eindringmethoden
• Beschreiben gängiger Netzwerkangriffe: Denial-of-Service (Dos), Softwarepufferüberlauf, unzureichende Systemkonfiguration, Erraten von Passwörtern oder Passwort-Cracking
• Beschreiben eines typischen Angriffszenarios
• Einführen des Konzepts eines Angriffserkennungssystems (Intrusion Detection Systems, IDS)
• Auflisten einiger der beliebtesten Tools: Klaxon, Portsentry, snort
• Implementieren einer grundlegenden Portscanerkennung.

Implementieren von Angriffserkennungstechnologien

• Identifizieren des Unterschieds zwischen hostbasierter und netzwerkbasierter IDS
• Diskutieren unterschiedlicher Typen von IDS-Implementationen: hybrides NIDS und "Honigtöpfe" (honeypots)
• Beschreiben der Kernkomponenten eines NIDS, das snort-NIDS verwendet
• Kompilieren und Installieren des snort-NIDS

Komplexe NIDS-Konfiguration

• Diskutieren komplexer snort-Funktionen wie "Echtzeitreaktion" und Überwachung des snort-Protokolls
• Installieren einer Datenbank (mysql) zum Protokollieren von snort-Alarmen
• Installieren der grafischen Benutzeroberflächen (Graphical User Interfaces, GUI) Demarc und ACID zum besseren
• Interpretieren von snort-Protokollen durch Abfragen der snort-Datenbank.
• Erzeugen von externen Angriffen, die snort-Alarme auslösen
• Interpretieren der GUI snort-Überwachung zur Identifizierung von Angriffen

Schreiben von snort-Regeln

• Beschreiben der verschiedenen Komponenten einer snort-Regel
• Konfigurieren verschiedener snort-Regeloptionen
• Schreiben von benutzerdefinierten snort-Regeln zum Überwachen bestimmter Netzwerkverkehrsmuster
• Ausführen von Angriffen gegen benutzerdefinierte snort-Regeln und Interpretieren der GUI snort-Überwachung zur Identifizierung von Angriffen

Solaris-Routing

• Auflisten von Anforderungen an einen Solaris-Host, der als Router fungieren soll.
• Implementieren eines Solaris-Hosts als Router
• Verwenden des Dienstprogramms ndd zum Absichern eines Solaris-Routers

Solaris-Firewalls

• Beschreiben verschiedener Arten von Solaris-Firewalls: Anwendungs-Firewalls und Paketfilter
• Identifizieren von zwei der gängigsten Solaris-Firewallprodukte: Sunsceen Lite und IPfilter
• Kenntnis der Grundlagen von Firewall-Richtlinien
• Schreiben von Firewallregeln für netzwerk- oder hostbasierte Firewalls
• Installieren einer IPfilter-Firewall auf einem Solaris-Host

Solaris-NAT und -PAT (Network/Port Address Translation)

• Beschreiben der Konzepte von NAT und PAT
• Implementieren von NAT zur Absicherung eines privaten Netzwerks hinter einer Solaris-Firewall