C. I. A.

Certification Integration Academy

Programme

Gérer la sécurité d’un réseau d’entreprise

  • Sécuriser les équipements réseau
  • Sécuriser un routeur Cisco
  • Sécuriser les accès au réseau commuté
  • Configurer les dispositifs Cisco pour une utilisation de l’authentification et des autorisations par serveur RADIUS
  • Configurer un IOS Firewall
  • Configurer un PIX Firewall
  • Configurer un ASA
  • Configurer un serveur Radius
  • Configurer un serveur TACACS
  • Mesurer les risques d’intrusion sur un réseau.
  • Sélectionner et configurer un système de détection d’intrusion
  • Créer un VPN site à site
  • Configurer un DMVPN
  • Installer la solution de contrôle d’accès Cisco NAC Appliance
  • Configurer Cisco NAC
  • Installer et configurer CSA (Cisco Security Agent)

Un contenu riche et complet

Nos objectifs pédagogiques pour la formation CCSP sont décomposés en modules permettant de cerner l’ensemble des problématiques rencontrées en entreprise.

Le programme détaillé de la formation CCSP

 

Sécurisation des dispositifs réseaux Cisco

  • Les menaces concernant les infrastructures réseaux modernes
  • Les menaces courantes sur les installations physiques
  • Les méthodes usuelles d’attaques réseau
  • Les vers, les virus, les trojan
  • Le cycle de vie de la sécurité
  • Les politiques de sécurité
  • La description de l’architecture d’autodéfense de Cisco
  • Sécurisation des routeurs Cisco
  • Sécurisation des routeurs grâce au SDM (Security Device Manager)
  • Sécurisation des droits d’accès pour l’administration des routeurs
  • Privilèges d’accès multiples
  • Sécurisation de l’image IOS et des fichiers de configuration
  • Implémentation d’AAA sur les routeurs Cisco
  • Les fonctions d’AAA (Authentication, Authorization et Accounting)
  • Les propriétés des protocoles RADIUS et TACACS+
  • Méthodes d’authentification pour fournir un accès au routeur ou à travers un routeur
  • Les ACLS
  • Rappel sur les listes de contrôle d’accès
  • Configuration et vérification des ACL pour éviter les denis de service
  • Configuration des ACL pour éviter l’usurpation d’identité (IP address spoofing)
  • Implémentation du management de la sécurité réseau et du reporting
  • Planification de la sécurité
  • Configuration de SSH
  • Configuration de Syslog
  • SNMPv3 et NTPv3
  • Evitement des attaques de couche 2
  • Les attaques communes de couche 2 : VLAN hopping, STP attacks, ARP spoofing, MAC spoofing, CAM overflow…
  • Les propriétés de sécurité au niveau des commutateurs Catalyst Cisco (PVLAN, SPAN port, IBNS…)
  • Les attaques communes sur les réseaux sans-fil
  • Les principales fonctions de sécurité du protocole 802.11
  • Mise en place de l’IOS Firewall
  • Présentation des principaux avantages et inconvénients des différents types de firewall (parefeu)
  • Les tables d’état
  • La configuration du NAT sur un pare-feu
  • Configuration du firewall grâce à SDM
  •  Implémentation de Cisco IPS
  • Détection d’intrusion basée sur le réseau ou sur le client
  • Définition des technologies de détection d’intrusion, des réponses aux attaques et des options de monitoring
  • Activation de l’IPS et configuration
  • Configuration du VPN IPSec sur un routeur Cisco
  • IKE Protocol
  • Le hachage des messages (HMAC)
  • Les méthodes de cryptage
  • La clé Diffie-Hellman
  • L’authentification IPSec
  • L’environnement PLI
  • Configuration et vérification d’un VPN intersites avec des clés partagées
  • Cisco Easy VPN Server et Cisco Easy VPN Remote
  • Configuration d’accès distants VPN
  • Ateliers pratiques
  • Sécurisation d’un routeur Cisco
  • A la fin de cet atelier, le stagiaire est capable de sécuriser les accès administratifs à un routeur Cisco grâce aux fonctions One-Step lockdown, aux mots de passe cryptés, aux exec timout et aux différents privilèges d’accès
  • Les listes de contrôles d’accès
  • Lors de ce TP, le stagiaire apprendra à configurer, optimiser et dépanner les listes de contrôle d’accès afin d’éviter les attaques par Telnet, SNMP, IP Spoofing ou encore les attaques par dénis de service distribués.
  • SSH et Syslog
  • Cet atelier enseignera au stagiaire à configurer un lien SSH sur des routeurs Cisco afin d’en sécuriser les accès et de configurer un serveur Syslog qui recueillera tous les messages d’alerte.
  • Les parefeux et les systèmes de détection d’intrusion
  • Ce TP consiste à configurer le firewall et l’IPS Cisco sur un routeur à partir de la console de gestion de sécurité SDM Cisco.
  • Le VPN
  • A la fin de cet atelier, le stagiaire est en mesure de configurer une liaison VPN entre 2 sites, ou encore de configurer un routeur Cisco afin qu’il accepte les connexions d’accès réseau à distance.

Sécurisation des réseaux grâce aux Routeurs et aux commutateurs

  • Implémentation de la sécurité de couche 2
  • Utilisation des commandes IOS pour éviter les attaques de couche 2
  • Configuration des services d’identification sur les commutateurs Cisco
  • Management de l’identification grâce à ACS
  • Configuration du firewall IOS
  • Configuration du firewall IOS afin qu’il réagisse dynamiquement aux attaques
  • Vérification et dépannage du firewall
  • Configuration du firewal basé sur les zones IOS
  • Configuration d’APPFW
  • Configuration avancée du système de détection d’intrusion
  • Fonctionnalités avancées de l’IPS
  • Configuration de l’IPS pour qu’il identifie les attaques et y réponde dynamiquement
  • Vérification et dépannage d’un IPS
  • VPN avancé
  • Fonctionnalités de GRE
  • Les certificats d’autorité
  • Fonctionnalités de DMVPN
  • SSL VPN
  • Configuration d’Easy VPN Server
  •  Configuration d’AAA
  • Configuration des accès administratifs au server CSACS
  • Configuration des propriétés du système CSACS
  • Configuration des clients AAA
  • Configuration des utilisateurs, des groups et des droits d’accès
  • Configuration des profils d’accès au réseau
  • Vérification et dépnnnage des opérations AAA
  • Installation de Network Foundation Protection
  • Description de NFP
  • Sécurisation du plan de management grâce aux fonctionnalités de l’IOS Cisco
  • Sécurisation des données et du contrôle des données en utilisant les fonctionnalités de l’IOS Cisco
  • Atelier pratique
  • Configuration d’AAA
  • Cet atelier se consacre à la configuration des dispositifs clients et serveurs, afin de mettre en oeuvre toutes les phases d’authentification, d’autorisation et de comptabilité concernant les événements réseau.

Sécurisation d’un réseau avec PIX Firewall et ASA

  • Configuration d’un système de sécurité de base
  • Description de la sécurité logicielle et physique
  • Utilisation des commandes show
  • Configuration de NAT
  • Limitation des connexions embryonnaires
  • Configuration d’une solution de sécurité pour limiter les accès non fiables
  • Configuration des ACL basées sur les adresses, l’heure et les protocoles
  • Configuration des groupes d’objets pour optimiser les ACL
  • Configuration du filtrage de java/activeX
  • Configuration de l’URL filtering
  • Vérification des restrictions de trafic entrant

  • Configuration d’une solution pour sécuriser les connexions VPN intersites et d’accès distant
  • Les certificats
  • Configuration de IKE
  • Configuration des paramètres IPSec
  • Configuration des crypto-map
  • EasyVPN
  • Limitation des connexions embryonnaires
  • Configuration d’une solution de sécurité pour limiter les accès non fiables
  • Configuration des ACL basées sur les adresses, l’heure et les protocoles
  • Configuration des groupes d’objets pour optimiser les ACL
  • Configuration du filtrage de java/activeX
  • Configuration de l’URL filtering
  • Vérification des restrictions de trafic entrant
  • Configuration d’une solution pour sécuriser les connexions VPN intersites et d’accès distant
  • Les certificats
  • Configuration de IKE
  • Configuration des paramètres IPSec
  • Configuration des crypto-map
  • EasyVPN
  • Configuration de WebVPN  Configuration de firewall transparent et virtuel, options de haute disponibilité
  • Les firewall transparents
  • Configuration d’un parefeu transparent
  • Monitoring et maintien d’un parefeu virtuel
  • Le fail-over
  • Configuration du système de sécurtié pour le fail-over
  • Configuration du routage et de la commutation sur un dispositif de sécurité
  • Activation du serveur DHCP et des relais DHCP
  • Configuration des VLAN
  • Configuration de RIP et OSPF
  • Configuration du multicast
  • Configuration de ICMP
  • Configuration d’une politique modulaire de sécurité
  • Configuration d’une class-map
  • Configuration d’une policy-map
  • Configuration d’une service-policy
  • Configuration d’une ftp-map
  • DNS-guard
  • Ateliers pratiques
  • Configuration d’un dispositif de sécurité
  • Lors de cette partie pratique, le stagiaire apprendra à configurer un PIX Firewall afin que ce dernier puisse parfaitement s’intégrer dans une infrastructure réseau répondant aux règles de sécurité établies, sans gêner les utilisateurs.

Implémentation d’un système de détection d’intrusion Cisco

  • Fonctionnement des IPS
  • Sélection du meilleur sensor
  • Fonctionnalités d’IDSM-2
  • Fonctionnalités du NM-CIDS
  • Les plate-formes IPS
  • Différences entre HIPS et un IPS réseau
  • Les signatures
  • Installation d’un IPS
  • Installation un sensor sur le réseau
  • Les fichiers image
  • Initialisation du sensor
  • Définition du trafic à analyser
  • Optimisation d’un IDS/IPS
  • Tuning du sensor pour qu’il soit optimisé au type de réseau
  • Configuration des réponses par rapport à une signature
  • Configuration des filtres d’événement
  • Configuration des variables d’événement
  • Configuration de l’IP logging
  • Analyse des événements pour déterminer les meilleures réponses aux attaques
  • Configuration de l’affichage de l’IDM
  • Analyse des alertes et modification de la configuration si nécessaire
  • Classement d’une alarme comme vraie, fausse, positive ou négative
  • Mise à jour et maintenance d’un IPS
  • Configuration du sensor pour autoriser les informations SNMP
  • Réinstallation d’une image d’un IPS
  • Manipulation des images
  • Clés de licence
  • Ateliers pratiques
  • Installation d’un IPS
  • A la fin de cet atelier, le candidat sera en mesure de sélectionner un IPS, de l’installaer, de le configurer, de l’optimiser et de le mettre à jour.

Les réseaux VPN

  • Présentation des VPN et des technologies IPSec
  • Les produits Cisco
  • Présentation d’IPSec
  • L’architecture du protocole IPSec
  • Fonctionnement d’IPSec
  • Les concentrateurs Cisco
  • Présentation de la gamme 3000
  • Cisco VPN Concentrateur 3000
  • Prise en charge des clients
  • Configuration d’un concentrateur VPN 3000 pour l’accès distant utilisant des clés partagées
  • Présentation de l’accès distant
  • Configuration intiale d’un VPN 3000
  • Configuration des utilisateurs et des groupes
  • Configuration du logiciel client Cisco
  • Configuration d’un concentrateur VPN 300 pour l’accès distant utilisant des certificats
  • Présentation des certificats digitaux
  • Génération des certificats
  • Validation des certificats
  • Configuration du concentrateur pour le support des certificats
  •  Configuration du Firewall VPN pour les clients IPSec
  • Présentation du firewall client
  • “Are You There”
  • Politique centralisée des règles de sécurité
  • Les statistiques clients
  • Customisation des politiques de parefeu
  • Configuration de l’auto-initialisation du client pour le VPN
  • Présentation de l’option d’auto-initialisation
  • Configuration
  • Configuration des clients physiques
  • Cisco VPN 3002
  • Configuration de l’authentification
  • Monitoring
  • Configuration d’IPSec over UDP
  • Configuration de NAT
  • Configuration d’IPSec over TCP
  • Configuration des VPN LAN-to-LAN
  • Configuration avec des clés partagées
  • Configuration avec du NAT
  • Configuration avec des certificats
  • Atelier pratique
  • Configuration d’une artchitecture VPN A l’issue de cet atelier, le candidat sera en mesure de créer une architecture VPN d’accès distant en utilisant des clés partagées.
Certification Integration Academy © 2015 Frontier Theme