SANS Mentoring – SECURITY 503 – Intrusion Detection In-Depth

Aproveito o espaço do blog para divulgar uma boa oportunidade aos leitores interessados em aprender mais sobre segurança de redes. Fui convidado para participar de um programa do instituto SANS após alcançar nota suficiente (acima de 85%) no exame GCIA, o qual realizei em Dezembro do ano passado (2009). Para quem ainda não conhece o SANS, vale a pena acessar aqui para mais informações.

A certificação GCIA (GIAC Certified Intrusion Analyst) exige do candidato conhecimentos acerca de vários tópicos sobre segurança de redes, dentre eles: análise de PCAPs, sniffers (tcpdump, wireshark), protocolos de rede (muito TCP/IP, DNS), Snort NIDS e outros. Durante a preparação para o exame, escrevi um post no blog sobre as fontes de informação (livros, links) das quais utilizei.

Mentor é um programa de aprendizado do SANS disponibilizado em sala de aula por meio de dez aulas semanais aos alunos, sem necessidade de participar de uma evento fora de seu país. Desta forma, há tempo para absorver e dominar o mesmo conhecimento ensinado em cursos de seis dias, com a orientação de um profissional treinado na área.

O mentoring provavelmente ocorrerá no 2° semestre deste ano em São Paulo e terá como conteúdo o curso SECURITY 503 – Intrusion Detection In-Depth. Mais informações podem ser adquiridas por email, bem como no site do SANS.

Segue abaixo conteúdo do curso:

  • TCP/IP
    • Fragmentation
    • ICMP
    • Microsoft Networking and Security
    • Client and Server Interaction
    • Routing
    • IPv6
  • Hands-On TCPdump Analysis
    • Mechanics of Running TCPdump
    • General Network Traffic Analysis
  • Hands-On Snort Usage
    • Various Modes of Running Snort
    • Writing Snort Rules
  • Intrusion Management and Analysis
    • Intrusion Detection Architecture
    • Intrusion Detection/Prevention Analysis

8 thoughts on “SANS Mentoring – SECURITY 503 – Intrusion Detection In-Depth

  1. Olá Alexandre, primeiramente parabéns pela certificação e consequentemente a nota atingida, queria saber quais os valores desse curso, qual o material didático adotado e se posso fazer o mesmo online com você, pois moro na região nordeste do pais.

    Abs

    1. Paulo,

      Posso adiantar que o valor será fixado pelo próprio SANS, porém ainda não o tenho. O material é fornecido por eles, enviado pelo correio pouco antes do curso.

      Agradeço sua visita! Entrarei em contato por email para que possamos escrever com mais detalhes.

      Abraço!

      Alexandre

  2. Parabéns Alexandre!

    Vamos marcar para tomar um chopp e comer um pastel…
    Abraço

  3. Alexandre, percebi pelo blog que você usuário do SIFT workstantion(vm da sans), eu tbm uso, e fazendo alguns testes como análise de registro, encontrei alguns erros usando o rip.pl(RegRipper) que ainda não consegui resolver, talvez você possa me ajudar. Segue:

    Quando eu uso o seguinte comando: rip.pl -r system -p timezone
    ele retorna o seguinte erro
    /usr/local/src/regripper/pluginstimezone.pl not found
    Como se não achasse o plugin nesse path, sendo que o mesmo está correto.

    Pra descarrego de consciência eu tento o comando especificando o path: rip.pl -r system -f /usr/local/src/regripper/plugins/timezone.pl
    e retorna o seguinte erro:
    Parsed Plugins file.
    Error in : Can’t locate /usr/local/src/regripper/plugins/.pl in @INC (@INC contains: /etc/perl /usr/local/lib/perl/5.10.0 /usr/local/share/perl/5.10.0 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.10 /usr/share/perl/5.10 /usr/local/lib/site_perl .) at /usr/local/bin/rip.pl line 94.

    complete.

    Vc teve esse problema na Versão 2 da VM, já usou ela usando o rip.pl???

    No aguardo pela resposta, e aproveitando o ensejo para cobrar novos post. ;)

    Abraços

    1. Fala Julio!

      Eu ainda uso a versão anterior (1.3), não baixei a 2.0 ainda, mas há o mesmo problema. Tenta executar o ‘rip.pl’ que está no diretório /usr/local/src/regripper:

      cd /usr/local/src/regripper
      ./rip.pl -l

      Você verá que a listagem de plugins irá funcionar, pelo menos foi assim aqui. Assim, imagino que os outros parâmetros funcionarão também.

      Quanto aos posts, estou preparando alguns, mais ‘densos’! :) Valeu! []s

      Alexandre

      1. Alexandre, realmente esse comando funciona, fazendo uma listagem de todos os pluguins, mas o mesmo não funciona na analise, tanto indicando o -p como o -f no comando.

        Estranho né…as 2 versões com o mesmo problema!! :)

        Mas de já agradeço pelo feedback, vou continuar aki tentando um toubleshoot do mesmo.

  4. Só um adendo Alexandre, a versão 2 é ubuntu, e 1.5 se não me engano é fedora, acho mas interessante trabalhar com dpkg(apt), do que pacotes rpm!! :-)

Comments are closed.