Consultoria y formación - Nethemba

SERVICIOS DE SEGURIDAD

Consultoria y formación

01

Ofrecemos los siguientes cursos:

  • Conceptos básicos de las tecnologías de encriptación y su implementación.
  • Protección de privacidad digital, Fundamentos de seguridad para gerentes y propietarios de empresas
  • Entrenamiento de MobileAppSec de 1 día
  • Entrenamiento de seguridad de red de 1 día (IPS, firewalls, honeypots)
  • Entrenamiento de 1 día de «Seguridad Wifi»
  • Curso de pruebas de penetración utilizando Metasploit Framework.
  • Curso de SELinux
  • Vulnerabilidades de aplicación web y ataque
  • Ataques prácticos en la web
  • Otros

FUNDAMENTOS DE LAS TECNOLOGÍAS DE CIFRADO Y SU IMPLEMENTACIÓN

DESCRIPCIÓN DEL ENTRENAMIENTO

El curso “Principios básicos de las tecnologías de encriptación y su implementación” es adecuado para el personal técnico de una empresa. El objetivo principal es familiarizarse con la comprensión básica para el despliegue adecuado de tecnologías que utilizan la criptografía. En el mundo de las comunicaciones digitales y la necesidad de privacidad, es necesario tener expertos disponibles que controlen las interacciones y el contexto. Al utilizar un método incorrecto, la seguridad se debilitará, permitirá la lectura o modificación de los datos transmitidos y podría reducir la velocidad. Esto provocaría el despilfarro de las inversiones en infraestructura. Es necesario darse cuenta de que sus datos o los datos de sus clientes se transmiten a través de un espacio público, por lo que la única protección real es la criptografía adecuadamente seleccionada. Este curso también proporciona la capacitación adecuada para ingenieros y los requisitos impuestos por la ley para la ciberseguridad.

Idioma de formación: inglés o checo.

Adecuado para: personal técnico de una empresa.

Rango de tiempo: 1-2 días

TEMAS PRINCIPALES

* Terminología básica

* Relación entre texto abierto, texto cifrado, hashes, texto comprimido, combinaciones utilizadas y texto aleatorio, errores en la implementación y fugas en categorías anteriores

* Generadores de números aleatorios, algoritmos simétricos y asimétricos, función hash, uso y errores en la implementación.

* Principales estándares y su importancia.

* Implementación de criptografía (ASIC, FPGA, chipsets especializados…), rendimiento y normalización.

* Criptografía en SSL / TLS: servidor / cliente, navegador y soporte de plataforma

* Resultados para probar SSL / TLS

* Análisis de diferentes tecnologías VPN.

* Fortalecimiento – ejemplos, rendimiento, recomendación.

* Tecnología en la vida real.

PROTECCIÓN DE PRIVACIDAD DIGITAL, FUNDAMENTOS DE SEGURIDAD PARA ADMINISTRADORES Y PROPIETARIOS DE LA COMPAÑÍA

DESCRIPCION DEL ENTRENAMIENTO

El curso de protección de la privacidad digital es adecuado para todos los gerentes y empresas propietarios que se preocupan por la privacidad digital y no quieren confiar fácilmente en comunicación explotable, por ejemplo comunicación de correo electrónico sin cifrar o llamadas GSM vulnerables.

Los participantes del curso aprenden cómo pueden proteger fácilmente su información privada o comercial contra terceros utilizando una fuerte Encriptación de sus dispositivos (PC, smartphones, tabletas) y su comunicación. (correos electrónicos encriptados, mensajería instantánea, voz).

La parte inevitable de esta capacitación es también una demostración práctica de cómo implementar todas las tecnologías de privacidad mencionadas y comenzar a usarlas de inmediato.

TEMAS PRINCIPALES

Fortalecimiento del sistema operativo (Windows / Linux)

* cifrado completo del disco

* actualizaciones de seguridad

* Firewall, antivirus, configuración antispam.

Cifrado de datos

* Sistema de archivos / cifrado de archivos, utilizando volúmenes ocultos.

* Como borrar archivos / formatear discos de forma segura.

Fortalecimiento de plataformas móviles (iOS / Android)

* cifrado completo del disco

* Instalación de aplicaciones verificadas y confidenciales.

* actualizaciones de seguridad

* Firewall, configuración antivirus.

Cifrado de comunicaciones

* cifrado de correo electrónico usando PGP a S / MIME

* cifrado de comunicación instantánea utilizando Jabber / OTR

* cifrado de voz utilizando SRTP / ZRTP a SIP / TLS

* Encriptación de todo el tráfico mediante VPN.

Navegación segura y confidencial

* usando varios complementos de seguridad (https en todas partes, adblocks, etc.)

* Validación e interpretación de firmas HTTPS.

* motor de búsqueda alternativo a Google

* Protección de la privacidad en las redes sociales.

Aseguración de los webmails conscientes de la privacidad
* usando servidores seguros de correo electrónico conscientes de la privacidad

Técnicas de anonimización
* Acceso anónimo a internet utilizando Tor e I2P.
* pagos pseudo-anónimos usando criptomonedas (como Bitcoin o Litecoin)

ENTRENAMIENTO DE MOBILEAPPSEC DE 1 DÍA

Esta capacitación está dirigida principalmente a la seguridad de las aplicaciones y servicios web de iOS y Android.

Temas principales

* Introducción a las plataformas iOS y Android, modelo de seguridad de plataforma.

* Anatomía de las aplicaciones.

* Configuración de un entorno de prueba, jailbreak, root, emulador

* herramientas y aplicaciones

* descompilación, volcado de clase, información confidencial en el código fuente y el archivo de la aplicación

* sistema de archivos, almacenamiento de datos, tipos de archivos usados, SQLite

* Llavero – problemas, volcado de datos

* Análisis de tiempo de ejecución y modificación de aplicaciones de iOS usando cycript.

* Detección de técnicas de jailbreak y root y evasión.

* Análisis de tiempo de ejecución utilizando herramientas como Snoop-it, Introspy, iNalyzer, DroidBox, Drozer.

* Análisis del tráfico de red, configuración de proxy, fijación de certificados.

* Servicios web, arquitectura y formatos de datos (REST, SOAP, XML, JSON).

* Vulnerabilidades específicas para servicios web (ataques de analizador, ataques de reproducción, ataques de inyección)

* Problemas con la criptografía.

* problemas con los esquemas URI

* utilizando GDB

* Demostración: aplicación Damn Vulnerable para iOS, GoatDroid

ENTRENAMIENTO DE SEGURIDAD DE RED DE 1 DÍA (IPS, FIREWALLS, HONEYPOTS)

Firewall e ISP ahora son equipos estándar para el perímetro de protección de infraestructura de red. El objetivo del curso es describir los tipos de cortafuegos y su uso, la tecnología IDS / IPS de los sistemas utilizados, los métodos de detección y sus opciones. Además, se discuten una variedad de formas de eludir y hacer túneles, tales como ataque de fragmentación, gota de lágrima (fragmentos superpuestos), encriptación SSL, IPv6, Teredo IPv6, falsificación de suma de verificación TCP, pero también ofuscación y también skype y túnel DNS. Otro problema relacionado es la VPN de IPsec, la fase IKE y el uso de las debilidades de la negociación agresiva del modo VPN para obtener la clave cifrada. En el capítulo sobre honeypots se menciona su papel en la detección de intentos de intrusión. Las posibles medidas se detallan al final.

ENTRENAMIENTO DE SEGURIDAD “WIFI” DE 1 DÍA

El curso describe la tecnología inalámbrica más utilizada, una descripción de todos los errores y ataques comunes, así como demostraciones prácticas de las aplicaciones y recomendaciones más utilizadas para garantizar las redes inalámbricas.

El entrenamiento consta de dos partes: la primera es teórica, la otra es sobre todo práctica, que incluye la descripción de ataques y demostraciones prácticas.

El curso cubre la mayoría de las vulnerabilidades conocidas y los ataques que describen.

DESCRIPCION DEL ENTRENAMIENTO

La conectividad inalámbrica y las comunicaciones son una parte integral de la comunicación. Las redes inalámbricas se están convirtiendo en un desafío para los hackers informáticos que utilizan errores y vulnerabilidades para obtener acceso a la infraestructura de la red inalámbrica. Wireless Hacking ayuda a los profesionales de TI a probar, desarrollar e implementar una red segura para comprender las vulnerabilidades de seguridad actuales y comprender la planificación y ejecución de ataques por parte de hackers informáticos a su favor. Este curso ayudará a los participantes a comprender cómo mejorar la seguridad de la metodología de ataque de referencia de WLAN y también a comprender la importancia de las pruebas de penetración como primera defensa. El curso se enfoca en la descripción de la norma y sus elementos esenciales y en términos de seguridad, vulnerabilidades de seguridad, descripción, métodos de abuso y hardware y herramientas para usar en entornos de Windows y Linux. La mosca en las opciones de publicación se pasa a la opción VPN ataque, la opción de ataque para la administración del AP mismo y la posibilidad de hacer un túnel. Finalmente, se discute la posibilidad de detección, recomendaciones y contramedidas.

TEMAS PRINCIPALES
802.11 a / b / g / n – Descripción de capas específicas, física, línea, marcos de descripción de tareas. La superposición de otras tecnologías.

SSID – Su finalidad, parámetros, opciones en la seguridad.

La autenticación y sus especies. Arquitectura de autenticación de red abierta, PSK, 802.1X (Cisco LEAP, PEAP, EAP-TLS, EAP-FAST) y 802.11i

Cifrado – Descripción de redes abiertas y WEP, WPA, WPA2. Descripción VPN.

Filtrado – Filtrado de MAC, su función y capacidades.

Los ataques

Ataques pasivos: herramientas de monitoreo, intercepción y análisis de redes para la transferencia de datos

Ataques de autenticación, ataques de cifrado, ataques DoS, redes inalámbricas falsas

Principio de MITM falso AP, ataque a la autenticación (LEAP), asalto (WEP IV y PTW), WPA (2), WPS, herramientas para romper los cifrados

Pruebas de gestión de seguridad empleadas AP

Conexión de túneles

PARTE PRÁCTICA

Esta sección cubrirá todos los ataques conocidos y se realizará una demostración práctica del uso de vulnerabilidades.

Aircrack http://www.aircrack-ng.org/

Kismet http://www.kismetwireless.net/

Caín http://www.oxid.it/

coWPAtty http://wirelessdefence.org/Contents/coWPAttyMain.htm

BurpSuite http://portswigger.net/burp/

EWSA http://www.elcomsoft.com/ewsa.html

OCLHASHCAT http://hashcat.net/oclhashcat-plus/

CURSO DE PRUEBAS DE PENETRACIÓN UTILIZANDO EL MARCO DE METASPLOIT

Un curso de prueba de penetración muy único que demuestra las características avanzadas de Metasploit Framework

Material: explotación de Metasploit.

CURSO DE SELINUX

Entrenamiento avanzado de SELinux desde los conceptos básicos de SELinux hasta administración avanzada, creación de políticas de SELinux, demostración práctica en RHEL

Material: Diapositivas del curso SELinux para descargar.

APLICACIONES WEB VULNERABILIDADES Y ATAQUES

Presentación teórica de nuevos ataques de aplicaciones web, vulnerabilidades en nuevas aplicaciones web, reglas de programación de aplicaciones web seguras, protección de PHP.

Material: Cómo se ve el ataque de aplicación real común

Nuevos ataques de aplicaciones web

Vulnerabilidades en nuevas aplicaciones web

ATAQUES PRÁCTICOS EN LA WEB

Demostración práctica de las vulnerabilidades de aplicaciones web más comunes.

Material: Ataques web prácticos.

Además de las capacitaciones anteriores, podemos preparar cualquier capacitación en tecnología de seguridad de acuerdo con los deseos del cliente en las siguientes áreas:

  • Reconocimiento
  • Exploración
  • Enumeración
  • Sistema de hacking
  • Troyanos y puertas traseras
  • Sniffers
  • Negación de servicio
  • Ingeniería social
  • Secuestro de sesión
  • Hackear servidores web
  • Vulnerabilidades de aplicaciones web
  • Técnicas de descifrado de contraseñas basadas en la web
  • Inyección SQL
  • Hackear redes inalámbricas
  • Virus y gusanos
  • Linux Hacking
  • Evadir IDS, firewalls y honeypots
  • Desbordamientos de búfer
  • Criptografía
  • Pruebas de penetración