Security Professionals - ipfw add deny all from eindgebruikers to any

Starten met HBO Security opleiding, iemand ervaring met Offensive Security?

03-03-2014, 10:55 door Anoniem, 22 reacties
Hallo,

Binnenkort (september) zal ik een HBO studie beginnen die voornamelijk gericht is op security. Graag wil ik voor deze opleiding alvast wat basis kennis meenemen over onder andere "Penetration testing". Nu kwam ik deze website tegen: http://www.offensive-security.com/ die verschillende courses aanbied en daar aansluitende certificaten voor heeft. De makers hiervan zitten overigens ook achter de Linux Distro's "Backtrack & Kali".

Heeft iemand al ervaring met deze website? Of weet iemand of deze certificaten überhaupt iets voorstellen?

Zo niet, wat is jullie advies als je in mijn situatie binnenkort met een security opleiding begint en toch al over een basis wilt beschikken?

Alvast bedankt,
Reacties (22)
03-03-2014, 13:23 door Anoniem
De cursus OSCP is nuttiger dan je gehele HBO Security opleiding.
Nu zeg ik niet dat je de opleiding niet moet doen, maar het OSCP is juist een van de nuttige certs die je kan halen binnen de Security branch.
03-03-2014, 15:58 door Anoniem
Door Anoniem: De cursus OSCP is nuttiger dan je gehele HBO Security opleiding.
Nu zeg ik niet dat je de opleiding niet moet doen, maar het OSCP is juist een van de nuttige certs die je kan halen binnen de Security branch.

Dat geeft in ieder geval al inzicht.
Nogmaals, ik ben nieuw in deze branch en weet dan ook nog niet welke certifcaten tellen en welke niet.
Om even terug te komen op offensive security, ik las op de website dat Penetration testing with kali een "enty level" course is.
Enig idee wat voor basis kennis hier voor vereist is? Ik ken redelijk de weg rond Linux en kan wel een bruteforce uitvoeren of een WPA access pointje kraken maar is dat voldoende voor die course?

Weet iemand daarnaast hoe goed de uitleg is die ze geven? Is dat doormiddel van video's en theorie etc waarna je vervolgens een opdracht uitvoert?

De vele vragen wegens de behoorlijke investering want 1000 usd is niet niks en weet graag waar ik aan begin.
03-03-2014, 19:41 door Anoniem
Ik weet niet voor je wat voor basis kennis nodig is voor die course, aangezien ik zelf die course niet ken. Of kennis omtrent WPA en bruteforce genoeg is betwijfel ik.
Ik denk dat je wel wat kennis moet hebben van:
- Metasploit
- Exploit
- Scope bepalen
- Doel bepalen
- Plannen

- Information Gathering
- Exploitation
- Reconnaissance Techniques
- Privilege Escalation/Elevation

Er zijn trouwens genoeg E-books te vinden omtrent Security en Pentesting, kan uiteraard helpen om een idee te krijgen welke info je nodig gaat hebben. Je kan natuurlijk ook Kali downloaden en ervaring opdoen met bijvoorbeeld msfconsole (of Armitrage voor de 'fancy' GUI variant). Als je wat uit wilt testen kan je bijvoorbeeld een Virtualbox/VMWare omgeving opzetten (Kali + Win7/XP/server2003/e.d.) in een host-only netwerk.
03-03-2014, 20:25 door Anoniem
Door Anoniem: Ik weet niet voor je wat voor basis kennis nodig is voor die course, aangezien ik zelf die course niet ken. Of kennis omtrent WPA en bruteforce genoeg is betwijfel ik.
Ik denk dat je wel wat kennis moet hebben van:
- Metasploit
- Exploit
- Scope bepalen
- Doel bepalen
- Plannen

- Information Gathering
- Exploitation
- Reconnaissance Techniques
- Privilege Escalation/Elevation

Er zijn trouwens genoeg E-books te vinden omtrent Security en Pentesting, kan uiteraard helpen om een idee te krijgen welke info je nodig gaat hebben. Je kan natuurlijk ook Kali downloaden en ervaring opdoen met bijvoorbeeld msfconsole (of Armitrage voor de 'fancy' GUI variant). Als je wat uit wilt testen kan je bijvoorbeeld een Virtualbox/VMWare omgeving opzetten (Kali + Win7/XP/server2003/e.d.) in een host-only netwerk.


Bedankt voor je reactie,
Ik omschreef de huidige kennis nogal mild, was meer om een voorbeeld te geven.
De punten die je beschrijft zijn me wel bekend doordat ik het boek "Hacking with Kali Practical Penetration Testing Techniques" boek aan het doorlezen ben en begrijp dan ook de werkwijze/cyclus.

Je vervolg advies heb ik een week geleden opgevolgd door een virtualbox lab neer te zetten met Metasploitable en Kali.
Op dat gebied zit het dan ook wel goed, maar wilde graag weten in hoeverre zoiets dan verder gaat in de course en wat ze dan zo'n beetje verwachten(Willen ze bv dat je een basiskennis over python hebt).

Als laatste heb je het nog over de boeken omtrent security. Ik heb Amazon al eens doorgespit maar kon niet echt een goede keuze maken omdat er ook veel verschillende zijn. Heb je misschien nog advies voor een boek?

Bedankt voor je aanvulling in ieder geval!
03-03-2014, 20:45 door NyctO
Hoi,
Indien je echt in de richting van security wil gaan studeren, raad ik je in ieder geval ook even te kijken naar de mogelijkheden van SANS. Ik heb zelf een aantal cursussen gevolgd bij Eccouncil maar dat raad ik je af! Ik heb spijt dat ik dat niet bij SANS heb gevolgd!
SANS is redelijk duur als het vergelijkt met offensive-security. Ik ben van mening dat met selfstudie een aantal waardigheden kan leren maar de "know how" die je bij zo'n opleding mee krijgt is niet te vergelijken met doe het self studie.

Succes met de zoektocht!
05-03-2014, 15:02 door Anoniem
Door NyctO: Hoi,
Indien je echt in de richting van security wil gaan studeren, raad ik je in ieder geval ook even te kijken naar de mogelijkheden van SANS. Ik heb zelf een aantal cursussen gevolgd bij Eccouncil maar dat raad ik je af! Ik heb spijt dat ik dat niet bij SANS heb gevolgd!
SANS is redelijk duur als het vergelijkt met offensive-security. Ik ben van mening dat met selfstudie een aantal waardigheden kan leren maar de "know how" die je bij zo'n opleding mee krijgt is niet te vergelijken met doe het self studie.

Succes met de zoektocht!

Hoi,

Bedankt voor je reactie,
Een kijkje genomen bij SANS, die inderdaad erg duur is. Zal vast en zeker terugkomen in de kwaliteit van de certificaten maar zal een toekomstplan worden. Ik denk zelf dat Offensive security een goede basis zou zijn(en een betaalbare).

Je opmerking omtrent dat je de Know How leert bij een opleiding, bedoel je daarmee de HBO opleiding of een opleiding van e.g. SANS of offensive security ipv zelf studie bij een van deze 2?
05-03-2014, 22:53 door Anoniem
Ik heb zelf OSCP gehaald een aantal jaar geleden. Goede cursus met veel ondersteunend materiaal. Het is handig als je al enige technische kennis hebt en ervaring met scriptie. Naar mijn mening is dit een van de cursussen waar je echt iets leert.
06-03-2014, 12:41 door Anoniem
Ik ben zeer nieuwsgierig naar welke opleiding (en aan welke school) jij gaat volgen!
Zou je dit willen delen?
06-03-2014, 12:47 door Anoniem
Welke HBO opleiding ga je precies doen?
06-03-2014, 15:51 door Anoniem
Door Anoniem: Welke HBO opleiding ga je precies doen?

Om beide jullie een antwoord te geven..
Ik was misschien wat overdreven met de woorden "Security opleiding"
Het is een 4 jarige HBO studie aan de Hogeschool Zuyd in Heerlen met de naam Network Infrastructure design, maar in het 3de jaar kan gekozen worden voor verschillende specialisaties, waaronder security.
Hoe diepgaand dit zal zijn, durf ik ook nog niet te zeggen. Vandaar dat ik ook op zoek ben naar een extra certificaat die wel alle kanten laat zien. Kennis is altijd welkom.
27-04-2014, 08:37 door Optimus
Als basis kun je inderdaad de HBO opleiding volgen. De opleiding die daar op het moment het dichtst bij komt is de Management & Security opleiding. Fontys HBO ICT biedt deze aan. Specifics van de opleiding:

Jaar 1

IBB
Inleiding Bedrijfskunde en Bedrijfsprocessen
ICS
Inleiding Computersystemen
ISO
Inleiding SysteemOntwikkeling
NAO
Netwerk Architectuur en Ontwerp
PROF1
Professionalisering jaar 1

Jaar 2

BIS
Business Information Systems
EHNS
Ethical Hacking & Network Security
IDI
ICT Dienstverlening & Informatiebeveiliging
IWP
Inleiding WebProgrammeren
PROF2
Professionalisering jaar 2

Jaar 3

PIMS
Project ICT & Management and Security
KTAF
Kwaliteit en Testen, Applicatie en Functioneel beheer
CSSD
Cryptografie en Secure Software Development
BIA
Business & IT alignment
PROF3
Professionalisering jaar 3

Jaar 4

IMIF
IT Monitoring & IT-Forensics
ITSM
IT Service management
PROF4
Professionalisering jaar 4
Afstuderen
Informatie over het afstuderen
27-04-2014, 09:48 door Anoniem
Lees dit boek: http://www.cl.cam.ac.uk/~rja14/book.html
03-05-2014, 23:46 door Anoniem
Lang traject maar zonder eerst Linux systeembeheer, PHP, ASP en/of java programmeren zie ik niet hoe iemand een succesvolle security carrière kan beginnen. Er lopen een hoop security analisten rond die van beide geen kaas hebben gegeten. Dat zal prima werken op strategisch niveau. Maar zodra iemand echt iets moet gaan testen in de praktijk zou ik daar weinig vertrouwen in hebben, omdat aanvallen begrepen en vaak aangepast moeten worden voordat ze werken waar de nodige systeembeheer en programmeer kennis voor vereist is.
04-07-2014, 14:38 door Anoniem
Door Anoniem: Lees dit boek: http://www.cl.cam.ac.uk/~rja14/book.html

En dan?
Ben het er mee eens dat het een zeer goed boek is maar de nodige ervaring opdoen helpt zeker.
05-07-2014, 10:19 door Anoniem
Ik heb de Network Infrastrucutre Design opleiding aan de Zuyd Hogeschool afgerond. Uitermate tevreden over de opleiding maar je moet zelf initiatief tonen om kennis te vergaren.
05-07-2014, 17:31 door steve sh1t - Bijgewerkt: 06-07-2014, 12:11
Door Anoniem: Lang traject maar zonder eerst Linux systeembeheer, PHP, ASP en/of java programmeren zie ik niet hoe iemand een succesvolle security carrière kan beginnen. Er lopen een hoop security analisten rond die van beide geen kaas hebben gegeten. Dat zal prima werken op strategisch niveau. Maar zodra iemand echt iets moet gaan testen in de praktijk zou ik daar weinig vertrouwen in hebben, omdat aanvallen begrepen en vaak aangepast moeten worden voordat ze werken waar de nodige systeembeheer en programmeer kennis voor vereist is.

Helemaal mee eens.
11-07-2014, 12:54 door Anoniem
Succes met je opleiding!

Hou er wel rekening mee dat geen enkele HBO-opleiding voldoende is om goed te starten in de (technische / hacking) kant van security. De opleiding die je beschrijft is een management opleiding, dus ja, je gaat er van een management kant naar kijken en zal de hoofdlijnen van techniek krijgen.
Het HBO beseft alleen niet dat niemand daadwerkelijk start in een managementpositie bij het lanceren van zijn carrière.

Onderaan de streep denk ik dat je het beste af bent bij een opleiding technische informatica. Maar als je wilt toetsen; kijk eens op LinkedIn naar de opleidingen van mensen die werken bij security bedrijven zoals Fox-IT?

Ik ga momenteel tandenknarsend door mijn opleiding information security management heen. Het is gewoon droevig om te besseffen dat ik meer leer BUITEN de opleiding dan IN de opleiding op gebied van technische security.
12-07-2014, 15:04 door Anoniem
Als je alleen op zoek bent naar technische security moet je ook niet voor ISM kiezen. ISM leidt niet op tot pentester of ethical hacker. Ikzelf ervaar de brede integrale aanpak die in de opleiding nadrukkelijk aan de orde komt als een uitstekende basis om straks op diverse fronten ingezet te kunnen worden. Daar heb ik meer aan dan kunstjes doen met Kali! Overigens is er inmiddels al een grote groep afgestudeerde ISM'ers werkzaam bij FOX-IT en Deloitte naar ik heb begrepen. Kennelijk heb je andere verwachtingen dan ik heb..... het bevalt mij dan ook uitstekend.
12-07-2014, 15:59 door Anoniem
Door Anoniem: Als je alleen op zoek bent naar technische security moet je ook niet voor ISM kiezen. ISM leidt niet op tot pentester of ethical hacker. Ikzelf ervaar de brede integrale aanpak die in de opleiding nadrukkelijk aan de orde komt als een uitstekende basis om straks op diverse fronten ingezet te kunnen worden. Daar heb ik meer aan dan kunstjes doen met Kali! Overigens is er inmiddels al een grote groep afgestudeerde ISM'ers werkzaam bij FOX-IT en Deloitte naar ik heb begrepen. Kennelijk heb je andere verwachtingen dan ik heb..... het bevalt mij dan ook uitstekend.

Ik sluit me volledig aan bij deze reactie. ISM is een perfecte basis om jezelf door te ontwikkelen op technische security. Dit kun je ook al doen binnen de opleiding door minoren, stage en eventueel afstuderen! Hiermee biedt de opleiding voldoende ruimte om deze technisch in te richten.
14-07-2014, 13:34 door Anoniem
OSCP is puur gericht op het actief "hacken" van systemen hoe je dat doet van begin to eind en moet je een praktijktest doen om het certificaat te behalen. Zie OSCP meer een aanvulling op je HBO opleiding. Training is heel interesant en leerzaam en alles per video uitgelegd.

Denk dat het belangrijk is om te weten wat je wil doen na je HBO opleiding?
Als dit ethisch hacken moet gaan worden dan zal je er je lifestyle van moeten maken om er continue mee bezig te zijn.
Eigenlijk moet je overal diepgaande kennis van hebben of je moet je dan weer specialiseren in een bepaald gebied zodat je met een team van specialisten aan de slag gaat tijdens een opdracht.

Je zou ook kunnen kijken op www.hacking-lab.com waar je een labomgeving hebt die je kan hacken door opdrachten uit te voeren.
Success met je opleiding
14-07-2014, 19:15 door Anoniem
Door Anoniem: Als je alleen op zoek bent naar technische security moet je ook niet voor ISM kiezen. ISM leidt niet op tot pentester of ethical hacker. Ikzelf ervaar de brede integrale aanpak die in de opleiding nadrukkelijk aan de orde komt als een uitstekende basis om straks op diverse fronten ingezet te kunnen worden. Daar heb ik meer aan dan kunstjes doen met Kali! Overigens is er inmiddels al een grote groep afgestudeerde ISM'ers werkzaam bij FOX-IT en Deloitte naar ik heb begrepen. Kennelijk heb je andere verwachtingen dan ik heb..... het bevalt mij dan ook uitstekend.

Heh, op diverse fronten ingezet te worden. Beroepspraktijk is het niet met je eens, ISM loopt nog twee jaar door en wordt dan hervormd naar een technische variant HBO-ICT. Blijken dus toch niet zoveel "fronten" te zijn?

Over de grote groep ISM-ers die nu bij Deloitte en Fox-IT werkt ben je ook niet helemaal objectief. Flinke hoeveelheid heeft daarvoor een technische MBO gedaan of zichzelf ontwikkeld. En drie technische minoren brengt je niet op niveau.

Ik doe de opleiding zelf ook, maar ben wel kritisch genoeg om eens te googelen op vacatures in de niet-technische informatiebeveiliging en besseffen dat daar toch wat minder vraag naar is. Dan maar goed betaald "kunstjes doen met kali!"
15-07-2014, 11:29 door Anoniem
Wat betreft de Fontys opleiding Management & Security, deze heb ik gevolgd naast m'n studie Bedrijfskundige Informatica, maar vond ik zelf echt te mager. Ik ben naar BSides en Def Con in Las Vegas geweest, en de kennis van de Fontys opleiding is echt te mager. Je leert wel wat technieken, maar ga eens op twitter kijken en koop wat boeken over PenTesting en je zit gelijk een stuk dieper in de materie. Ook volgen van Webinars van bijv. makers van Metasploit zijn veel boeiender.

Ja je moet natuurlijk weten hoe een pentest in zijn werk gaat, ga je de medewerkers informeren ja of nee, welke aspecten ga je testen ( scope), ga je alleen netwerk doen, of ook social engineering, wat doe je met de resultaten. Dan kennis vergaren over netwerk etc...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.