cs:skoleni-forenzni-trenink-2-sit

Forenzní trénink 2: Síť

Na této stránce naleznete všechny potřebné informace o školení.

Poznámka Toto školení není pořádáno v pravidelných intervalech – pokud máte zájem o účast, napište nám na sluzby@cesnet.cz.

Základní informace

Název školení Forenzní trénink 2: Síť
Lektoři Ing. Aleš Padrta, Ph.D., Ing. Martin Kylián
Popis školení Dvoudenní školení dále rozvíjí základy představené v předchozím školení Forenzní trénink 1: Úvod do forenzní analýzy, konkrétně v oblasti analýzy síťového provozu. Účastníci se pod vedením zkušených lektorů naučí nejen potřebné principy a postupy, ale také si je rovnou vyzkouší v praktických „hands-on“ cvičeních v prostředí počítačové laboratoře. Kromě nezbytného teoretického úvodu se účastníci seznámí s postupy pro zajištění podkladů, analýzou toků v sítích (Netflow) a analýzou částečného i plného záznamu provozu (packet capture). Součástí školení bude také seznámení s jednotlivými nástroji používanými pro analýzu.
Součásti školení Účastníci obdrží materiály používané během školení a certifikát o absolvování. Občerstvení během přestávek na kávu je zajištěno, stejně tak oběd během obou dnů. Večer prvního dne školení je k dispozici bezplatná a dobrovolná doplňková aktivita ve formě odborného večerního programu (Forensic Night @ CESNET).
Jazyk školení Školení bude vedeno v českém jazyce.
Délka školení 2 dny (12 hodin)
Požadované schopnosti GNU/Linux (alespoň na uživatelské úrovni, znalost práce v příkazové řádce). Předchozí absolvování školení Forenzní trénink 1: Úvod do forenzní analýzy výhodou.

Časový harmonogram

První den školení
8.50 9.10 Registrace
9.10 9.25 Uvítání
9.25 10.25 Úvod do síťové forenzní analýzy
10.25 10.45 Přestávka na kávu
10.45 12.05 Síťové toky a Netflow
12.05 12.45 Zajištění podkladů (část I)
12.45 13.45 Oběd
13.45 14.25 Zajištění podkladů (část II)
14.25 16.00 DNS – Domain Name System
Druhý den školení
9.00 10.00 Síťové protokoly
10.00 10.50 Závěrečný případ (část I)
10.50 11.10 Přestávka na kávu
11.10 12.40 Závěrečný případ (část II)
12.40 13.40 Oběd
13.40 14.30 Závěrečný případ (část III)
14.30 14.40 Ukončení kurzu

Popis výukových bloků

Úvod do síťové forenzní analýzy

  • Připomenutí základů z FT1
  • Specifika síťového provozu
  • Různé úrovně podrobnosti záznamu
  • Technické základy (ISO/OSI, IP adresa, MAC adresa, NAT)
  • Zjišťování informací (whois, geolokace, výrobce MAC)
  • Představení virtuální společnosti, ve které budou prováděná praktická cvičení
  • Praktické cvičení – procvičení zjišťování informací

Síťové toky a Netflow

  • Co je to flow, jeho obsah
  • Jak a kde jsou flow získávána (včetně NAT)
  • Ukládání flows, protokoly pro posílání, ukázka konfigurace prvků
  • Specifika ukládání velkého množství dat
  • Využití flow v praxi
  • Indikátory kompromitace (IoC) + výhody síťových IoC
  • Nástroje pro analýzu flow (FTAS)
  • Praktické cvičení – řešení případu s využitím nástroje FTAS

Zajištění podkladů

  • Úplná data vs. flows
  • Kde lze data sbírat (koncový uzel, L2, TAP, SPAN, RSPAN, ERSPAN, virtualizace)
  • Výběr bodů pro nahrávání
  • Uložení dat (pcap, pcapng, způsoby záznamu)
  • Předzpracování (jak si vybrat jen data pro konkrétní subanalýzu)
  • Forenzní aspekty (původ dat, konzistence dat)
  • Přestavení nástrojů (tcpdump, netsh, vboxmanage, capinfos, editcap, mergecap, Wireshark, tshark) a jejich oblast vhodného použití
  • Praktické cvičení – řešení případu s nahráním a analýzou pořízených dat

DNS – Domain Name System

  • Základy DNS (typy záznamů, hierarchická struktura, zóny, vyhledávání)
  • DNS protokoly (basic, DoT, DoH, DoH+proxy)
  • Úskalí živého dotazování (fast flux, split horizon DNS, možnost prozrazení)
  • Využití DNS ve forenzní analýze (doménové jméno → IP [→ MAC], IP → doménové jméno)
  • Passive DNS (sběr dat + využití)
  • Nástroje pro analýzy (whois, dig, host, nslookup, kdig, curl, tshark, passivedns)
  • Praktické cvičení – řešení případu s využitím passivedns a FTAS

Protokoly

  • Podrobnější pohled na ISO/OSI model
  • Představení vybraných protokolů (ARP, ICMP, IP, UDP, TCP, HTTP, TLS)
  • Představení nástrojů (tcpflow, tcpxtract)
  • Praktické cvičení – HTTP protokol a dešifrování s RSA klíčem

Závěrečný případ

  • Systematický přístup (supertimeline)
  • Vytvoření supertimeline (FTAS, tshark)
  • Práce se supertimeline (kvalifikované výběry)
  • Globální pohled (statistiky, agregace, anomálie)
  • Použití nástrojů (Wireshark, tshark)
  • Prezentace výsledků (připomenutí z Forenzního tréninku 1: Úvod do forenzní analýzy)
  • Praktické cvičení – praktický rozsáhlý případ, využívá znalosti z celého školení (vybraní absolventi prezentují své postupy)
Poslední úprava:: 20.04.2023 15:50