====== Forenzní trénink 2: Síť ======

Na této stránce naleznete všechny potřebné informace o školení.

^  Poznámka Toto školení není pořádáno v pravidelných intervalech -- pokud máte zájem o účast, napište nám na [[sluzby@cesnet.cz]].    ^

===== Základní informace =====

^ Název školení | Forenzní trénink 2: Síť |
^ Lektoři | Ing. Aleš Padrta, Ph.D., Ing. Martin Kylián |
^ Popis školení | Dvoudenní školení dále rozvíjí základy představené v předchozím školení [[cs/skoleni-forenzni-trenink-1-uvod|Forenzní trénink 1: Úvod do forenzní analýzy]], konkrétně v oblasti analýzy síťového provozu. Účastníci se pod vedením zkušených lektorů naučí nejen potřebné principy a postupy, ale také si je rovnou vyzkouší v praktických "hands-on" cvičeních v prostředí počítačové laboratoře. Kromě nezbytného teoretického úvodu se účastníci seznámí s postupy pro zajištění podkladů, analýzou toků v sítích (Netflow) a analýzou částečného i plného záznamu provozu (packet capture). Součástí školení bude také seznámení s jednotlivými nástroji používanými pro analýzu. |
^ Součásti školení | Účastníci obdrží materiály používané během školení a certifikát o absolvování. Občerstvení během přestávek na kávu je zajištěno, stejně tak oběd během obou dnů. Večer prvního dne školení je k dispozici bezplatná a dobrovolná doplňková aktivita ve formě odborného večerního programu (Forensic Night @ CESNET).|
^ Jazyk školení | Školení bude vedeno v českém jazyce. |
^ Délka školení | 2 dny (12 hodin) |
^ Požadované schopnosti | GNU/Linux (alespoň na uživatelské úrovni, znalost práce v příkazové řádce). Předchozí absolvování školení [[cs/skoleni-forenzni-trenink-1-uvod|Forenzní trénink 1: Úvod do forenzní analýzy]] výhodou. |

===== Časový harmonogram =====

^  První den školení  ^^^
| 8.50 | 9.10 | Registrace |
| 9.10 | 9.25 | Uvítání |
| 9.25 | 10.25 | Úvod do síťové forenzní analýzy |
| **10.25** | **10.45** | **Přestávka na kávu** |
| 10.45 | 12.05 | Síťové toky a Netflow |
| 12.05 | 12.45 | Zajištění podkladů (část I) |
| **12.45** | **13.45** | **Oběd** |
| 13.45 | 14.25 | Zajištění podkladů (část II) |
| 14.25 | 16.00 | DNS – Domain Name System |
^  Druhý den školení  ^^^
| 9.00 | 10.00 | Síťové protokoly |
| 10.00 | 10.50 | Závěrečný případ (část I) |
| **10.50** | **11.10** | **Přestávka na kávu** |
| 11.10 | 12.40 | Závěrečný případ (část II) |
| **12.40** | **13.40** | **Oběd** |
| 13.40 | 14.30 | Závěrečný případ (část III) |
| 14.30 | 14.40 | Ukončení kurzu |

===== Popis výukových bloků =====

**Úvod do síťové forenzní analýzy**
  * Připomenutí základů z FT1
  * Specifika síťového provozu
  * Různé úrovně podrobnosti záznamu
  * Technické základy (ISO/OSI, IP adresa, MAC adresa, NAT)
  * Zjišťování informací (whois, geolokace, výrobce MAC)
  * Představení virtuální společnosti, ve které budou prováděná praktická cvičení
  * Praktické cvičení -- procvičení zjišťování informací
**Síťové toky a Netflow**
  * Co je to flow, jeho obsah
  * Jak a kde jsou flow získávána (včetně NAT)
  * Ukládání flows, protokoly pro posílání, ukázka konfigurace prvků
  * Specifika ukládání velkého množství dat
  * Využití flow v praxi
  * Indikátory kompromitace (IoC) + výhody síťových IoC
  * Nástroje pro analýzu flow (//FTAS//)
  * Praktické cvičení -- řešení případu s využitím nástroje FTAS
**Zajištění podkladů**
  * Úplná data vs. flows
  * Kde lze data sbírat (koncový uzel, L2, TAP, SPAN, RSPAN, ERSPAN, virtualizace)
  * Výběr bodů pro nahrávání
  * Uložení dat (pcap, pcapng, způsoby záznamu)
  * Předzpracování (jak si vybrat jen data pro konkrétní subanalýzu)
  * Forenzní aspekty (původ dat, konzistence dat)
  * Přestavení nástrojů (''tcpdump'', ''netsh'', ''vboxmanage'', ''capinfos'', ''editcap'', ''mergecap'', //Wireshark//, ''tshark'') a jejich oblast vhodného použití
  * Praktické cvičení -- řešení případu s nahráním a analýzou pořízených dat
**DNS – Domain Name System**
  * Základy DNS (typy záznamů, hierarchická struktura, zóny, vyhledávání)
  * DNS protokoly (basic, DoT, DoH, DoH+proxy)
  * Úskalí živého dotazování (fast flux, split horizon DNS, možnost prozrazení)
  * Využití DNS ve forenzní analýze (doménové jméno -> IP [-> MAC], IP -> doménové jméno)
  * Passive DNS (sběr dat + využití)
  * Nástroje pro analýzy (''whois'', ''dig'', ''host'', ''nslookup'', ''kdig'', ''curl'', ''tshark'', ''passivedns'')
  * Praktické cvičení -- řešení případu s využitím ''passivedns'' a //FTAS//
**Protokoly**
  * Podrobnější pohled na ISO/OSI model
  * Představení vybraných protokolů (ARP, ICMP, IP, UDP, TCP, HTTP, TLS)
  * Představení nástrojů (''tcpflow'', ''tcpxtract'')
  * Praktické cvičení -- HTTP protokol a dešifrování s RSA klíčem
**Závěrečný případ**
  * Systematický přístup (supertimeline)
  * Vytvoření supertimeline (//FTAS//, ''tshark'')
  * Práce se supertimeline (kvalifikované výběry)
  * Globální pohled (statistiky, agregace, anomálie)
  * Použití nástrojů (//Wireshark//, ''tshark'')
  * Prezentace výsledků (připomenutí z [[cs/skoleni-forenzni-trenink-1-uvod|Forenzního tréninku 1: Úvod do forenzní analýzy]])
  * Praktické cvičení -- praktický rozsáhlý případ, využívá znalosti z celého školení (vybraní absolventi prezentují své postupy)