Forenzní trénink 2: Síť

Na této stránce naleznete všechny potřebné informace o školení.

Poznámka Toto školení není pořádáno v pravidelných intervalech – pokud máte zájem o účast, napište nám na sluzby@cesnet.cz.

Základní informace

Název školení	Forenzní trénink 2: Síť
Lektoři	Ing. Aleš Padrta, Ph.D., Ing. Martin Kylián
Popis školení	Dvoudenní školení dále rozvíjí základy představené v předchozím školení Forenzní trénink 1: Úvod do forenzní analýzy, konkrétně v oblasti analýzy síťového provozu. Účastníci se pod vedením zkušených lektorů naučí nejen potřebné principy a postupy, ale také si je rovnou vyzkouší v praktických „hands-on“ cvičeních v prostředí počítačové laboratoře. Kromě nezbytného teoretického úvodu se účastníci seznámí s postupy pro zajištění podkladů, analýzou toků v sítích (Netflow) a analýzou částečného i plného záznamu provozu (packet capture). Součástí školení bude také seznámení s jednotlivými nástroji používanými pro analýzu.
Součásti školení	Účastníci obdrží materiály používané během školení a certifikát o absolvování. Občerstvení během přestávek na kávu je zajištěno, stejně tak oběd během obou dnů. Večer prvního dne školení je k dispozici bezplatná a dobrovolná doplňková aktivita ve formě odborného večerního programu (Forensic Night @ CESNET).
Jazyk školení	Školení bude vedeno v českém jazyce.
Délka školení	2 dny (12 hodin)
Požadované schopnosti	GNU/Linux (alespoň na uživatelské úrovni, znalost práce v příkazové řádce). Předchozí absolvování školení Forenzní trénink 1: Úvod do forenzní analýzy výhodou.

První den školení
8.50	9.10	Registrace
9.10	9.25	Uvítání
9.25	10.25	Úvod do síťové forenzní analýzy
10.25	10.45	Přestávka na kávu
10.45	12.05	Síťové toky a Netflow
12.05	12.45	Zajištění podkladů (část I)
12.45	13.45	Oběd
13.45	14.25	Zajištění podkladů (část II)
14.25	16.00	DNS – Domain Name System
Druhý den školení
9.00	10.00	Síťové protokoly
10.00	10.50	Závěrečný případ (část I)
10.50	11.10	Přestávka na kávu
11.10	12.40	Závěrečný případ (část II)
12.40	13.40	Oběd
13.40	14.30	Závěrečný případ (část III)
14.30	14.40	Ukončení kurzu

Úvod do síťové forenzní analýzy

Síťové toky a Netflow

Zajištění podkladů

Úplná data vs. flows
Kde lze data sbírat (koncový uzel, L2, TAP, SPAN, RSPAN, ERSPAN, virtualizace)
Výběr bodů pro nahrávání
Uložení dat (pcap, pcapng, způsoby záznamu)
Předzpracování (jak si vybrat jen data pro konkrétní subanalýzu)
Forenzní aspekty (původ dat, konzistence dat)
Přestavení nástrojů (tcpdump, netsh, vboxmanage, capinfos, editcap, mergecap, Wireshark, tshark) a jejich oblast vhodného použití
Praktické cvičení – řešení případu s nahráním a analýzou pořízených dat

DNS – Domain Name System

Základy DNS (typy záznamů, hierarchická struktura, zóny, vyhledávání)
DNS protokoly (basic, DoT, DoH, DoH+proxy)
Úskalí živého dotazování (fast flux, split horizon DNS, možnost prozrazení)
Využití DNS ve forenzní analýze (doménové jméno → IP [→ MAC], IP → doménové jméno)
Passive DNS (sběr dat + využití)
Nástroje pro analýzy (whois, dig, host, nslookup, kdig, curl, tshark, passivedns)
Praktické cvičení – řešení případu s využitím passivedns a FTAS

Protokoly

Závěrečný případ

Systematický přístup (supertimeline)
Vytvoření supertimeline (FTAS, tshark)
Práce se supertimeline (kvalifikované výběry)
Globální pohled (statistiky, agregace, anomálie)
Použití nástrojů (Wireshark, tshark)
Prezentace výsledků (připomenutí z Forenzního tréninku 1: Úvod do forenzní analýzy)
Praktické cvičení – praktický rozsáhlý případ, využívá znalosti z celého školení (vybraní absolventi prezentují své postupy)