Forenzní trénink 2: Síť
Na této stránce naleznete všechny potřebné informace o školení.
| Poznámka Toto školení není pořádáno v pravidelných intervalech – pokud máte zájem o účast, napište nám na sluzby@cesnet.cz. |
|---|
Základní informace
| Název školení | Forenzní trénink 2: Síť |
|---|---|
| Lektoři | Ing. Aleš Padrta, Ph.D., Ing. Martin Kylián |
| Popis školení | Dvoudenní školení dále rozvíjí základy představené v předchozím školení Forenzní trénink 1: Úvod do forenzní analýzy, konkrétně v oblasti analýzy síťového provozu. Účastníci se pod vedením zkušených lektorů naučí nejen potřebné principy a postupy, ale také si je rovnou vyzkouší v praktických „hands-on“ cvičeních v prostředí počítačové laboratoře. Kromě nezbytného teoretického úvodu se účastníci seznámí s postupy pro zajištění podkladů, analýzou toků v sítích (Netflow) a analýzou částečného i plného záznamu provozu (packet capture). Součástí školení bude také seznámení s jednotlivými nástroji používanými pro analýzu. |
| Součásti školení | Účastníci obdrží materiály používané během školení a certifikát o absolvování. Občerstvení během přestávek na kávu je zajištěno, stejně tak oběd během obou dnů. Večer prvního dne školení je k dispozici bezplatná a dobrovolná doplňková aktivita ve formě odborného večerního programu (Forensic Night @ CESNET). |
| Jazyk školení | Školení bude vedeno v českém jazyce. |
| Délka školení | 2 dny (12 hodin) |
| Požadované schopnosti | GNU/Linux (alespoň na uživatelské úrovni, znalost práce v příkazové řádce). Předchozí absolvování školení Forenzní trénink 1: Úvod do forenzní analýzy výhodou. |
Časový harmonogram
| První den školení | ||
|---|---|---|
| 8.50 | 9.10 | Registrace |
| 9.10 | 9.25 | Uvítání |
| 9.25 | 10.25 | Úvod do síťové forenzní analýzy |
| 10.25 | 10.45 | Přestávka na kávu |
| 10.45 | 12.05 | Síťové toky a Netflow |
| 12.05 | 12.45 | Zajištění podkladů (část I) |
| 12.45 | 13.45 | Oběd |
| 13.45 | 14.25 | Zajištění podkladů (část II) |
| 14.25 | 16.00 | DNS – Domain Name System |
| Druhý den školení | ||
| 9.00 | 10.00 | Síťové protokoly |
| 10.00 | 10.50 | Závěrečný případ (část I) |
| 10.50 | 11.10 | Přestávka na kávu |
| 11.10 | 12.40 | Závěrečný případ (část II) |
| 12.40 | 13.40 | Oběd |
| 13.40 | 14.30 | Závěrečný případ (část III) |
| 14.30 | 14.40 | Ukončení kurzu |
Popis výukových bloků
Úvod do síťové forenzní analýzy
- Připomenutí základů z FT1
- Specifika síťového provozu
- Různé úrovně podrobnosti záznamu
- Technické základy (ISO/OSI, IP adresa, MAC adresa, NAT)
- Zjišťování informací (whois, geolokace, výrobce MAC)
- Představení virtuální společnosti, ve které budou prováděná praktická cvičení
- Praktické cvičení – procvičení zjišťování informací
Síťové toky a Netflow
- Co je to flow, jeho obsah
- Jak a kde jsou flow získávána (včetně NAT)
- Ukládání flows, protokoly pro posílání, ukázka konfigurace prvků
- Specifika ukládání velkého množství dat
- Využití flow v praxi
- Indikátory kompromitace (IoC) + výhody síťových IoC
- Nástroje pro analýzu flow (FTAS)
- Praktické cvičení – řešení případu s využitím nástroje FTAS
Zajištění podkladů
- Úplná data vs. flows
- Kde lze data sbírat (koncový uzel, L2, TAP, SPAN, RSPAN, ERSPAN, virtualizace)
- Výběr bodů pro nahrávání
- Uložení dat (pcap, pcapng, způsoby záznamu)
- Předzpracování (jak si vybrat jen data pro konkrétní subanalýzu)
- Forenzní aspekty (původ dat, konzistence dat)
- Přestavení nástrojů (
tcpdump,netsh,vboxmanage,capinfos,editcap,mergecap, Wireshark,tshark) a jejich oblast vhodného použití - Praktické cvičení – řešení případu s nahráním a analýzou pořízených dat
DNS – Domain Name System
- Základy DNS (typy záznamů, hierarchická struktura, zóny, vyhledávání)
- DNS protokoly (basic, DoT, DoH, DoH+proxy)
- Úskalí živého dotazování (fast flux, split horizon DNS, možnost prozrazení)
- Využití DNS ve forenzní analýze (doménové jméno → IP [→ MAC], IP → doménové jméno)
- Passive DNS (sběr dat + využití)
- Nástroje pro analýzy (
whois,dig,host,nslookup,kdig,curl,tshark,passivedns) - Praktické cvičení – řešení případu s využitím
passivednsa FTAS
Protokoly
- Podrobnější pohled na ISO/OSI model
- Představení vybraných protokolů (ARP, ICMP, IP, UDP, TCP, HTTP, TLS)
- Představení nástrojů (
tcpflow,tcpxtract) - Praktické cvičení – HTTP protokol a dešifrování s RSA klíčem
Závěrečný případ
- Systematický přístup (supertimeline)
- Vytvoření supertimeline (FTAS,
tshark) - Práce se supertimeline (kvalifikované výběry)
- Globální pohled (statistiky, agregace, anomálie)
- Použití nástrojů (Wireshark,
tshark) - Prezentace výsledků (připomenutí z Forenzního tréninku 1: Úvod do forenzní analýzy)
- Praktické cvičení – praktický rozsáhlý případ, využívá znalosti z celého školení (vybraní absolventi prezentují své postupy)