Forenzní trénink II – sylabus
Úvod do síťové forenzní analýzy
Připomenutí základů z FT1
Specifika síťového provozu
Různé úrovně podrobnosti záznamu
Technické základy (ISO/OSI, IP adresa, MAC adresa, NAT)
Zjišťování informací (whois, geolokace, výrobce MAC)
Přestavení virtuální společnosti, ve které budou prováděná praktická cvičení
Praktické cvičení – procvičení zjišťování informací
Síťové toky a Netflow
Co je to flow, jeho obsah
Jak a kde jsou flow získávána (včetně NAT)
Ukládání flows, protokoly pro posílání, ukázka konfigurace prvků
Specifika ukládání velkého množství dat
Využití flow v praxi
Indikátory kompromitace (IoC) + výhody síťových IoC
Nástroje pro analýzu flow (FTAS)
Praktické cvičení – řešení případu s využitím nástroje FTAS
Zajištění podkladů
Úplná data vs. flows
Kde lze data sbírat (koncový uzel, L2, TAP, SPAN, RSPAN, ERSPAN,virtualizace)
Výběr bodů pro nahrávání
Uložení dat (pcap, pcapng, způsoby záznamu)
Předzpracování (jak si vybrat jen data pro konkrétní subanalýzu)
Forenzní aspekty (původ data, konzistence dat)
Přestavení nástrojů (tcpdump, netsh, vboxmanage, capinfos, editcap,mergecap, wireshark) a jejich oblast vhodného použití
Praktické cvičení – řešení případu s nahráním a analýzou pořízených dat
DNS – Domain name system
Základy DNS (typy záznamů, hierarchická struktura, zóny, vyhledávání)
DNS protokoly (basic, DoT, DoH, DoH+proxy)
Úskalí živého dotazování (fast flux, split horizon DNS, možnost prozrazení)
Využití DNS v FA (doménové jméno -> IP [-> MAC], IP -> doménové jméno)
Passive DNS (sběr dat + využití)
Nástroje pro analýzy (whois, dig, host, nslookup, kdig, curl, tshark, passivedns)
Praktické cvičení – řešení případu s využitím passivedns a FTAS
Protokoly
Podrobnější pohled na ISO/OSI model
Představení vybraných protokolů (ARP, ICMP, IP, UDP, TCP, HTTP, TLS)
Přestavení nástrojů (tcpflow, tcpxtract)
Praktické cvičení – HTTP protokol a dešifrování s RSA klíčem
Závěrečný případ
Systematický přístup (supertimeline)
Vytvoření supertimeline (FTAS, tshark)
Práce se supertimeline (kvalifikované výběry)
Globální pohled (statistiky, agregace, anomálie)
Použití nástrojů (Wireshar, tshark)
Prezentace výsledků (připomenutí z FT1)
Praktické cvičení – praktický rozsáhlý případ, využívá znalosti z celého školení (vybraní absolventi prezentují své postupy)
Poslední změna: 18.1.2022