Forenzní trénink II. – sylabus

Úvod do síťové forenzní analýzy

  • Připomenutí základů z FT1
  • Specifika síťového provozu
  • Různé úrovně podrobnosti záznamu
  • Technické základy (ISO/OSI, IP adresa, MAC adresa, NAT)
  • Zjišťování informací (whois, geolokace, výrobce MAC)
  • Představení virtuální společnosti, ve které budou prováděná praktická cvičení
  • Praktické cvičení – procvičení zjišťování informací

Síťové toky a Netflow

  • Co je to flow, jeho obsah
  • Jak a kde jsou flow získávána (včetně NAT)
  • Ukládání flows, protokoly pro posílání, ukázka konfigurace prvků
  • Specifika ukládání velkého množství dat
  • Využití flow v praxi
  • Indikátory kompromitace (IoC) + výhody síťových IoC
  • Nástroje pro analýzu flow (FTAS)
  • Praktické cvičení – řešení případu s využitím nástroje FTAS

 Zajištění podkladů

  • Úplná data vs. flows
  • Kde lze data sbírat (koncový uzel, L2, TAP, SPAN, RSPAN, ERSPAN, virtualizace)
  • Výběr bodů pro nahrávání
  • Uložení dat (pcap, pcapng, způsoby záznamu)
  • Předzpracování (jak si vybrat jen data pro konkrétní subanalýzu)
  • Forenzní aspekty (původ dat, konzistence dat)
  • Přestavení nástrojů (tcpdump, netsh, vboxmanage, capinfos, editcap, mergecap, Wireshark) a jejich oblast vhodného použití
  • Praktické cvičení – řešení případu s nahráním a analýzou pořízených dat

DNS – Domain Name System

  • Základy DNS (typy záznamů, hierarchická struktura, zóny, vyhledávání)
  • DNS protokoly (basic, DoT, DoH, DoH+proxy)
  • Úskalí živého dotazování (fast flux, split horizon DNS, možnost prozrazení)
  • Využití DNS v FA (doménové jméno -> IP [-> MAC], IP -> doménové jméno)
  • Passive DNS (sběr dat + využití)
  • Nástroje pro analýzy (whois, dig, host, nslookup, kdig, curl, tshark, passivedns)
  • Praktické cvičení – řešení případu s využitím passivedns a FTAS

Protokoly

  • Podrobnější pohled na ISO/OSI model
  • Představení vybraných protokolů (ARP, ICMP, IP, UDP, TCP, HTTP, TLS)
  • Představení nástrojů (tcpflow, tcpxtract)
  • Praktické cvičení – HTTP protokol a dešifrování s RSA klíčem

Závěrečný případ

  • Systematický přístup (supertimeline)
  • Vytvoření supertimeline (FTAS, tshark)
  • Práce se supertimeline (kvalifikované výběry)
  • Globální pohled (statistiky, agregace, anomálie)
  • Použití nástrojů (Wireshark, tshark)
  • Prezentace výsledků (připomenutí z FT1)
  • Praktické cvičení – praktický rozsáhlý případ, využívá znalosti z celého školení (vybraní absolventi prezentují své postupy)

Poslední změna: 30.3.2022