Forenzní trénink II. – sylabus
Úvod do síťové forenzní analýzy
- Připomenutí základů z FT1
- Specifika síťového provozu
- Různé úrovně podrobnosti záznamu
- Technické základy (ISO/OSI, IP adresa, MAC adresa, NAT)
- Zjišťování informací (whois, geolokace, výrobce MAC)
- Představení virtuální společnosti, ve které budou prováděná praktická cvičení
- Praktické cvičení – procvičení zjišťování informací
Síťové toky a Netflow
- Co je to flow, jeho obsah
- Jak a kde jsou flow získávána (včetně NAT)
- Ukládání flows, protokoly pro posílání, ukázka konfigurace prvků
- Specifika ukládání velkého množství dat
- Využití flow v praxi
- Indikátory kompromitace (IoC) + výhody síťových IoC
- Nástroje pro analýzu flow (FTAS)
- Praktické cvičení – řešení případu s využitím nástroje FTAS
Zajištění podkladů
- Úplná data vs. flows
- Kde lze data sbírat (koncový uzel, L2, TAP, SPAN, RSPAN, ERSPAN, virtualizace)
- Výběr bodů pro nahrávání
- Uložení dat (pcap, pcapng, způsoby záznamu)
- Předzpracování (jak si vybrat jen data pro konkrétní subanalýzu)
- Forenzní aspekty (původ dat, konzistence dat)
- Přestavení nástrojů (tcpdump, netsh, vboxmanage, capinfos, editcap, mergecap, Wireshark) a jejich oblast vhodného použití
- Praktické cvičení – řešení případu s nahráním a analýzou pořízených dat
DNS – Domain Name System
- Základy DNS (typy záznamů, hierarchická struktura, zóny, vyhledávání)
- DNS protokoly (basic, DoT, DoH, DoH+proxy)
- Úskalí živého dotazování (fast flux, split horizon DNS, možnost prozrazení)
- Využití DNS v FA (doménové jméno -> IP [-> MAC], IP -> doménové jméno)
- Passive DNS (sběr dat + využití)
- Nástroje pro analýzy (whois, dig, host, nslookup, kdig, curl, tshark, passivedns)
- Praktické cvičení – řešení případu s využitím passivedns a FTAS
Protokoly
- Podrobnější pohled na ISO/OSI model
- Představení vybraných protokolů (ARP, ICMP, IP, UDP, TCP, HTTP, TLS)
- Představení nástrojů (tcpflow, tcpxtract)
- Praktické cvičení – HTTP protokol a dešifrování s RSA klíčem
Závěrečný případ
- Systematický přístup (supertimeline)
- Vytvoření supertimeline (FTAS, tshark)
- Práce se supertimeline (kvalifikované výběry)
- Globální pohled (statistiky, agregace, anomálie)
- Použití nástrojů (Wireshark, tshark)
- Prezentace výsledků (připomenutí z FT1)
- Praktické cvičení – praktický rozsáhlý případ, využívá znalosti z celého školení (vybraní absolventi prezentují své postupy)
Poslední změna: 30.3.2022