Análisis forense de redes con Xplico
Hoy vamos a retomar el trabajo de los artículos en la web con Xplico, una herramienta muy potente para realizar análisis forense de redes, en sus siglas en inglés NFAT. ¿En qué consiste? Se encarga de recopilar el total de datos suministrados por analizadores de paquetes como Wireshark, tcdump, nmap o Snort, entre otros.
Sobre Xplico
En GNU Linux hay una larga lista de programas que nos pueden ayudar en nuestro día, respecto al área del análisis forense. Pues bien, con esta herramienta podremos reconstruir o recopilar toda la información de estos programas. Utiliza para ello una técnica llamada «Port Independent Protocol Identificacion» para resumir «PIPI», sí, en castellano, queda un poco feo 🙂
El programa es capaz de trabajar y filtrar multitud de protocolos, entre los que se encuentran HTTP, IMAP, POP, SMTP, MSN, IRC o VoIP. Para todo ello utiliza la interfaz de programación Pcap, para la captura de paquetes.
Se puede trabajar con la herramienta desde la shell o terminal, simplemente escribiendo xplico. Con un multitud de parámetros para nuestras necesidades. La herramienta almacena los resultados en un directorio llamado xdecode y la organiza en subdirectorios, por IP y protocolo.
Respecto al origen del nombre, proviene del verbo latín «explico», que en castellano viene a significar lo mismo. Sólo funciona sobre los sistemas del Ñu y el Pingüino. Es software libre, ya que utiliza una licencia GNU GPL.
Trabajando con Xplico 1.1.1
Para ver su funcionamiento lo instalaré en una máquina virtual. Si tenemos Ubuntu o Fedora, lo tenemos muy fácil. En el sistema del lagarto verde debemos seguir las indicamos de la Wiki. Yo voy a utilizar Ubuntu utilizando la versión 14.04, llamada Trusty, ya que con las más recientes no he conseguido que funcionase.
Simplemente debemos seguir las indicaciones:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
Una vez hecho esto podemos utilizar la IP más el puerto 9876 en el navegador:
El usuario es ‘admin’ y la contraseña ‘xplico’
La interfaz están en diferentes idiomas, entre los que se encuentra el castellano o español.
Hasta ahora hemos visto una pequeña explicación sobre el producto y también su instalación. En siguientes capítulos veremos algunos casos de uso. ¡Estad atentos!
Hola:?!
Necesito un poco de ayuda con esto del xplico… Tengo instalado el httpd (apache) en fedora 27 pero desde que instale el xplico me da un error y no levanta el httpd.
Este es el error:
abr 14 16:42:57 netadmon.asistur.cu systemd[1]: Starting The Apache HTTP Server…
abr 14 16:43:10 netadmon.asistur.cu httpd[1172]: AH00526: Syntax error on line 9 of /etc/httpd/conf.d/xplico.conf:
Invalid command ‘php_admin_value’, perhaps misspelled or defined by a module not included in the server configuration
httpd.service: Main process exited, code=exited, status=1/FAILURE
Failed to start The Apache HTTP Server.
httpd.service: Unit entered failed state.
httpd.service: Failed with result ‘exit-code’.
La linea 9 lo que tiene es esto:
php_admin_value open_basedir /opt/xplico/xi:/opt/xplico:/run:/tmp:/usr/bin:/etc/php/:/etc/php5/
y no se como resolverlo
Me pueden Ayudar?
Hola,
Has pensando revisar si dichas rutas existen?
En cualquier caso, si tengo un momento le echo un vistazo.
Saludos