Análisis forense de redes con Xplico

Hoy vamos a retomar el trabajo de los artículos en la web con Xplico, una herramienta muy potente para realizar análisis forense de redes, en sus siglas en inglés NFAT. ¿En qué consiste? Se encarga de recopilar el total de datos suministrados por analizadores de paquetes como Wireshark, tcdump, nmap o Snort, entre otros.

Sobre Xplico

En GNU Linux hay una larga lista de programas que nos pueden ayudar en nuestro día, respecto al área del análisis forense. Pues bien, con esta herramienta podremos reconstruir o recopilar toda la información de estos programas. Utiliza para ello una técnica llamada «Port Independent Protocol Identificacion» para resumir «PIPI», sí, en castellano, queda un poco feo 🙂

El programa es capaz de trabajar y filtrar multitud de protocolos, entre los que se encuentran HTTP, IMAP, POP, SMTP, MSN, IRC o VoIP. Para todo ello utiliza la interfaz de programación Pcap, para la captura de paquetes.

Se puede trabajar con la herramienta desde la shell o terminal, simplemente escribiendo xplico. Con un multitud de parámetros para nuestras necesidades. La herramienta almacena los resultados en un directorio llamado xdecode y la organiza en subdirectorios, por IP y protocolo.

Respecto al origen del nombre, proviene del verbo latín «explico», que en castellano viene a significar lo mismo. Sólo funciona sobre los sistemas del Ñu y el Pingüino. Es software libre, ya que utiliza una licencia GNU GPL.

Trabajando con Xplico 1.1.1

Para ver su funcionamiento lo instalaré en una máquina virtual. Si tenemos Ubuntu o Fedora, lo tenemos muy fácil. En el sistema del lagarto verde debemos seguir las indicamos de la Wiki. Yo voy a utilizar Ubuntu utilizando la versión 14.04, llamada Trusty, ya que con las más recientes no he conseguido que funcionase.

Simplemente debemos seguir las indicaciones:

  1. sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
  2. sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
  3. sudo apt-get update
  4. sudo apt-get install xplico

Una vez hecho esto podemos utilizar la IP más el puerto 9876 en el navegador:

xplico-ubuntu

El usuario es ‘admin’ y la contraseña ‘xplico’

La interfaz están en diferentes idiomas, entre los que se encuentra el castellano o español.

Hasta ahora hemos visto una pequeña explicación sobre el producto y también su instalación. En siguientes capítulos veremos algunos casos de uso. ¡Estad atentos!

2 Respuestas

  1. Softodnamra dice:

    Hola:?!
    Necesito un poco de ayuda con esto del xplico… Tengo instalado el httpd (apache) en fedora 27 pero desde que instale el xplico me da un error y no levanta el httpd.
    Este es el error:
    abr 14 16:42:57 netadmon.asistur.cu systemd[1]: Starting The Apache HTTP Server…
    abr 14 16:43:10 netadmon.asistur.cu httpd[1172]: AH00526: Syntax error on line 9 of /etc/httpd/conf.d/xplico.conf:
    Invalid command ‘php_admin_value’, perhaps misspelled or defined by a module not included in the server configuration
    httpd.service: Main process exited, code=exited, status=1/FAILURE
    Failed to start The Apache HTTP Server.
    httpd.service: Unit entered failed state.
    httpd.service: Failed with result ‘exit-code’.

    La linea 9 lo que tiene es esto:
    php_admin_value open_basedir /opt/xplico/xi:/opt/xplico:/run:/tmp:/usr/bin:/etc/php/:/etc/php5/

    y no se como resolverlo

    Me pueden Ayudar?

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.