Análisis forense de redes con Xplico

Hoy vamos a retomar el trabajo de los artículos en la web con Xplico, una herramienta muy potente para realizar análisis forense de redes, en sus siglas en inglés NFAT. ¿En qué consiste? Se encarga de recopilar el total de datos suministrados por analizadores de paquetes como Wireshark, tcdump, nmap o Snort, entre otros.

Sobre Xplico

En GNU Linux hay una larga lista de programas que nos pueden ayudar en nuestro día, respecto al área del análisis forense. Pues bien, con esta herramienta podremos reconstruir o recopilar toda la información de estos programas. Utiliza para ello una técnica llamada «Port Independent Protocol Identificacion» para resumir «PIPI», sí, en castellano, queda un poco feo 🙂

El programa es capaz de trabajar y filtrar multitud de protocolos, entre los que se encuentran HTTP, IMAP, POP, SMTP, MSN, IRC o VoIP. Para todo ello utiliza la interfaz de programación Pcap, para la captura de paquetes.

Se puede trabajar con la herramienta desde la shell o terminal, simplemente escribiendo xplico. Con un multitud de parámetros para nuestras necesidades. La herramienta almacena los resultados en un directorio llamado xdecode y la organiza en subdirectorios, por IP y protocolo.

Respecto al origen del nombre, proviene del verbo latín «explico», que en castellano viene a significar lo mismo. Sólo funciona sobre los sistemas del Ñu y el Pingüino. Es software libre, ya que utiliza una licencia GNU GPL.

Trabajando con Xplico 1.1.1

Para ver su funcionamiento lo instalaré en una máquina virtual. Si tenemos Ubuntu o Fedora, lo tenemos muy fácil. En el sistema del lagarto verde debemos seguir las indicamos de la Wiki. Yo voy a utilizar Ubuntu utilizando la versión 14.04, llamada Trusty, ya que con las más recientes no he conseguido que funcionase.

Simplemente debemos seguir las indicaciones:

  1. sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
  2. sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
  3. sudo apt-get update
  4. sudo apt-get install xplico

Una vez hecho esto podemos utilizar la IP más el puerto 9876 en el navegador:

xplico-ubuntu

El usuario es ‘admin’ y la contraseña ‘xplico’

La interfaz están en diferentes idiomas, entre los que se encuentra el castellano o español.

Hasta ahora hemos visto una pequeña explicación sobre el producto y también su instalación. En siguientes capítulos veremos algunos casos de uso. ¡Estad atentos!