Xplico namestitev
Xplico je lahko na prvi pogled morda malce sporna aplikacija, ki omogoča analizo Internet prometa in pregled vsebine posameznih protokolov (POP,IMAP,SMTP,HTTP…). Razvijalci so program opisali kot odprtokodni Network Forensic Analysis Tool (NFAT), ki odlično služi pri analizi varnostnih incidentov v okolju. Program omogoča zajem mrežnega prometa v realnem časa ali pa analizo shranjene PCAP datoteke.
S programom sem se prvič srečal pri uporabi distribucije DEFT Linux LiveCD, pred kratkim pa sem se začel igrati z Xplico VirtualBox distribucijo, ki omogoča hitro in enostavno namestitev in uporabo tega zanimivega programa. V nadaljevanju dokumenta je opisana namestitev in osnovna uporaba programa.
Pri uporabi virtualnega Xplico okolja so se razvijalci odločili za platformo VirtualBox. Predlagam namestitev nove različice VirtualBox 4, s prejšnjo različico (v3.2) sem namreč imel težave pri namestitvi. Prenesemo še virtualno distribucijo Xplico programske opreme (pozor datoteka je precej velika – 4,4GB). Virtualno okolje je zgrajeno okoli Debia linux platforme.
Sedaj lahko v VirtualBox aplikativni opremi uvozimo Xplico virtualno okolje.
Zaradi hitrejšega delovanja virtualnega sistema, sem povečal osnovno vrednost pomnilnika iz 256MB na 1024MB (kakšno vrednost boste izbrali, vi je odvisno od zmogljivosti vašega sistema). Uvoz virtualnega sistema je časovno kar zahteven proces. Na mojem prenosniku je bilo potrebno 20 minut.
Po zaključku lahko zaženemo Xplico virtualno okolje.
Ko se zaključi nalaganje sistema nas pričaka osnovno prijavno okno. Za prijavo uporabimo uporabniško ime "xplico" in geslo "xplico".
Po prijavi v sistem dobimo Debian GNOME osnovno namizno okolje. Pomembni sta predvsem dve ikoni. XPLICO – Firefox za zagon aplikacije in "sample.captures" datoteka, ki jo bomo kasneje uporabili za uvoz teste PCAP datoteke.
V okviru virtualnega Xplico okolja se aplikacije ne zažene sama zato jo je potrebno zagnati preko komandnega okna. Ker smo se prijavili kot uporabnik "xplico" je najprej potrebno uporabiti komando "su", da se prijavimo kot root uporabnik ( geslo za root je "xplico"). Nato izvedemo naslednji ukaz:
/opt/xplico/script/sqlite_demo.sh
Nato kliknemo na XPLICO-firefox ikono, ki nas popelje na prijavno okno Xplico aplikacije.
Za prijavo zopet uporabimo uporabniško ime "xplico" in geslo "xplico" in lahko pričnemo z uporabo aplikacije. Virtualno okolje že ima vključeno testno sejo (Xplico to imenuje "case/sessions") "test1/samplesession". S klikom na ime seje dobimo podrobnejšo analizo prometa po različnih protokolih in vsebinah.
Kot smo že omenili na začetku Xplico omogoča analizo prometa preko zajema mrežne kartice (pomemben element je izbira delovanja mrežne kartice preko VirtualBox aplikacija, osnovna opcija pri namestitvi je "bridget networking", za zajem preko mrežne kartice izberite NAT opcijo) ali pa analiza že zajetih podatkov preko PCAP datoteke. PCAP datoteko lahko pridobimo preko aplikacij kot je Wireshark, Networkminer in podobno. Za začetek nove analize podatkov izberemo v meniju "New case", kjer se odločim za enega od načinov.
In to je več ali manj vse kar je potrebno narediti za uspešno uporabo Xplico aplikacije. Odgovorno pa predvsem z vsebino analiziranih podatkov, ki jih Xplico ponuja. Saj poznate tisto "zloraba se strogo kaznuje".