como leer el trafico https en wireshark 2

Cómo leer el tráfico HTTPS en Wireshark

Wireshark es un popular analizador de paquetes de código abierto que ofrece una amplia gama de características convenientes para el análisis de redes, resolución de problemas, educación y mucho más. Las personas que quieren usar Wireshark por primera vez y aquellos que ya tienen experiencia con él, a menudo se preguntan acerca de cómo leer el tráfico HTTPS.

Cómo leer el tráfico HTTPS en Wireshark

Si eres uno de ellos, has venido al lugar correcto. Aquí, explicaremos qué es HTTPS y cómo funciona. Luego, analizaremos si puede leer el tráfico HTTPS, por qué podría ser un problema y qué puede hacer al respecto.

¿Qué es HTTPS?

Hypertext Transfer Protocol Secure (HTTPS) representa una versión segura de HTTP que garantiza la transferencia de datos y la comunicación seguras entre un navegador web y un sitio web.

HTTPS garantiza la seguridad y evita las escuchas ilegales, los robos de identidad, los ataques de intermediarios y otras amenazas a la seguridad. En estos días, cualquier sitio web que le solicite ingresar su información o crear una cuenta cuenta con HTTPS para protegerlo.

HTTPS protege de amenazas de seguridad y ataques maliciosos al cifrar todos los intercambios entre un navegador web y un servidor.

Es importante aclarar que HTTPS no está separado de HTTP. Más bien, es una variante de HTTP que usa encriptación específica como Secure Socket Layer (SSL) y Transport Layer Security (TLS) para asegurar la comunicación. Cuando un navegador web y un servidor web se comunican a través de HTTPS, se involucran en un protocolo de enlace SSL/TLS, es decir, un intercambio de certificados de seguridad.

¿Cómo puede saber si su comunicación con un sitio web está protegida con HTTPS? Basta con mirar la barra de direcciones. Si ve «https» al comienzo de la URL, su conexión es segura.

Wireshark Cómo leer el tráfico HTTPS

Una de las principales características de HTTPS es que está encriptado. Si bien esto es una ventaja cuando compra en línea o deja información personal en un sitio web, puede ser un inconveniente cuando realiza un seguimiento para monitorear el tráfico web y analizar su red.

Dado que HTTPS está encriptado, no hay forma de leerlo en Wireshark. Pero puede mostrar paquetes SSL y TLS y descifrarlos a HTTPS.

Siga estos pasos para leer paquetes SSL y TLS en Wireshark:

  1. Abra Wireshark y elija lo que le gustaría capturar en el menú «Capturar».
  2. En el panel «Lista de paquetes», concéntrese en la columna «Protocolo» y busque «SSL».
  3. Busque el paquete SSL o TLS que le interese y ábralo.

Cómo descifrar SSL en Wireshark

La forma recomendada de descifrar SSL es usar una clave secreta premaestra. Deberá completar estos cuatro pasos:

  • Establecer una variable de entorno.
  • Inicie su navegador.
  • Configure sus ajustes en Wireshark.
  • Capture y descifre claves de sesión.

Repasemos cada paso con más detalle.

Establecer una variable de entorno

Una variable de entorno es un valor que determina cómo su computadora maneja diferentes procesos. Si desea descifrar SSL y TLS, primero debe configurar correctamente una variable de entorno. Cómo harás esto depende de tu sistema operativo.

Establecer una variable de entorno en Windows

Los usuarios de Windows deben seguir estos pasos para establecer una variable de entorno:

  1. Inicie el menú Inicio.
  2. Abra el «Panel de control».
  3. Vaya a «Sistema y seguridad».
  4. Elija «Sistema».
  5. Desplácese hacia abajo y seleccione «Configuración avanzada del sistema».
  6. Vuelva a verificar si está en la sección «Avanzado» y presione «Variables de entorno».
  7. Presione «Nuevo» en «Variables de usuario».
  8. Escriba «SSLKEYLOGFILE» en «Nombre de variable».
  9. En «Valor de la variable», ingrese o explore la ruta al archivo de registro.
  10. Presiona OK.»

Establecer una variable de entorno en Mac o Linux

Si es usuario de Linux o Mac, deberá usar nano para establecer una variable de entorno.

Los usuarios de Linux deben abrir una terminal e ingresar este comando: “nano ~/ .bashrc”. Los usuarios de Mac deben abrir Launchpad, presionar «Otro» e iniciar una terminal. Luego, deben ingresar este comando: “nano ~/ .bash_profile”.

Tanto los usuarios de Linux como los de Mac deben seguir estos pasos para continuar:

  1. Agregue este archivo al final del archivo: «export SSLKEYLOGFILE=~/.ssl-key.log».
  2. Guarde sus cambios.
  3. Cierra la ventana de la terminal e inicia otra. Ingrese esta línea: «echo $SSKEYLOGFILE».
  4. Ahora debería ver la ruta completa a su registro de clave maestra previa de SSL. Copie esta ruta para guardarla para más adelante, ya que deberá ingresarla en Wireshark.

Inicie su navegador

El segundo paso es iniciar su navegador para asegurarse de que se está utilizando el archivo de registro. Debe abrir su navegador y visitar un sitio web habilitado para SSL.

Después de haber visitado dicho sitio web, verifique su archivo en busca de datos. En Windows, debe usar el Bloc de notas, mientras que en Mac y Linux, debe usar este comando: «cat ~/ .ssl-log.key».

Configurar Wireshark

Una vez que haya establecido que su navegador está registrando claves maestras previas en la ubicación deseada, es hora de configurar Wireshark. Después de la configuración, Wireshark debería poder usar las claves para descifrar SSL.

Siga los pasos a continuación para hacerlo:

  1. Inicie Wireshark y vaya a «Editar».
  2. Haga clic en «Preferencias».
  3. Expanda «Protocolos».
  4. Desplácese hacia abajo y seleccione «SSL».
  5. Busque «(Pre)-Master Secret log file name» e ingrese la ruta que configuró en el primer paso.
  6. Presiona OK.»

Capturar y descifrar claves de sesión

Ahora que ha configurado todo, es hora de verificar si Wireshark descifra SSL. Esto es lo que debe hacer:

  1. Inicie Wireshark e inicie una sesión de captura sin filtrar.
  2. Minimice la ventana de Wireshark y abra su navegador.
  3. Vaya a cualquier sitio web seguro para obtener datos.
  4. Regrese a Wireshark y seleccione cualquier marco con datos encriptados.
  5. Busque «Vista de bytes de paquete» y mire los datos «SSL descifrado». HTML ahora debería estar visible.

¿Qué características convenientes ofrece Wireshark?

Una de las razones por las que Wireshark es un analizador de paquetes de red líder es que ofrece una amplia gama de opciones convenientes que mejoran su experiencia de usuario. Éstos son algunos de ellos:

Codificación de color

Pasar por grandes cantidades de información puede llevar mucho tiempo y ser agotador. Wireshark intenta ayudarlo a distinguir diferentes tipos de paquetes con un sistema de codificación de colores único. Aquí puede ver los colores predeterminados para los principales tipos de paquetes:

  • Azul claro – UDP
  • Púrpura claro – TCP
  • Verde claro: tráfico HTTP
  • Amarillo claro: tráfico específico de Windows (incluidos Server Message Blocks (SMB) y NetBIOS
  • Amarillo oscuro – Enrutamiento
  • Gris oscuro: tráfico TCP SYN, ACK y FIN
  • Negro: paquetes que contienen un error

Puede ver el esquema de color completo yendo a «Ver» y seleccionando «Reglas de color».

Wireshark le permite personalizar sus propias reglas de color según sus preferencias en la misma configuración. Si no desea colorear, cambie el botón de alternar junto a «Colorear lista de paquetes».

Métricas y Estadísticas

Wireshark ofrece varias opciones para obtener más información sobre su captura. Estas opciones se encuentran en el menú «Estadísticas» en la parte superior de la ventana.

Según lo que le interese, puede revisar las estadísticas sobre las propiedades del archivo de captura, las direcciones resueltas, la longitud de los paquetes, los puntos finales y mucho más.

Línea de comando

Si tiene un sistema que no tiene una interfaz gráfica de usuario (GUI), le alegrará saber que Wireshark tiene una.

Modo promiscuo

De manera predeterminada, Wireshark le permite capturar paquetes que van y vienen de la computadora que está usando. Pero, si habilita el modo promiscuo, puede capturar la mayor parte del tráfico en toda la red de área local (LAN).

Preguntas más frecuentes

¿Puedo filtrar paquetes de datos en Wireshark?

Sí, Wireshark ofrece opciones de filtrado avanzadas que le permiten mostrar información relevante en unos segundos.

La plataforma cuenta con dos tipos de filtros: captura y visualización. Los filtros de captura se utilizan durante la captura de datos. Puede configurarlos antes de iniciar una captura de paquetes y no puede modificarlos durante el proceso. Estos filtros representan una manera fácil de buscar rápidamente los datos que le interesan. Si Wireshark captura datos que no coinciden con sus filtros establecidos, no los mostrará.

Los filtros de visualización se aplican después del proceso de captura. A diferencia de los filtros de captura que descartan datos que no coinciden con los criterios establecidos, los filtros de visualización simplemente ocultan estos datos de la lista. Esto le brinda una vista más clara de la captura y le permite encontrar fácilmente lo que está buscando.

Si usa muchos filtros en Wireshark y tiene problemas para recordarlos, le alegrará saber que Wireshark le permite guardas tus filtros. De esa forma, no tiene que preocuparse por olvidar la sintaxis correcta o aplicar el filtro incorrecto. Puede guardar su filtro presionando el icono de marcador junto al campo Filtro.

Análisis de redes maestras con Wireshark

Gracias a sus impresionantes opciones de análisis de paquetes, Wireshark le permite obtener una visión detallada del tráfico que va y viene de su red. Aunque ofrece funciones avanzadas, Wireshark cuenta con una interfaz simple e intuitiva, por lo que incluso aquellos que son nuevos en el mundo del análisis de paquetes aprenderán rápidamente las cuerdas. Leer el tráfico HTTPS puede no ser sencillo, pero es posible si descifra los paquetes SSL.

¿Qué es lo que más te gusta de Wireshark? ¿Alguna vez has tenido algún problema con él? Cuéntanos en la sección de comentarios a continuación.