Cómo leer el tráfico HTTPS en Wireshark

Cómo leer el tráfico HTTPS en Wireshark

Wireshark es un popular analizador de paquetes de código abierto que ofrece una amplia gama de características convenientes para el análisis de redes, la solución de problemas, la educación y mucho más. Las personas que desean usar Wireshark por primera vez y aquellos que ya tienen experiencia con él a menudo se preguntan sobre leer el tráfico HTTPS.

Si eres uno de ellos, has venido al lugar correcto. Aquí, explicaremos qué es HTTPS y cómo funciona. Luego, discutiremos si puede leer el tráfico HTTPS, por qué eso podría ser un problema y qué puede hacer al respecto.

Que es https?

Protocolo de transferencia de hipertexto Secure (HTTPS) representa una versión segura de HTTP que garantiza la transferencia de datos segura y la comunicación entre un navegador web y un sitio web.

HTTPS garantiza la seguridad y evita la espía, los robos de identidad, los ataques del hombre en el medio y otras amenazas de seguridad. En estos días, cualquier sitio web que le solicite que ingrese su información o cree una cuenta presente HTTPS para protegerlo.

HTTPS protege de amenazas de seguridad y ataques maliciosos al encriptar todos los intercambios entre un navegador web y un servidor.

Es importante aclarar que HTTPS no está separado de HTTP. Más bien, es una variante HTTP que utiliza un cifrado específico como la capa de enchufe segura (SSL) y la seguridad de la capa de transporte (TLS) para asegurar la comunicación. Cuando un navegador web y un servidor web se comunican a través de HTTPS, participan en un apretón de manos SSL/TLS, yo.mi., un intercambio de certificados de seguridad.

¿Cómo puede saber si su comunicación a un sitio web está asegurada con https?? Simplemente mire la barra de direcciones. Si ve "https" al comienzo de la URL, su conexión es segura.

Wireshark cómo leer el tráfico HTTPS

Una de las principales características de HTTPS es que está encriptada. Si bien esta es una ventaja cuando compra en línea o deja información personal en un sitio web, puede ser un inconveniente cuando está rastreando para monitorear el tráfico web y analizar su red.

Dado que HTTPS está encriptado, no hay forma de leerlo en Wireshark. Pero puede mostrar paquetes SSL y TLS y descifrarlos a HTTPS.

Siga estos pasos para leer los paquetes SSL y TLS en Wireshark:

  1. Abra Wireshark y elija lo que le gustaría capturar en el menú "Captura".
  2. En el panel "Lista de paquetes", concéntrese en la columna "Protocolo" y busque "SSL."
  3. Encuentra el paquete SSL o TLS que te interesa y ábralo.

Cómo descifrar SSL en Wireshark

La forma recomendada de descifrar SSL es usar una clave secreta pre-maestro. Tendrá que completar estos cuatro pasos:

  • Establecer una variable de entorno.
  • Lanza tu navegador.
  • Configure su configuración en Wireshark.
  • Capturar y descifrar claves de sesión.

Pasemos cada paso con más detalle.

Establecer una variable de entorno

Una variable de entorno es un valor que determina cómo su computadora maneja diferentes procesos. Si desea descifrar SSL y TLS, primero debe establecer correctamente una variable de entorno. Cómo lo harás depende de tu sistema operativo.

Establezca una variable de entorno en Windows

Los usuarios de Windows deben seguir estos pasos para establecer una variable de entorno:

  1. Iniciar el menú de inicio.
  2. Abrir "Panel de control."
  3. Ir a "Sistema y seguridad."
  4. Elija "Sistema."
  5. Desplácese hacia abajo y seleccione "Configuración avanzada del sistema."
  6. Verifique dos veces si está en la sección "avanzada" y presione "Variables de entorno."
  7. Presione "nuevo" en "Variables de usuario."
  8. Escriba "SSLKeyLogFile" en "Nombre de la variable."
  9. En "Valor variable", ingrese o navegue la ruta al archivo de registro.
  10. Presiona OK."

Establezca una variable de entorno en Mac o Linux

Si es un usuario de Linux o Mac, deberá usar Nano para establecer una variable de entorno.

Los usuarios de Linux deben abrir un terminal e ingresar este comando: "Nano ~/ .bashrc ". Los usuarios de MAC deben abrir LaunchPad, presionar "Otro" y iniciar un terminal. Entonces, deben ingresar a este comando: "Nano ~/ .bash_profile ".

Los usuarios de Linux y Mac deben seguir estos pasos para continuar:

  1. Agregue este archivo al final del archivo: “Exportar sslkeylogFile = ~/.ssl-key.registro".
  2. Guarde sus cambios.
  3. Cierre la ventana de la terminal y inicie otra. Ingrese esta línea: "Echo $ sskeylogfile".
  4. Ahora debería ver la ruta completa a su registro de teclas pre-maestro SSL. Copie esta ruta para guardarlo para más adelante, ya que deberá ingresarlo en Wireshark.

Lanza tu navegador

El segundo paso es iniciar su navegador para asegurarse de que se esté utilizando el archivo de registro. Debe abrir su navegador y visitar un sitio web habilitado para SSL.

Después de visitar dicho sitio web, consulte su archivo para obtener datos. En Windows, debe usar el bloc de notas, mientras que en Mac y Linux, debe usar este comando: "Cat ~/ .SSL-LOG.llave".

Configurar Wireshark

Una vez que haya establecido su navegador está registrando claves previas al maestro en la ubicación deseada, es hora de configurar Wireshark. Después de configurar, Wireshark debería poder usar las teclas para descifrar SSL.

Siga los pasos a continuación para hacerlo:

  1. Inicie Wireshark y vaya a "Editar."
  2. Haga clic en "Preferencias."
  3. Expandir "protocolos."
  4. Desplácese hacia abajo y seleccione "SSL."
  5. Encuentre "(Pre) -Master Secret Log Name" e ingrese la ruta que configuró en el primer paso.
  6. Presiona OK."

Capturar y descifrar claves de sesión

Ahora que ha configurado todo, es hora de verificar si Wireshark descifra SSL. Esto es lo que debes hacer:

  1. Inicie Wireshark y comience una sesión de captura sin filtro.
  2. Minimice la ventana de Wireshark y abra su navegador.
  3. Vaya a cualquier sitio web seguro para obtener datos.
  4. Regrese a Wireshark y seleccione cualquier cuadro con datos cifrados.
  5. Encuentre "Vista de byte de paquetes" y mire los datos "Decryptados SSL". Html ahora debería ser visible.

¿Qué características convenientes ofrece Wireshark??

Una de las razones por las que Wireshark es un analizador de paquetes de red líder es que ofrece una amplia gama de opciones convenientes que mejoran su experiencia de usuario. Éstos son algunos de ellos:

Codificación de color

Pasar por grandes cantidades de información puede llevar mucho tiempo y agotador. Wireshark intenta ayudarlo a distinguir diferentes tipos de paquetes con un sistema de codificación de colores único. Aquí, puede ver los colores predeterminados para los principales tipos de paquetes:

  • Azul claro - UDP
  • Púrpura ligera - TCP
  • Verde claro - tráfico HTTP
  • Amarillo claro: tráfico específico de Windows (incluidos los bloques de mensajes del servidor (SMB) y Netbios
  • Amarillo oscuro - enrutamiento
  • Gris oscuro - tcp syn, ack y tráfico de aletas
  • Negro: paquetes que contienen un error

Puede ver todo el esquema de coloración yendo a "Ver" y seleccionando "Reglas de coloración."

Wireshark le permite personalizar sus propias reglas para colorear de acuerdo con sus preferencias en la misma configuración. Si no desea ningún color, cambie el botón de alternar junto a "Colorear Packet List."

Métricas y estadísticas

Wireshark ofrece varias opciones para aprender más sobre su captura. Estas opciones se encuentran en el menú "Estadísticas" en la parte superior de la ventana.

Dependiendo de lo que le interese, puede revisar las estadísticas sobre las propiedades del archivo de captura, las direcciones resueltas, las longitudes de los paquetes, los puntos finales y muchos más.

Línea de comando

Si tiene un sistema que no tiene una interfaz gráfica de usuario (GUI), estará encantado de saber que Wireshark presenta una.

Modo promiscuo

Por defecto, Wireshark le permite capturar paquetes que van y desde la computadora que está utilizando. Pero, si habilita el modo promiscuo, puede capturar la mayor parte del tráfico en toda la red de área local (LAN).

Preguntas más frecuentes

¿Puedo filtrar datos de paquetes en Wireshark??

Sí, Wireshark ofrece opciones de filtrado avanzadas que le permiten mostrar información relevante en unos segundos.

La plataforma tiene dos tipos de filtros: capturar y mostrar. Los filtros de captura se utilizan al capturar datos. Puede configurarlos antes de comenzar una captura de paquetes y no puede modificarlos durante el proceso. Estos filtros representan una manera fácil de buscar rápidamente los datos que le interesan. Si Wireshark captura datos que no coinciden con sus filtros establecidos, no los mostrará.

Los filtros de visualización se aplican después del proceso de captura. A diferencia de los filtros de captura que descartan los datos que no coinciden con los criterios establecidos, los filtros de visualización simplemente oculten estos datos de la lista. Esto le brinda una vista más clara de la captura y le permite encontrar fácilmente lo que está buscando.

Si usa muchos filtros en Wireshark y tiene problemas para recordarlos, estará encantado de saber que Wireshark le permite guardar sus filtros. De esa manera, no tiene que preocuparse por olvidar la sintaxis correcta o aplicar el filtro incorrecto. Puede guardar su filtro presionando el icono de marcador junto al campo Filtro.

Análisis de redes maestros con Wireshark

Gracias a sus impresionantes opciones de análisis de paquetes, Wireshark le permite obtener una vista en profundidad del tráfico que va y desde su red. Aunque ofrece características avanzadas, Wireshark presenta una interfaz simple e intuitiva, por lo que incluso aquellos nuevos en el mundo del análisis de paquetes aprenderán rápidamente las cuerdas. Leer el tráfico HTTPS puede no ser sencillo, pero es posible si descifra los paquetes SSL.

¿Qué es lo que más te gusta de Wireshark?? ¿Alguna vez ha tenido algún problema con eso?? Cuéntanos en la sección de comentarios a continuación.