Crear y Aplicar Reglas de Coloración en Wireshark

Introducción

En este laboratorio, aprenderá cómo crear y aplicar reglas de coloración en Wireshark, un potente analizador de protocolos de red. Estas reglas le permiten diferenciar visualmente varios tipos de tráfico de red según criterios específicos, lo que facilita la identificación y el análisis de las actividades de red que son importantes para usted.

Al final de este laboratorio, comprenderá mejor cómo aprovechar las funciones de coloración de Wireshark. Esto mejorará sus habilidades de análisis de red y respaldará sus investigaciones en ciberseguridad.

Skills Graph

Explorar y exportar reglas de coloración

En este paso, comenzaremos explorando las reglas de coloración existentes en Wireshark. Las reglas de coloración en Wireshark se utilizan para resaltar diferentes tipos de paquetes de red según criterios específicos. Esto ayuda a identificar y analizar rápidamente la información importante en el tráfico de red capturado. También aprenderá cómo ver estas reglas y exportarlas para su uso futuro.

1. Primero, debe abrir Wireshark en su máquina Linux. Para hacer esto, abra la terminal y ejecute el siguiente comando. Este comando iniciará la aplicación Wireshark, que utilizará para trabajar con las reglas de coloración.

   wireshark

2. Una vez que Wireshark esté abierto, debe acceder a las reglas de coloración. Vaya al menú View en la parte superior de la ventana de Wireshark y seleccione Coloring Rules.... Esto abrirá el cuadro de diálogo Wireshark Coloring Rules Default. En este cuadro de diálogo es donde puede administrar todas las reglas de coloración en Wireshark.

   

3. En el cuadro de diálogo Wireshark Coloring Rules Default, verá una lista de reglas de coloración existentes. Cada regla tiene una condición específica y un color correspondiente. Estas reglas se aplican a los paquetes capturados en el orden en que aparecen en la lista. Tómese un momento para revisar las reglas y leer sus descripciones. Comprender estas reglas le dará una idea de cómo Wireshark puede ayudarlo a analizar el tráfico de red de manera más efectiva.

   

4. Es posible que desee desactivar o activar temporalmente una regla específica sin eliminarla. Puede hacer esto seleccionando la regla en la lista y haciendo clic en la casilla de verificación junto a ella. Si la casilla de verificación está marcada, la regla está habilitada; si no está marcada, la regla está deshabilitada. Esto es útil cuando desea probar el impacto de una regla en particular en la coloración de los paquetes.

5. Ahora, supongamos que desea guardar el conjunto actual de reglas de coloración para su uso posterior o para compartirlas con otros. Para exportar estas reglas, haga clic en el botón Export... en el cuadro de diálogo Wireshark Coloring Rules Default.

6. Después de hacer clic en el botón Export..., aparecerá un cuadro de diálogo de archivo. Debe elegir una ubicación para guardar el archivo de reglas de coloración. Navegue hasta el directorio /home/labex/project. Es una buena práctica darle al archivo un nombre descriptivo, como colorizing_rules.txt, para poder identificarlo fácilmente más adelante.

   

   

7. Una vez que haya seleccionado la ubicación y dado un nombre al archivo, haga clic en OK para cerrar el cuadro de diálogo Wireshark Coloring Rules Default. Ahora ha exportado con éxito las reglas de coloración.

Crear una nueva regla de coloración

En este paso, aprenderemos cómo crear una nueva regla de coloración en Wireshark. Las reglas de coloración son una función poderosa que te permite resaltar tráfico de red específico, lo que facilita detectar y analizar paquetes importantes. Al crear una regla personalizada, puedes identificar rápidamente los tipos de tráfico de red que son más importantes para ti.

1. Primero, abre el cuadro de diálogo Wireshark Coloring Rules Default. En Wireshark, ve a View > Coloring Rules.... En este cuadro de diálogo es donde puedes administrar todas tus reglas de coloración, incluyendo crear, editar y eliminar las mismas.

2. Para crear una nueva regla de coloración, haz clic en el botón +. Esta acción agrega una entrada de regla en blanco a la lista de reglas existentes.

   

3. Una vez que hayas agregado una nueva regla, aparecerá una nueva entrada llamada New coloring rule en la parte superior del cuadro de diálogo de Reglas de coloración. Haz doble clic en esta entrada para editar el nombre de la regla. Por ejemplo, si quieres resaltar el tráfico HTTP, puedes nombrar la regla Tráfico HTTP. En el campo Filter, debes ingresar una expresión de filtro. Esta expresión le dice a Wireshark qué paquetes deben resaltarse por esta regla. Para el tráfico HTTP, ingresarías http.

   

4. Ahora, hablemos de las opciones de coloración. Aquí hay dos botones importantes: los botones foreground y background.

   El botón foreground se utiliza para elegir el color que se usará para resaltar el texto de los paquetes que coincidan con la regla. Por ejemplo, si quieres que el texto de los paquetes HTTP sea rojo, puedes seleccionar el color rojo usando este botón.

   

   El botón background te permite elegir el color de fondo de los paquetes resaltados. Puedes usar esto para hacer que los paquetes destaquen aún más. Por ejemplo, podrías establecer el color de fondo en amarillo.

   

5. Opcionalmente, puedes ajustar la prioridad de la regla. Las reglas en Wireshark se aplican según su orden en la lista. Las reglas de mayor prioridad tienen prioridad sobre las reglas de menor prioridad. Para cambiar la prioridad, simplemente arrastra la regla hacia arriba o hacia abajo en la lista.

6. Después de configurar la regla, debes habilitarla. Haz clic en la casilla de verificación junto a la regla para habilitar la regla de coloración recién creada. Luego, haz clic en OK para guardar la nueva regla de coloración. Esto aplicará la regla a tus capturas de paquetes.

   

7. Cuando abras un archivo de captura o inicies una captura en vivo en Wireshark, ahora deberías ver los paquetes de red que coincidan con la expresión de filtro mostrados con los colores que seleccionaste para la regla. Esto hace que sea mucho más fácil identificar y analizar el tráfico específico que te interesa.

PS: Si quieres generar algo de tráfico HTTP para probar tu regla, puedes iniciar el navegador. Haz clic en Run Program... desde el botón Applications en la esquina inferior izquierda y escribe Firefox.

Modificar una regla de coloración existente

En este paso, aprenderás cómo modificar una regla de coloración existente en Wireshark. Las reglas de coloración en Wireshark se utilizan para resaltar paquetes de red según criterios específicos, lo que te ayuda a identificar y analizar rápidamente diferentes tipos de tráfico. Al modificar estas reglas, puedes personalizar cómo se muestran los paquetes, lo que facilita centrarte en la información que necesitas para el análisis de ciberseguridad.

1. Primero, abre Wireshark. En Wireshark, ve al menú View en la parte superior de la ventana. Luego, selecciona Coloring Rules... del menú desplegable. Esta acción abrirá el cuadro de diálogo Wireshark Coloring Rules Default. En este cuadro de diálogo es donde puedes administrar todas las reglas de coloración en Wireshark.

2. En el cuadro de diálogo Wireshark Coloring Rules Default, verás una lista de reglas de coloración existentes. Cada regla tiene un nombre, una expresión de filtro y un color asociado. Selecciona la regla de coloración que deseas modificar de esta lista. Puedes hacer clic en la regla para resaltarla.

3. Una vez que hayas seleccionado la regla que deseas modificar, hay dos formas principales de realizar cambios. Puedes hacer doble clic en la regla. Cuando lo hagas, se abrirá una nueva ventana donde puedes modificar el nombre de la regla, la expresión de filtro que determina a qué paquetes se aplica la regla y el color utilizado para resaltar los paquetes que coinciden. Además, puedes cambiar la prioridad de la regla. La prioridad determina qué regla tiene prioridad si varias reglas coinciden con un solo paquete. Puedes cambiar la prioridad arrastrando la regla hacia arriba o hacia abajo en la lista. Las reglas que están más arriba en la lista tienen mayor prioridad.

4. Ahora, hagamos algunos cambios específicos a la regla. Debes modificar el nombre de la regla y la expresión de filtro según sea necesario. Por ejemplo, cambia el nombre de la regla de HTTP Traffic a Web Traffic. Este nuevo nombre refleja más precisamente el tipo de tráfico que nos interesa. Además, cambia la expresión de filtro de http a http and tcp.port == 80. El filtro original http resaltaría todo el tráfico HTTP, pero al agregar tcp.port == 80, estamos buscando específicamente el tráfico HTTP en el puerto 80, que es el puerto estándar para el tráfico web no cifrado.

   Nombre de la regla: HTTP Traffic -> Web Traffic
   Expresión de filtro: http -> http and tcp.port == 80

   

5. Después de realizar todos los cambios que deseas a la regla, haz clic en el botón OK del cuadro de diálogo. Esto guardará la regla modificada y Wireshark comenzará a utilizar la nueva configuración para resaltar los paquetes.

6. Para ver los efectos de la regla modificada, puedes abrir un archivo de captura existente en Wireshark o iniciar una captura en vivo. Una vez que se estén mostrando los paquetes, ahora deberías ver los paquetes de red que coinciden con la regla modificada mostrados en el color actualizado o según la nueva expresión de filtro. De esta manera, puedes detectar fácilmente el tráfico web específico en el puerto 80 que te interesa.

Importar reglas de coloración

En este paso, aprenderemos cómo importar reglas de coloración en Wireshark. Las reglas de coloración en Wireshark son una función poderosa que puede ayudarte a identificar rápidamente diferentes tipos de tráfico de red asignándoles colores distintos. Esto facilita analizar y entender los datos que estás capturando.

1. Primero, abre Wireshark. Una vez abierto, debes acceder a la configuración de las reglas de coloración. Para hacer esto, ve al menú View en la parte superior de la ventana de Wireshark. Desde el menú desplegable, selecciona Coloring Rules.... Esto abrirá el cuadro de diálogo Wireshark Coloring Rules Default. En este cuadro de diálogo es donde puedes administrar todas tus reglas de coloración en Wireshark.

2. Ahora que el cuadro de diálogo Wireshark Coloring Rules Default está abierto, verás varios botones. Para importar reglas de coloración, busca y haz clic en el botón Import.... Este botón te permite importar reglas de coloración predefinidas desde un archivo externo.

   

3. Después de hacer clic en el botón Import..., aparecerá un nuevo cuadro de diálogo llamado Wireshark Import Coloring Rules. En este cuadro de diálogo, debes encontrar el archivo que contiene las reglas de coloración que deseas importar. Navega hasta el directorio /home/labex/project. Esta es la ubicación donde se almacena el archivo colorizing_rules.txt que exportaste anteriormente. Una vez que estés en el directorio correcto, selecciona el archivo colorizing_rules.txt.

   

4. Una vez que hayas seleccionado el archivo colorizing_rules.txt, haz clic en el botón Open. Esta acción importará las reglas de coloración del archivo a Wireshark.

5. Después de que la importación se complete, gira la rueda del mouse hacia abajo en el cuadro de diálogo de Reglas de coloración. Ahora deberías ver la nueva regla de coloración importada al final de la lista. Esto indica que la importación fue exitosa y que ahora puedes usar estas reglas para codificar con colores tu tráfico de red en Wireshark.

Resumen

En este laboratorio, has aprendido cómo crear, modificar, importar y exportar reglas de coloración en Wireshark. Al utilizar estas reglas, puedes diferenciar visualmente varios tipos de tráfico de red según criterios específicos, lo que simplifica la identificación y el análisis de las actividades de red. Esta habilidad es muy útil en investigaciones de ciberseguridad, resolución de problemas de red y análisis de protocolos.

A través de ejercicios prácticos, has adquirido experiencia práctica en la gestión del conjunto de reglas. Dominar estas técnicas puede mejorar tu flujo de trabajo de análisis de red y aumentar tu capacidad para detectar rápidamente y priorizar patrones de tráfico de red interesantes.