Crear y aplicar reglas de color en Wireshark

Introducción

En este laboratorio, aprenderás a crear y aplicar reglas de color en Wireshark, un potente analizador de protocolos de red. Estas reglas te permiten diferenciar visualmente varios tipos de tráfico de red según criterios específicos, facilitando la identificación y el análisis de las actividades de red que son importantes para ti.

Al finalizar este laboratorio, tendrás una mejor comprensión de cómo aprovechar las funciones de color de Wireshark. Esto mejorará tus habilidades de análisis de red y apoyará tus investigaciones de ciberseguridad.

Explorar y exportar reglas de color

En este paso, comenzaremos explorando las reglas de color existentes en Wireshark. Las reglas de color en Wireshark se utilizan para resaltar diferentes tipos de paquetes de red basados en criterios específicos. Esto ayuda a identificar y analizar rápidamente información importante en el tráfico de red capturado. También aprenderás a ver estas reglas y exportarlas para su uso futuro.

Primero, debes abrir Wireshark en tu máquina Linux. Para ello, abre la terminal y ejecuta el siguiente comando. Este comando iniciará la aplicación Wireshark, que utilizarás para trabajar con las reglas de color.
```
wireshark
```
Una vez que Wireshark esté abierto, deberás acceder a las reglas de color. Ve al menú View en la parte superior de la ventana de Wireshark y selecciona Coloring Rules.... Esto abrirá el cuadro de diálogo Wireshark Coloring Rules Default. En este cuadro de diálogo es donde puedes gestionar todas las reglas de color en Wireshark.
En el cuadro de diálogo Wireshark Coloring Rules Default, verás una lista de las reglas de color existentes. Cada regla tiene una condición específica y un color correspondiente. Estas reglas se aplican a los paquetes capturados en el orden en que aparecen en la lista. Tómate un momento para revisar las reglas y leer sus descripciones. Comprender estas reglas te dará una idea de cómo Wireshark puede ayudarte a analizar el tráfico de red de manera más efectiva.
Es posible que desees activar o desactivar temporalmente una regla específica sin eliminarla. Puedes hacerlo seleccionando la regla en la lista y haciendo clic en la checkbox (casilla de verificación) junto a ella. Si la casilla está marcada, la regla está habilitada; si no está marcada, la regla está deshabilitada. Esto es útil cuando deseas probar el impacto de una regla en particular sobre el coloreado de los paquetes.
Ahora, supongamos que deseas guardar el conjunto actual de reglas de color para usarlo más tarde o compartirlo con otros. Para exportar estas reglas, haz clic en el botón Export... en el cuadro de diálogo Wireshark Coloring Rules Default.
Después de hacer clic en el botón Export..., aparecerá un cuadro de diálogo de archivo. Debes elegir una ubicación para guardar el archivo de reglas de color. Navega al directorio /home/labex/project. Es una buena práctica darle al archivo un nombre descriptivo, como colorizing_rules.txt, para que puedas identificarlo fácilmente más tarde.
Una vez que hayas seleccionado la ubicación y nombrado el archivo, haz clic en OK para cerrar el cuadro de diálogo Wireshark Coloring Rules Default. Has exportado con éxito las reglas de color.

Crear una nueva regla de color

En este paso, aprenderemos a crear una nueva regla de color en Wireshark. Las reglas de color son una característica potente que te permite resaltar tráfico de red específico, facilitando la detección y el análisis de paquetes importantes. Al crear una regla personalizada, puedes identificar rápidamente los tipos de tráfico de red que más te interesan.

Primero, abre el cuadro de diálogo Wireshark Coloring Rules Default. En Wireshark, ve a View > Coloring Rules.... Este cuadro de diálogo es donde puedes gestionar todas tus reglas de color, incluyendo la creación, edición y eliminación de las mismas.
Para crear una nueva regla de color, haz clic en el botón +. Esta acción añade una entrada de regla en blanco a la lista de reglas existentes.
Una vez que hayas añadido una nueva regla, aparecerá una entrada llamada New coloring rule en la parte superior del cuadro de diálogo. Haz doble clic en esta entrada para editar el nombre de la regla. Por ejemplo, si deseas resaltar el tráfico HTTP, puedes llamar a la regla HTTP Traffic. En el campo Filter, debes ingresar una expresión de filtro. Esta expresión le indica a Wireshark qué paquetes deben ser resaltados por esta regla. Para el tráfico HTTP, ingresarías http.
Ahora, hablemos de las opciones de color. Hay dos botones importantes aquí: los botones foreground (primer plano) y background (fondo).

El botón foreground se utiliza para elegir el color que se aplicará al texto de los paquetes que coincidan con la regla. Por ejemplo, si deseas que el texto de los paquetes HTTP sea rojo, puedes seleccionar el rojo usando este botón.

El botón background te permite elegir el color de fondo para los paquetes resaltados. Puedes usar esto para hacer que los paquetes destaquen aún más. Por ejemplo, podrías establecer el color de fondo en amarillo.
Opcionalmente, puedes ajustar la prioridad de la regla. Las reglas en Wireshark se aplican según su orden en la lista. Las reglas de mayor prioridad tienen preferencia sobre las de menor prioridad. Para cambiar la prioridad, simplemente arrastra la regla hacia arriba o hacia abajo en la lista.
Después de configurar la regla, debes habilitarla. Haz clic en la checkbox junto a la regla para habilitar la regla de color recién creada. Luego, haz clic en OK para guardar la nueva regla. Esto aplicará la regla a tus capturas de paquetes.
Cuando abras un archivo de captura o inicies una captura en vivo en Wireshark, ahora deberías ver los paquetes de red que coinciden con la expresión de filtro mostrados con los colores que seleccionaste para la regla. Esto hace que sea mucho más fácil identificar y analizar el tráfico específico que te interesa.

PD: Si deseas generar algo de tráfico HTTP para probar tu regla, puedes iniciar el navegador. Haz clic en Run Program... desde el botón Applications en la esquina inferior izquierda y escribe Firefox.

Modificar una regla de color existente

En este paso, aprenderás a modificar una regla de color existente en Wireshark. Las reglas de color en Wireshark se utilizan para resaltar paquetes de red basados en criterios específicos, lo que te ayuda a identificar y analizar rápidamente diferentes tipos de tráfico. Al modificar estas reglas, puedes personalizar cómo se muestran los paquetes, facilitando el enfoque en la información que necesitas para el análisis de ciberseguridad.

Primero, abre Wireshark. En Wireshark, ve al menú View en la parte superior de la ventana. Luego, selecciona Coloring Rules... desde el menú desplegable. Esta acción abrirá el cuadro de diálogo Wireshark Coloring Rules Default. En este cuadro de diálogo es donde puedes gestionar todas las reglas de color en Wireshark.
En el cuadro de diálogo Wireshark Coloring Rules Default, verás una lista de las reglas de color existentes. Cada regla tiene un nombre, una expresión de filtro y un color asociado. Selecciona la regla de color que deseas modificar de esta lista. Puedes hacer clic en la regla para resaltarla.
Una vez que hayas seleccionado la regla que deseas modificar, hay dos formas principales de realizar cambios. Puedes hacer doble clic en la regla. Al hacerlo, se abrirá una nueva ventana donde podrás modificar el nombre de la regla, la expresión de filtro que determina a qué paquetes se aplica la regla y el color utilizado para resaltar los paquetes coincidentes. Además, puedes cambiar la prioridad de la regla. La prioridad determina qué regla tiene preferencia si varias reglas coinciden con un solo paquete. Puedes cambiar la prioridad arrastrando la regla hacia arriba o hacia abajo en la lista. Las reglas más arriba en la lista tienen mayor prioridad.
Ahora, hagamos algunos cambios específicos en la regla. Debes modificar el nombre de la regla y la expresión de filtro según sea necesario. Por ejemplo, cambia el nombre de la regla de HTTP Traffic a Web Traffic. Este nuevo nombre refleja con mayor precisión el tipo de tráfico que nos interesa. Además, cambia la expresión de filtro de http a http and tcp.port == 80. El filtro original http resaltaría todo el tráfico HTTP, pero al añadir tcp.port == 80, estamos buscando específicamente tráfico HTTP en el puerto 80, que es el puerto estándar para el tráfico web no cifrado.

nombre de la regla: HTTP Traffic -> Web Traffic
expresión de filtro: http -> http and tcp.port == 80
Después de haber realizado todos los cambios que deseas en la regla, haz clic en el botón OK en el cuadro de diálogo. Esto guardará la regla modificada y Wireshark comenzará a utilizar la nueva configuración para resaltar los paquetes.
Para ver los efectos de la regla modificada, puedes abrir un archivo de captura existente en Wireshark o iniciar una captura en vivo. Una vez que los paquetes se estén mostrando, ahora deberías ver los paquetes de red que coinciden con la regla modificada mostrados en el color actualizado o de acuerdo con la nueva expresión de filtro. De esta manera, puedes detectar fácilmente el tráfico web específico en el puerto 80 que te interesa.

Importar reglas de color

En este paso, aprenderemos a importar reglas de color a Wireshark. Las reglas de color en Wireshark son una característica potente que puede ayudarte a identificar rápidamente diferentes tipos de tráfico de red asignándoles colores distintos. Esto facilita el análisis y la comprensión de los datos que estás capturando.

Primero, abre Wireshark. Una vez abierto, debes acceder a la configuración de las reglas de color. Para ello, ve al menú View en la parte superior de la ventana de Wireshark. Desde el menú desplegable, selecciona Coloring Rules.... Esto abrirá el cuadro de diálogo Wireshark Coloring Rules Default. En este cuadro de diálogo es donde puedes gestionar todas tus reglas de color en Wireshark.
Ahora que el cuadro de diálogo Wireshark Coloring Rules Default está abierto, verás varios botones. Para importar reglas de color, busca y haz clic en el botón Import.... Este botón te permite incorporar reglas de color predefinidas desde un archivo externo.
Después de hacer clic en el botón Import..., aparecerá un nuevo cuadro de diálogo llamado Wireshark Import Coloring Rules. En este cuadro de diálogo, debes buscar el archivo que contiene las reglas de color que deseas importar. Navega al directorio /home/labex/project. Esta es la ubicación donde se encuentra el archivo colorizing_rules.txt que exportaste anteriormente. Una vez que estés en el directorio correcto, selecciona el archivo colorizing_rules.txt.
Una vez que hayas seleccionado el archivo colorizing_rules.txt, haz clic en el botón Open. Esto cargará las reglas de color en el cuadro de diálogo Wireshark Coloring Rules Default.
Antes de cerrar el cuadro de diálogo, haz clic en el botón OK en la parte inferior de la ventana principal Wireshark Coloring Rules Default. Esta confirmación final guarda las reglas importadas en el archivo de configuración de Wireshark para que la regla ARP importada permanezca disponible para su verificación.
Después de hacer clic en OK, vuelve a abrir View > Coloring Rules... si deseas confirmar la importación. Desplázate hasta el final de la lista y deberías ver la regla de color recién importada. Esto indica que la importación se guardó correctamente y ahora puedes usar estas reglas para codificar por colores tu tráfico de red en Wireshark.

Resumen

En este laboratorio, has aprendido a crear, modificar, importar y exportar reglas de color en Wireshark. Al utilizar estas reglas, puedes diferenciar visualmente varios tipos de tráfico de red según criterios específicos, lo que simplifica la identificación y el análisis de las actividades de red. Esta habilidad es extremadamente útil en investigaciones de ciberseguridad, resolución de problemas de red y análisis de protocolos.

A través de ejercicios prácticos, adquiriste experiencia en la gestión del conjunto de reglas. Dominar estas técnicas puede mejorar tu flujo de trabajo de análisis de red y aumentar tu capacidad para detectar y priorizar rápidamente patrones de tráfico de red interesantes.