Filtrar Tráfico Web Cifrado con Wireshark

Introducción

En este desafío, asumirás el papel de un analista de ciberseguridad junior que investiga una posible violación de datos en Cybertech Industries. El equipo de seguridad ha detectado actividad de red inusual fuera del horario laboral y te ha proporcionado un archivo de captura de paquetes (packet capture file) que contiene el tráfico de red sospechoso.

Tu tarea es utilizar Wireshark para analizar el archivo de captura de paquetes proporcionado creando un filtro de visualización (display filter) que aísle únicamente el tráfico HTTPS cifrado (puerto TCP 443). Esta técnica de filtrado te ayudará a concentrarte en las comunicaciones potencialmente sensibles que puedan estar relacionadas con la sospecha de violación. Una vez que hayas creado el filtro apropiado, lo guardarás en un archivo de texto con fines de documentación.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") subgraph Lab Skills wireshark/display_filters -.-> lab-548806{{"Filtrar Tráfico Web Cifrado"}} end

Rastrear Tráfico HTTPS Sospechoso

Como analista de ciberseguridad junior, estás investigando una posible violación de datos en Cybertech Industries. El equipo de seguridad descubrió actividad de red inusual fuera del horario laboral y necesita tu ayuda. Te han proporcionado un archivo de captura de paquetes (packet capture file) que contiene el tráfico de red del momento en que se produjo la actividad sospechosa.

Tareas

Utiliza el filtro de visualización (display filter) de Wireshark para mostrar solo el tráfico HTTPS cifrado filtrando por el puerto TCP 443.

Requisitos

Abre el archivo suspicious_traffic.pcapng ubicado en el directorio ~/project utilizando Wireshark.
Crea un filtro de visualización (display filter) para aislar únicamente el tráfico HTTPS (puerto TCP 443).
Guarda tu filtro como https_filter.txt en el directorio ~/project, que contenga solo la expresión del filtro (una sola línea).

Ejemplos

Cuando apliques correctamente el filtro correcto, deberías ver algo como esto:

Los paquetes mostrados solo deben incluir aquellos que utilizan el puerto TCP 443, que es el puerto estándar para el tráfico HTTPS.

Tu archivo de filtro guardado debe contener solo la expresión del filtro, por ejemplo:

ip.addr == 8.8.8.8

(Nota: Este es solo un ejemplo de un formato de filtro, no la solución)

Consejos

En Wireshark, los filtros de visualización (display filters) se introducen en la barra de filtros en la parte superior de la ventana principal.
La expresión del filtro debe centrarse en el número de puerto TCP que se utiliza normalmente para el tráfico HTTPS.
Recuerda que los números de puerto se pueden referenciar utilizando tcp.port en las expresiones de filtro.
Revisa la sección sobre "Using Display Filters" del lab para obtener más orientación.
Asegúrate de guardar solo el texto de la expresión del filtro en tu archivo de filtro, sin ningún texto o explicación adicional.

✨ Revisar Solución y Practicar

Resumen

En este desafío, trabajé como analista de ciberseguridad junior investigando una posible violación de datos en Cybertech Industries mediante el análisis de tráfico de red sospechoso. Utilizando Wireshark, aprendí a crear y aplicar filtros de visualización (display filters) para aislar el tráfico HTTPS cifrado, centrándome específicamente en las comunicaciones del puerto TCP 443.

El ejercicio requirió abrir un archivo de captura de paquetes (packet capture file) proporcionado, aplicar la sintaxis de filtro adecuada en la barra de filtros de visualización de Wireshark y guardar la expresión del filtro en un archivo de texto. Esta habilidad práctica es esencial para los analistas de seguridad que necesitan identificar y examinar rápidamente el tráfico web cifrado durante las investigaciones de seguridad, lo que les permite centrarse en los paquetes relevantes mientras filtran las comunicaciones de red no relacionadas.