Tags
análisis paquetes red ubuntu, ciberseguridad, filtrado contenido https, herramientas monitorización red linux, mitmproxy interceptar tráfico https, monitorización tráfico cifrado ubuntu, monitorizar tráfico https ubuntu, seguridad, seguridad red ubuntu, sslsplit descifrar tráfico cifrado, tcpdump análisis red ubuntu, wireshark capturar tráfico https
Lo que aprenderás
- Introducción al monitoreo de tráfico HTTPS
- Herramientas disponibles en Ubuntu para capturar tráfico HTTPS
- Cómo configurar y usar Wireshark para monitorizar tráfico HTTPS
- Uso de tcpdump para capturar tráfico en la línea de comandos
- Mejorando la visibilidad del tráfico cifrado: técnicas como SSL Split y mitmproxy
- Listado de precauciones y aspectos legales al realizar la monitorización del tráfico
Introducción
Tras casi 16 años de experiencia en empresas dedicadas al filtrado de contenidos web y la optimización de redes, he podido ver cómo la seguridad de las conexiones ha evolucionado de manera significativa, convirtiéndose en uno de los mayores retos a la hora de realizar un análisis exhaustivo del tráfico de red. Con la expansión de HTTPS y el cifrado de las comunicaciones, el monitoreo, que antes era relativamente sencillo, se ha vuelto más complicado, dificultando la visibilidad del tráfico en las redes y, por tanto, afectando al análisis de datos y la gestión del tráfico.
En este artículo, voy a explicarte cómo puedes monitorizar el tráfico HTTPS en un sistema Ubuntu, explorando tanto las herramientas más comunes como técnicas más avanzadas para gestionar el cifrado y obtener una visión completa del tráfico que atraviesa tu red. Esto resulta especialmente útil para resolver problemas de red, mejorar la seguridad o analizar patrones de tráfico, siempre desde un enfoque ético y responsable.
Herramientas para monitorizar tráfico HTTPS
En Ubuntu disponemos de una serie de herramientas muy potentes para capturar y analizar el tráfico HTTPS. A continuación, menciono las más populares y eficaces:
- Wireshark: El analizador de red más conocido, que permite capturar y analizar paquetes de red.
- tcpdump: Una herramienta de línea de comandos que captura el tráfico en tiempo real.
- mitmproxy: Un proxy que te permite interceptar y manipular tráfico HTTP y HTTPS.
- SSLsplit: Herramienta para realizar ataques de tipo «Man-in-the-Middle» (MitM) y descifrar tráfico HTTPS.
Configuración y uso de Wireshark para monitorizar tráfico HTTPS
Paso 1: Instalación de Wireshark
Para instalar Wireshark en Ubuntu, puedes ejecutar el siguiente comando:
sudo apt update
sudo apt install wireshark
Durante la instalación, se te preguntará si los usuarios no root pueden capturar paquetes. Permitir esta opción te facilitará usar Wireshark sin permisos elevados.
Paso 2: Capturando tráfico de red
Para empezar a capturar el tráfico de red en Wireshark:
- Abre Wireshark desde el menú o la terminal.
- Selecciona la interfaz de red que deseas monitorizar (por ejemplo,
eth0,wlan0). - Haz clic en el botón de inicio para comenzar la captura.
Paso 3: Filtros para tráfico HTTPS
Puedes aplicar filtros específicos para capturar solo tráfico HTTPS, por ejemplo:
tcp.port == 443
Este filtro te permitirá ver todo el tráfico que esté pasando por el puerto 443, que es el puerto estándar para conexiones HTTPS.
Paso 4: Visualizando contenido cifrado
Debido a que el tráfico HTTPS está cifrado, no podrás ver el contenido directamente. Sin embargo, es posible cargar los certificados SSL/TLS para descifrar el tráfico si tienes acceso a ellos. Para hacerlo:
- Ve a
Edit>Preferences. - En
Protocols, seleccionaTLS. - En la opción «Pre-Master Secret log filename», carga el archivo de claves maestras que puede ser generado si tienes acceso al servidor.
Esto te permitirá ver el contenido del tráfico HTTPS.
Uso de tcpdump para capturar tráfico en la línea de comandos
Instalación de tcpdump
Para instalar tcpdump, utiliza el siguiente comando:
sudo apt install tcpdump
Capturando tráfico HTTPS
Para capturar tráfico en el puerto 443 (HTTPS), puedes ejecutar el siguiente comando:
sudo tcpdump -i eth0 port 443 -w capture.pcap
Este comando capturará todo el tráfico HTTPS en la interfaz eth0 y lo guardará en un archivo llamado capture.pcap, que podrás analizar posteriormente con Wireshark.
Técnicas avanzadas: Usando mitmproxy y SSLsplit
Para obtener una visión más profunda del contenido cifrado del tráfico HTTPS, puedes interceptar el tráfico utilizando técnicas de Man-in-the-Middle. Dos herramientas útiles para este propósito son mitmproxy y SSLsplit.
mitmproxy
mitmproxy es una herramienta proxy interactiva que permite interceptar y modificar tráfico HTTP y HTTPS en tiempo real. Para usarla:
- Instala mitmproxy con:
sudo apt install mitmproxy - Ejecuta mitmproxy en modo transparente o de proxy, por ejemplo:
sudo mitmproxy --mode transparent - Configura el cliente (el ordenador o dispositivo que deseas monitorizar) para que utilice el proxy mitmproxy.
- mitmproxy creará un certificado falso para el tráfico HTTPS, permitiéndote ver y modificar el contenido del tráfico.
SSLsplit
SSLsplit es otra herramienta avanzada que permite interceptar y descifrar el tráfico HTTPS redirigiéndolo a través de un servidor proxy, generando certificados falsos para engañar al cliente.
- Instala SSLsplit:
sudo apt install sslsplit - Configura SSLsplit para interceptar el tráfico y permitir la inspección del tráfico HTTPS.
Es importante tener en cuenta que estas técnicas requieren acceso administrativo en el cliente, ya que será necesario instalar certificados en el dispositivo monitorizado para evitar alertas de seguridad.
Precauciones y aspectos legales
Monitorizar el tráfico HTTPS puede ser una herramienta poderosa para el diagnóstico de problemas de red o la mejora de la seguridad, pero es fundamental ser consciente de los aspectos legales y éticos que conlleva:
- Consentimiento: Siempre asegúrate de contar con el permiso explícito para monitorizar el tráfico de una red o dispositivo. En muchos países, hacerlo sin autorización es ilegal.
- Uso educativo y profesional: Solo utiliza estas técnicas en un entorno controlado, ya sea para pruebas o para diagnóstico de problemas.
- Evitar el abuso: Utilizar herramientas como mitmproxy o SSLsplit para interceptar comunicaciones sin permiso puede considerarse un ataque. Siempre es necesario actuar de forma ética y responsable.
Conclusión
Monitorizar el tráfico HTTPS en Ubuntu es posible utilizando herramientas como Wireshark, tcpdump, y técnicas avanzadas como las que ofrecen mitmproxy o SSLsplit. Aunque el tráfico HTTPS está cifrado, con los conocimientos adecuados y las herramientas correctas, se puede capturar, descifrar y analizar para mejorar la seguridad y el rendimiento de la red. Es fundamental recordar que siempre se debe actuar dentro de un marco legal y ético, obteniendo los permisos necesarios antes de realizar cualquier tipo de monitorización.