- Manual funcionamiento básico del programa mas conocido en la auditoria wireless: Netstumbler.

 Autor: Canido

 Seguramente sea el programa mas querido y completo para la detección de redes inalámbricas en Windows. Esta guía ha sido elaborado por un amigo del foro: "canido", mi trabajo solo ha sido pedirle permiso para ponerla en la sección de tutoriales de este portal de "Seguridad Wireless", y esta tal como el la escribió.

Zona de descarga, pulsa: aquí

1.-¿Que es Netstumbler?

Netstumbler es un programa para Windows que permite detectar WLANs usando tarjetas wireless 802.11a, 802.11b y 802.11g. Tiene varios usos, como:

1.- Verificar que nuestra red está bien configurada.

2.- Estudiar la cobertura o señal que tenemos en diferentes puntos de nuestro domicilio de nuestra red.

3.- Detectar otras redes que pueden causar interferencias a la nuestra.

4.- Es muy útil para orientar antenas direccionales cuando queremos hacer enlaces de larga distancia, o simplemente para colocar la antena o tarjeta en el punto con mejor calidad de la señal.

5.- Sirve para detectar puntos de acceso no autorizados (Rogue AP’s).

6.- Por último, también nos sirve para WarDriving, es decir, detectar todos los APs que están a nuestro alrededor.

Y si tenemos GPS nos permitirá no solo detectar sino también localizar los APs, pero esto ya se sale de este manual.

2.- ¿De donde lo descargamos?

http://www.stumbler.net/

Anteriormente puse un link directo, pero no esta de mas que nos pasemos por la pagina principal, por si aparecieran nuevas versiones y algunos otros temas de interés relacionados con el.

3.- Requisitos mínimos

Es necesario tener un S.O. Windows y aquí podéis ver la lista de tarjetas compatibles, que son la mayoría:

http://www.stumbler.net/compat/

Incluso puede que funcione con muchas tarjetas que no están incluidas en ese enlace, solo tenéis que probarlo directamente y obtendréis enseguida la respuesta.

4.-Pantalla principal

Al arrancar el Netstumbler nos aparece una pantalla como esta:

Icono circular: En la primera columna podéis observar un pequeño icono circular o disco. Cuando en el interior del mismo hay un candado significa que el punto de acceso usa algún tipo de encriptación. El icono también cambia de color para indicar la intensidad de la señal, de la forma siguiente:

• Gris: No hay señal.
• Rojo: Señal pobre o baja.
• Naranja: Señal regular o mediana.
• Amarillo: Señal buena.
• Verde claro: Muy buena señal.
• Verde oscuro: La mejor señal.

Name: es el nombre del AP. Está columna habitualmente está en blanco porque Netstumbler solo detecta el nombre de los APs Orinoco o Cisco.

Chan: indica el canal por el que transmite el punto de acceso detectado. Un asterisco (*) después del número del canal significa que estás asociado con el AP. Un signo de suma (+) significa que estuviste asociado recientemente con el AP. Y cuando no hay ningún carácter significa que has localizado un AP y no estas asociado a él.

Speed: indica la velocidad, los Mbps máximos que acepta esa red (11, 22, 54...)

Vendor: indica el fabricante, lo detecta a partir de los tres primeros pares de caracteres de la dirección MAC. No siempre lo muestra, porque la base de datos que usa no contiene todos los fabricantes. En este caso pone Fake, que no es el nombre de ningún fabricante ;D .

Puedes usar esta lista para ver el nombre del fabricante a partir de los primeros caracteres de la MAC:

http://standards.ieee.org/regauth/oui/oui.txt

Type: tipo de red (AP-infraestructura, o peer-ad-hoc)

Encrypton: encriptación, se suele equivocar y algunas WPA las detecta como WEP, acrónimo de Wired Equivalency Privacy. Es un mecanismo de seguridad vulnerable pero muy extendido entre los puntos de acceso comerciales.

SNR: Acrónimo de Signal Noise Ratio. Es la relación actual entre los niveles de señal y ruido para cada punto de acceso. Mas abajo explico con ejemplos como se mide el SNR.

Signal+: Señal(MAX), muestra el nivel máximo de señal que ha sido detectado para un punto de acceso.

Noise: Ruido, muestra el nivel de ruido actual para cada punto de acceso.

SNR+: muestra el nivel máximo que ha tomado el factor SNR para cada punto de acceso

IP Adress: indica la dirección IP en la que se encuentra la red, aunque solo la muestra en el caso de estar conectados a la misma.

Latitude, Longitude, Distance: si se está usando GPS nos indica la posición estimada.

First Seen: la hora a la que la red fue detectada por primera vez.

Last Seen: la hora a la que la red fue detectada por última vez.

Signal: el nivel de señal actual en dB.

Noise: el nivel de ruido en dB. No está soportado por todas las tarjetas, por lo que si pone -100 es que no detecta ruido pero no quiere decir que no lo haya sino que no lo soporta.

4.- Gráfica de señal/ruido (SNR)

En la parte izquierda de la pantalla podemos pinchar en alguna MAC de las redes que detectemos y entonces nos aparecerá una gráfico como este:

Los datos que aparecen en el gráfico dependen de la tarjeta que tengamos.

La zona verde indica el nivel de señal. A mayor altura, mejor señal.
La zona roja (si esta soportado por la tarjeta) indica el nivel de ruido. A mayor altura, mayor ruido.
El espacio entre la altura de la zona roja y verde es el SNR.

5.- El SNR

Para ver cual es el SNR (Signal Noise Ratio), es decir la diferencia entre la señal y el ruido se puede usar la pantalla principal; o calcularlo mirando la gráfica.

Hay que tener en cuenta que el valor del ruido (noise) si no lo detecta esta a -100, lo que no quiere decir que no haya ruido sino que puede ser que la tarjeta no sea capaz de detectar el ruido. Hay muchas tarjetas con las cuales Netstumbler usa el controlador NDIS 5.1 y este controlador no muestra el ruido.

El SNR es igual a SIGNAL-NOISE;

ejemplo: si signal=-70 y NOISE=-100 el valor de SNR (que este es normalmente positivo) será -70-(-100)= 30 dB.

En la gráfica de arriba, observamos que si tiene una signal=-60 y noise=-85 el valor de SNR es -60-(-85)=25 dB.


Una vez vista la pantalla principal del Netstumbler y como se mide el SNR vamos a ver los diálogos de configuración.

6.- Barra de Menús

Para poner la barra de menús en castellano os podéis bajar este plugin para el Netstumbler:

http://hwagm.elhacker.net/descargas/windows/NetStumbler.exe

Para instalar este plugin es muy importante decirle exactamente donde se encuentra instalado el programa principal. Ya que me di cuenta que inicialmente la ruta puede no se correcta, y además el programa principal debe de estar completamente cerrado. Sino quizás obtendréis el siguiente aviso:

Pulsamos en "Close", cerramos el programa principal y volvemos a reinstalar con la ruta correcta. Ahora si se instalara.

Menu Archivo: Tiene las opciones típicas para guardar y abrir archivos igual que cualquier otro software de windows. Una opción interesante de este menú es que se puede utilizar la opción añadir (merge) para juntar múltiples archivos de capturas en uno solo. De esta forma podrías guardar todos tus archivos juntos en uno.

Menu Editar: también es un menú típico de cualquier programa. La opción borrar la podemos usar para borrar las redes que queramos de la lista de la pantalla principal.

Menu Ver: En el cual tenemos opciones para elegir diferentes tipos de vistas y de organizar los iconos. Aquí tenemos el submenú Opciones... al que también podemos acceder pinchando en el 7º botón de la barra de herramientas. Una imagen del mismo:

El uso recomendado es:

Andando: 1,50 segundos.
Corriendo, footing...: 1,25 segundos.
Monopatín, patines...: 1 segundo.
Conduciendo a baja velocidad (menos de 40 Km/h.): 0,75 segundos.
Conduciendo a alta velocidad (alrededor de 40 Km/h.): 0,5 segundos.

En la parte derecha tenemos las siguientes opciones:

Comenzar nuevo documento buscando: Si esta marcada, cada vez que crees un nuevo archivo empezará el escaneo automático y cualquier documento que estuviese previamente recibiendo resultados del escáner dejará de recibirlos.

Reconfigurar tarjeta automáticamente: Si está activada esta opción, inutilizarás el servicio de Windows "Configuración inalámbrica rápida (WZC)". Según el autor del Netstumbler el WZC activado puede provocar que no aparezcan en Netstumbler todas las redes disponibles. Está opción también se puede activar pulsando el botón número 5 de la barra de herramientas. Yo particularmente prefiero tenerlo desactivado para poder conectarme con la utilidad de Windows y usar el Netstumbler al mismo tiempo.

Recopilar nombres e IPs de los puntos de acceso (APs): Intenta averiguar las direcciones IP de los AP. Por mi experiencia puedo decir que solo muestra la IP cuando estas conectado a la red.

Guardar archivos automáticamente cada 10 minutos: Grava el archivo sin preguntar por confirmación.

Las otras pestañas: Visualizar, GPS, Scripting y Midi no tienen demasiada importancia y la mayoría de los usuarios no vamos a hacer uso de ellas, así que no me paro a explicarlas. Quedan pendientes para otro manual.

Menu Proyecto: Aquí podemos seleccionar la tarjeta que queremos usar para escanear con el Netstumbler. Si tenemos varias tarjetas podemos abrir varios Netstumblers al mismo tiempo y en cada uno seleccionar una tarjeta diferente para comparar.

Menu Ventanas: Otro menú típico de Windows.

Menu Ayuda: El último menú también típico de Windows. Y con la ayuda en inglés.

7.- APÉNDICE: Stumbverter 1.5 

• Microsoft Streets & Trips
• DiGLE
• StumbVerter 1.5

1.- Tener GPS
2.- NetStumbler
3.- Microsoft MapPoint 2004 ( Europa )
4.- Stumbverter 1.5

Una imagen:
 

Una imagen:

También os recomiendo leer el manual sobre Kismet (mejor programa auditoria en linux)

Autor: Canido