TamoSoft: Network Analysis Tools & Security Software
Contents

CommView Help Documentation


    Return to the main product page
 
Introducción
Acerca de CommView
Novedades
Utilizando el Programa
Perspectiva General
Seleccionar Interfaz de Red para Monitoreo
Últimas Conexiones IP
Paquetes
Registro
Visor de Registros
Reglas
Reglas Avanzadas
Alarmas
Reconstrucción de sesiones TCP
Estadísticas y Reportes
Utilizando Alias
Generador de Paquetes
Identificar el Fabricante de la Tarjeta
Planificador
Utilizando Remote Agent
Capturar Tráfico Loopback
Configurando opciones
Respuestas a Preguntas Frecuentes
Temas Avanzados
Capturando un volumen elevado de tráfico
Trabajando con Multiples Instancias
Ejecutando CommView en Modo Oculto
Parámetros de Línea de Comandos
Intercambiando datos con su aplicación
Decodificación Personalizada
Formato de Archivos de Registro de CommView
Información
Como Adquirir CommView
Contactenos
Otros productos por TamoSoft
Alarmas


Esta pestaña le permite crear alarmas que le pueden informar sobre eventos importantes, tales como paquetes sospechosos, excesiva utilización de ancho de banda, direcciones desconocidas, etc. Las alarmas son muy útiles en situaciones donde necesite observar la red por algún evento sospechoso, por ejemplo patrones de bytes distintivos en paquetes capturados, rastreo de puertos, o conexiones de dispositivos de hardware inesperados.

Las Alarmas son administradas utilizando la lista de alarmas mostrada a continuación
.

alarm1

Cada línea representa una alarma distinta, y el cuadro marcado al lado de la alarma indica si la alarma esta actualmente activada. Cuando una alarma es disparada, la marca desaparece. Para reactivar una alarma desactivada, marque el cuadro próximo a su nombre. Para desactivar todas las alarmas, desmarque el cuadro Activar Alarmas. Para agregar una nueva alarma o edite o borre una existente, utilice los botones a la derecha de la lista de alarmas. El botón Configurar E-mail. Debería ser utilizado para ingresar información acerca de su servidor SMTP si planifica utilizar la opción de notificación de E-mail (vea a continuación)

La ventana de configuración de Alarma se muestra a continuación.

alarm2

El campo Nombre debería ser utilizado para describir la función de la alarma. Marque el cuadro Activado si desea que la alarma que esta agregando/editando sea activada cuando finalice la configuración. Esta marca de cuadro es equivalente al mostrado en la lista de alarmas. El marco Tipo de Alarma le permite seleccionar uno de los siete tipos de alarma:

·Ocurrencia del Paquete: La alarma será ejecutada una vez que CommView haya capturado un paquete que coincide con la fórmula dada. La sintaxis de formula es la misma que la sintaxis utilizada en las Reglas Avanzadas y están descriptas en detalle en el capítulo Reglas Avanzadas.  

·Bytes por Segundo: La alarma será ejecutada una vez que el número de bytes por segundo haya excedido (o caído por debajo de) el valor especificado. Advierta que debe ingresar el valor en bytes, así si desea que la alarma se ejecute cuando el ritmo de transferencia exceda 1Mbyte por segundo, el valor debería ser ingresado como 1000000.  

·Paquetes por Segundo: la alarma será ejecutada una vez que el número paquetes ha excedido (o caído por debajo de) el valor especificado.  

·Paquetes broadcast por segundo: La alarma será ejecutada una vez que el número de paquetes broadcast ha excedido (o caído por debajo de) el valor especificado.  

·Paquetes multicast por segundo: La alarma será ejecutada una vez que el número de paquetes multicast haya excedido (o caído por debajo de) el valor especificado.  

·Dirección Física Desconocida: La alarma será ejecutada una vez que CommView ha capturado un paquete con una dirección física de fuente o destino desconocida. Utilice el botón Configurar para ingresar las direcciones físicas conocidas. Este tipo de alarma es útil para detectar dispositivos de hardware no autorizados a conectarse a su LAN.  

·Dirección IP Desconocida: La alarma será ejecutada una vez que CommView ha capturado un paquete con una dirección IP fuente o de destino desconocida. Utilice el botón Configurar para ingresar las direcciones de IP conocidas. Este tipo de alarma es útil para detectar conexiones de IP no autorizadas, mas alla del firewall corporativo.  

El campo Eventos necesarios para ejecutar le permite especificar el número de veces que el evento esperado debe ocurrir antes de que la alarma sea ejecutada. Por ejemplo, si especifica el valor 3, la alarma no se ejecutara hasta que el evento ocurra tres veces. Si edita una alarma existente, el contador interno de eventos se restaurará.

El campo Veces para ejecutar esta alarma le permite especificar el número de veces que la alarma sea ejecutada antes de la desactivación. Por omisión, este valor es de 1, de tal forma que la alarma se desactivará después que el primer evento ocurre. Incrementando este valor, hará que CommView ejecute la alarma múltiples veces. Si edita una alarma existente, el contador interno de disparo se restaurará.

El cuadro de Acción le permite seleccionar la acción a ser realizada cuando ocurra el evento de alarma. Las siguientes opciones se encuentran disponibles:

·Mostrar Mensaje: Muestra un cuadro de mensajes con el texto especificado. Esta acción permite el uso de variables a ser reemplazadas por los correspondientes parámetros del paquete que ha disparado la alarma. Estas variables están enumeradas a continuación:  
%SMAC% -- Dirección física (MAC) origen.  
%DMAC% -- Dirección física (MAC) destino.  
%SIP% -- Dirección IP origen.  
%DIP% -- Dirección IP destino.  
%SPORT% -- Puerto origen.  
%DPORT% -- Puerto destino.  
%ETHERPROTO% --Protocolo Ethernet.  
%IPPROTO% --Protocolo IP.  
%SIZE% -- Tamaño de paquete.  
%FILE% -- La ruta a un archivo temporario que contiene el paquete capturado.  
 
Por ejemplo, si su mensaje es "Paquete SYN recibido desde %SIP%", en la ventana actual que aparece el texto %SIP% será reemplazado por la dirección IP origen del paquete que disparo la alarma. Si utiliza la variable %FILE%, un archivo .NCF será creado en la carpeta temporaria. Es su responsabilidad borrar el archivo después de que ha sedo procesado; CommView no hace ningún intento de borrarlo. No debería utilizar variables si la alarma es disparada por valores de Bytes por Segundo o Paquetes por segundo, dado que estos tipos de alarmas no son disparados por paquetes individuales.

·Reproducir Sonido: reproduce el archivo WAV especificado.  
 
·Iniciar Aplicación: Corre el EXE especificado o archivo COM. Utilice el campo opcional Parámetros para ingresar las opciones de línea de comando. Puede utilizar las variables descriptas en la sección Mostrar Mensaje de arriba como parámetros de línea de comandos si desea que su aplicación reciba y procese información acerca de paquetes que dispararon alarmas.  

·Enviar E-mail a: Envía e-mail a la dirección especificada de e-mail. Debe configurar CommView para utilizar su servidor SMTP antes de enviar el e-mail. Utilice el botón Configurar E-mail al lado de la lista de alarma para ingresar su configuración de servidor SMTP y enviar un e-mail de prueba. Usualmente, un mensaje de e-mail puede ser utilizado para enviar alertas a su aplicación de mensajes instantáneos. Por ejemplo, para enviar un mensaje a un usuario ICQ, debería ingresar la dirección de e-mail como ICQ_USER_UIN@pager.icq.com, donde ICQ_USER_UIN es el número único de identificación de usuario ICQ, y permitir mensajes de EmailExpress en las opciones de ICQ. Remítase a la documentación de su aplicación de mensajes instantáneos u operador de telefonía celular para obtener mayor información. El campo Agregar texto puede ser usado para agregar un mensaje arbitrario a la notificación de e-mail. Puede usar las variables descritas en la sección Mostrar mensaje en el texto de mensaje.  

·Habilitar Reglas de Captura: activa Reglas Avanzadas; debería ingresar el(los) nombre(s) de reglas. Si existen reglas múltiples deben ser activadas, sepárelas con comas o punto y coma.  

·Desactivar otras alarmas: Desactiva otras alarmas; debería ingresar el(los) nombre(s) de alarma. Si alarmas múltiples deben ser desactivada, sepárelas con coma o punto y coma.  

·Iniciar Registro: Activa el guardado automático (vea el capítulo Registro); CommView comenzará a volcar paquetes al disco rígido.  

·Detener registro: desactiva el guardado automático.  


Haga clic en OK para guardar sus definiciones y cerrar el cuadro de diálogo de configuración de alarma.

Todos los eventos y acciones relativas a las alarmas serán listados en la ventana Registro de Eventos debajo de la lista de alarma.