| |
 |
Dieser Bereich ermöglicht es Ihenn Alarme zu erzeugen, die Sie über bestimmte Ereignisse informieren, wie verdächtige Pakete, starke Bandbreitennutzung, unbekannte Adressen, usw. Solche Alarme sind sehr nützlich, wenn Sie das Netzwerk auf bestimmte verdächtige Ereignisse überwachen, wie auffällige Bytemuster in den empfangenen Paketen, Portscans oder unerwartete Hardwareverbindungen.
Wichtig: Die Alarme können nur von Paketen, die durch den Filter kommen, ausgelöst werden. Wenn Sie z. B. das Programm so konfigurieren, dass es UDP Pakete ausfiltert, und andererseits die Alarmfunktion so einstellen, dass sie durch UDP Pakete ausgelöst wird, so wird der Alarm nie ausgelöst.
Alarme warden über die folgende Liste verwaltet:
Jede Zeile entspricht einem separaten Alarm, und die Checkbox daneben zeigt, ob er gegenwärtig aktiv ist. Wenn ein Alarm ausgelöst wird, verschwindet die Checkbox. Um einen deaktivierten Alarm neu zu aktivieren markieren Sie die Box neben dessen Namen. Um alle Alarme zu deaktivieren, leeren Sie die Box Alarme aktivieren. Um einen neuen Alarm zu editieren oder zu löschen verwenden Sie bitte die Buttons in der rechten Hälfte der Alarmliste. Mittels des E-mail Setup Buttons können Sie Informationen über Ihren SMTP Server eingeben, sofern Sie Emailbenachrichtigung wünschen (sh. unten).
Das Alarm Setupwindow sieht so aus:
Das Namensfeld sollte die Alarmfunktion beschreiben. Wenn Sie den Alarm nach dem Setup Diese Box entspricht der in der Alarmliste. Mit dem Frame Alarm Typ wählen Sie einen von zehn Alarmen aus:
| · | Packet occurrence (Auftreten eines Pakets) – CommView lost den Alarm aus, wenn es ein Paket empfängt, das einer bestimmten Formel entspricht. Die Formelsyntax entspricht der der Fortgeschrittenenregeln, mehr dazu unter Regeln für Fortgeschrittene.
|
| · | Bytes per second (Bytes pro Sekunde) – Der Alarm wird ausgelöst, wenn die Bytezahl pro Sekunde einen Grenzwert über- bzw. unterschreitet. Bitte beachten Sie, dass der Wert in Bytes eingegeben werden muß, so dass bei einem gewünschten Alarm ab 1MByte pro Sekunde ein Wert von 1000000 eingegeben werden muß.
|
| · | Packets per second (Pakete pro Sekunde) – Der Alarm wird ausgelöst, wenn die Zahl der Pakete pro Sekunde einen Grenzwert über- bzw. unterschreitet.
|
| · | Broadcasts per second (Broadcasts pro Sekunde) – Der Alarm wird ausgelöst, wenn die Zahl der Broadcastpaketel pro Sekunde einen Grenzwert über- bzw. unterschreitet.
|
| · | Multicasts per second (Multicasts pro Sekunde) - Der Alarm wird ausgelöst, wenn die Zahl der Multicastpakete pro Sekunde einen Grenzwert über- bzw. unterschreitet.
|
| · | CRC errors per second (CRC Fehler pro Sekunde) - Der Alarm wird ausgelöst, wenn die Zahl der CRC Fehler pro Sekunde einen Grenzwert über- bzw. unterschreitet.
|
| · | Retries per second (Retryversuche pro Sekunde) - Der Alarm wird ausgelöst, wenn die Zahl der Retry (erneut Probieren) Versuche pro Sekunde einen Grenzwert über- bzw. unterschreitet.
|
| · | Unknown MAC address (unbekannte MAC Adresse) – Der Alarm wird ausgelöst, wenn CommView ein Paket von einer unbekannten Quell- oder zu einer unbekannten Ziel-MAC-Adresse empfängt. Dieser Alarm ist nützlich, um neue, unautorisierte Geräte zu erkennen, die mit Ihrem WLAN verbunden sind.
|
| · | Unknown IP address (unbekannte IP Adresse) – – Der Alarm wird ausgelöst, wenn CommView ein Paket von einer unbekannten Quell- oder zu einer unbekannten Ziel-IP-Adresse empfängt. Mittels des Konfigurationsbuttons (Configure) können SIe eine bekannte IP Adresse eingeben. Dieser Alarm ist nützlich, um unautorisierte IP Verbindungen hinter einer Firmenfirewall zu entdecken.
|
| · | Rogue APs ("Wilde" APs) – Der Alarm wird ausgelöst, wenn CommView ein Beacon Paket von einem unbekannten Accesspoint empfängt. Mittels des Konfigurationsbuttons (Configure) können Sie die MAC Adresse eines bekannten Accesspoints eingeben. Dieser Alarm ist nützlich, um unautorisierte Accesspoints zu entdecken.
|
Das Feld Schwellenwert für Ereignisse (Events needed to trigger) ermöglicht Ihnen den Schwellenwert für diese Ereigniszahl festzulegen, um einen Alarm auslösen zu lassen. Wenn Sie z. B. einen Wert von 3 wählen, wird ein Alarm erst ausgelöst, wenn das entsprechende Ereignis dreimal auftaucht. Wenn Sie einen bereits existierenden Alarm editieren, wird der Zähler auf Null zurückgesetzt.
Das Feld Häufigkeit der Alarmauslösungen (Times to trigger this alarm) ermöglicht es Ihnen die Zahl der Alarme festzulegen, bevor diese deaktiviert warden. Standardeinstellung ist heir 1, so dass nach dem ersten Alarm dieser deaktiviert wird. Wenn Sie diesen Wert erhöhen, so wird CommView ihn mehrmals auslösen. Wenn Sie einen Alarm editieren, wird der Zähler zurück auf Null gesetzt.
Mit dem Frame Aktion wählen sie die mit dem Alarm ausgelösten Ereignisse. Folgende Ereignisse stehen zur Wahl:
| · | Display message (Zeige Meldung): Zeigt eine non-modal Meldungsbox mti dem definierten Text. Mit dieser Aktion können Sie Variablen verwenden, die im Alarmfall durch die entsprechenden Parameter des Paketes, das den Alarm hervorrief, ersetzt werden. Diese Variablen sind:
|
| %SMAC% -- Source MAC Adresse.
|
| %DMAC% -- Ziel MAC Adresse.
|
| %SIP% -- Source IP Adresse.
|
| %DIP% -- Ziel IP Adresse.
|
| %ETHERPROTO% -- Ethernet Protokoll.
|
| %IPPROTO% -- IP Protokoll.
|
| %FILE% -- Pfad zu einer temporären Datei, die das empfangene Paket enthält.
|
| So wird z. B. in Ihrer Nachricht in der Meldung "SYN Paket von %SIP%," im aktuellen Popup Windowtext %SIP% ersetzt werden durch die Source IP Adresse des alarmauslösenden Paketes. Wenn Sie die %FILE% Variable verwenden, wird eine .NCF Datei in einem temporären Verzeichnis erzeugt. Es liegt in Ihrer Verantwortung diese Datei nach der Bearbeitung zu löschen. Sie sollten keine Variablen verwenden, wenn der Alarm ausgelöst wurde von Bytes per second (Bytes pro Sekunde) oder Packets per second (Pakete pro Sekunde) Werten, da diese Alarme nicht von individuellen Paketen ausgelöst werden.
|
| · | Play sound (Sound abspielen) – spielt die gewählte .wav Datei ab.
|
| · | Launch application (Starte Anwendung) – Startet die ausgewählte .exe oder .com Datei. Mit dem optionalen Feld Parameter können in der Befehlszeile Parameter eingegeben werden. Die Variablen, die in der Sektion Display message (Zeige Nachricht) beschrieben wurden können als Befehlszeilenparameter eingegeben werden, sofern Sie möchten, dass die Anwendung Informationen über das Alarmauslösende Paket empfängt und bearbeitet.
|
| · | Send e-mail to (Sende Email an) – Sendet eine Email an eine definierte Adresse. CommView MUSS konfiguriert werden, um Ihren SMPT Server vor dem Senden der Email nutzen zu können. Mittels des Buttons E-mail Setup neben der Alarmliste können Sie Ihre SMPT Server Einstellungen eingeben und eine Testemailnachricht absenden. Man kann Emailbenachrichtigungen auch an Instant Messenger Anwendungen, Handy oder Pager senden. Um z. B. eine Nachricht an einen ICQ User zu senden geben Sie die Emailadresse als ICQ_USER_UIN@pager.icq.com ein, wobei ICQ_USER_UIN die eindeutige ICQ ICQ Identifikationsnummer ist, dazu müssen die EmailExpress Messages in den ICQ Optionen aktiviert sein. Mehr dazu in Ihren Instant Messenger oder Handy Handbuch.
|
| · | Enable capturing rules (Aktiviere Regelcapturing) – Aktiviert die Regeln für Fortgeschrittene. Sie sollten dabei den Regelnamen angeben. Mehrere Regeln werden komma- bzw. Semikolongetrennt eingegeben.
|
| · | Disable other alarms (Deaktiviere andere Alarme)– Deaktiviert andere Alarme. Sie sollten dabei den Regelnamen angeben. Mehrere Regeln werden komma- bzw. Semikolongetrennt eingegeben.
|
| · | Start logging (Starte Logging) – Startet die Autospeicherung (sh. Kapitel Logging); CommView beginnt dann Pakete auf der Festplatte abzulegen.
|
| · | Stop logging – beendet das Autospeichern.
|
Klicken Sie auf OK um die Einstellungen abzuspeichern und das Alarmdialogfenster zu schliessen.
Alle Ereignisse und Aktionen, die mit den Alarmen zu tun haben, sind im Fenster Event Log unter der Alarmliste zu finden.
|
