TamoSoft: Network Analysis Tools & Security Software
Contents

CommView for WiFi Help Documentation


    Return to the main product page
 
Introduzione
Informazioni su CommView for WiFi
Novità
Contratto di licenza
Utilizzo del programma
Installazione del driver
Panoramica
Scanner
Nodi
Canali
Ultime connessioni IP
Pacchetti
Connessione
Visualizzazione di registri
Regole
Regole avanzate
Avvisi
Chiavi WEP/WPA
Ricostruzione di sessioni TCP
Statistiche e Report
Uso di alias
Packet Generator
Identificativo fornitore NIC
Pianificatore
Opzioni di configurazione
Trova pacchetto
Riferimento porta
Domande frequenti
Argomenti avanzati
Errori CRC e ICV
Decifratura WPA
Acquisizione di un volume elevato di dati
Esecuzione di CommView for WiFi in modalita invisibile
Parametri della riga di comando
Scambio di dati con l’applicazione in uso
Decodfica personalizzata
Formato dei file di registro di CommView
Informazioni
Per acquistare CommView for WiFi
Informazioni sui contatti
Altri prodotti TamoSoft
Avvisi


Questa scheda consente di creare gli avvisi per la notifica di eventi importanti, ad esempio pacchetti sospetti, utilizzo di un'elevata ampiezza di banda, indirizzi sconosciuti ecc. Gli avvisi sono utili nelle situazioni in cui è necessario monitorare la rete alla ricerca di eventi sospetti, quali modelli di byte caratteristici nei pacchetti acquisiti, scansioni di porte o connessioni impreviste di dispositivi hardware.

Importante: gli avvisi possono essere attivati solo dai pacchetti cha hanno attraversato i filtri del programma. Se ad esempio il programma è stato configurato per escludere i pacchetti UDP mediante la creazione della regola corrispondente e si presume che un avviso sia stato attivato da un pacchetto UDP, tale avviso non verrà mai attivato.

Gli avvisi vengono gestiti mediante l'elenco illustrato di seguito:

alarm11

Ogni riga rappresenta un avviso separato e la casella di controllo accanto all'avviso indica se questo è correntemente attivo. Quando si attiva un avviso, il segno di spunta scompare. Per riattivare un avviso disattivato, selezionare la casella di controllo accanto al relativo nome. Per disabilitare tutti gli avvisi, deselezionare la casella di controllo Abilita avvisi. Per aggiungere un nuovo avviso, oppure per modificare o eliminare un avviso esistente, utilizzare i pulsanti a destra dell'elenco degli avvisi. Utilizzare il pulsante Impostazione e-mail per immettere le informazioni sul server SMTP se desidera utilizzare opzioni di notifica e-mail (vedere sotto).

Di seguito è illustrata la finestra per la configurazione degli avvisi:

alarm21

Nel campo Nome è possibile descrivere la funzione dell'avviso. Selezionare la casella Abilitato per attivare l'avviso aggiunto o modificato al termine del processo di configurazione. Questa casella di controllo equivale a quella visualizzata nell'elenco degli avvisi. Il frame Tipo di avviso consente di selezionare uno dei dieci tipi di avviso seguenti:

·Occorrenza pacchetti: l'allarme verrà attivato dopo l'acquisizione di un pacchetto che corrisponde alla formula specificata. La sintassi della formula equivale a quella utilizzata in Regole avanzate ed è descritta dettagliatamente nel capitolo Regole avanzate.  

·Byte al secondo: l'avviso viene attivato dopo che il numero di byte al secondo supera il valore specificato. Si noti che è necessario specificare i valori in byte. Se ad esempio si desidera che l'avviso venga attivato quando il trasferimento dei dati supera la velocità di 1Mbyte al secondo, immettere 1000000.  

·Pacchetti al secondo: l'avviso verrà attivato dopo che il numero di byte al secondo dei pacchetti supera il valore specificato.  

·Trasmissioni al secondo: l'allarme verrà attivato dopo che il numero di pacchetti trasmessi al secondo supera il valore specificato.  

·Multicast al secondo: l'avviso verrà attivato dopo che il numero di pacchetti multicast supera il valore specificato.  

·Errori CCRC al secondo: l'avviso verrà attivato dopo che il numero di errori CRC al secondo supera il valore specificato.  

·Tentativi al secondo: l'avviso verrà attivato dopo che il numero di tentativi al secondo supera il valore specificato.  

·Indirizzo MAC sconosciuto: l'avviso verrà attivato dopo che viene acquisito un pacchetto con un indirizzo MAC di origine o destinazione sconosciuto. Utilizzare il pulsante Configura per immettere gli indirizzi MAC sconosciuti. Questo avviso è importante per il rilevamento di nuovi dispositivi hardware non autorizzati collegati alla rete WLAN.  

·Indirizzo IP sconosciuto: l'avviso verrà attivato dopo che viene acquisito un pacchetto con un indirizzo IP di destinazione o di origine sconosciuto. Utilizzare il pulsante Configura per immettere gli indirizzi IP sconosciuti. Questo avviso è utile per il rilevamento di connessioni IP non autorizzate dietro il firewall aziendale.  

·AP sconosciuti: l'avviso verrà attivato dopo che viene rilevato un pacchetto beacon da un punto di accesso sconosciuto. Utilizzare il pulsante Configura per immettere gli indirizzi MAC dei punti di accesso conosciuti. Questo avviso è utile per il rilevamento dei punti di accesso non autorizzati.  

Il campo Eventi necessari per l'attivazione consente di specificare il numero di volte in cui deve verificarsi l'evento previsto prima che venga attivato l'avviso. Se ad esempio si specifica il valore 3, l'avviso verrà attivato solo dopo che l'evento si è verificato tre volte. Se si modifica un avviso esistente, verrà ripristinato il contatore degli eventi interni.

Il campo Numero di attivazioni dell'avviso consente di specificare il numero di volte in cui è necessario attivare l'avviso prima che venga disattivato. Il valore predefinito equivale a 1, quindi l'avviso verrà disabilitato dopo la prima occorrenza dell'evento. Se si sceglie di aumentare questo valore, l'avviso verrà attivato più volte. Se si modifica un avviso esistente, verrà ripristinato il contatore delle attivazioni interne.

Il frame Azione consente di selezionare le azioni da eseguire quando si verifica l'avviso. Sono disponibili le opzioni seguenti:

·Messaggio visualizzato: mostra una finestra di messaggio non modale con il testo specificato. Questa azione consente di utilizzare le variabili che devono essere sostituite dai parametri corrispondenti del pacchetto che ha attivato l'allarme. Le variabili disponibili sono le seguenti:  
%SMAC% -- indirizzo MAC di origine.  
%DMAC% -- indirizzo MAC di destinazione.  
%SIP% -- indirizzo IP di origine.  
%DIP% -- indirizzo IP di destinazione.  
%SPORT% -- porta di origine.  
%DPORT% -- porta di destinazione.  
%ETHERPROTO% -- protocollo Ethernet.  
%IPPROTO% -- protocollo IP.  
%SIZE% -- dimensioni pacchetto.  
%FILE% -- percorso di un file temporaneo che contiene un pacchetto acquisito.  
 
Se ad esempio il messaggio è "pacchetto SYN ricevuto da %SIP%", il testo effettivo della finestra a comparsa %SIP% verrà sostituito con l'indirizzo IP di origine del pacchetto che ha attivato l'avviso. Se si utilizza la variabile %FILE%, verrà creato un file .NCF nella cartella temporanea. È responsabilità dell'utente eliminare il file dopo che è stato elaborato, poiché non viene rimosso automaticamente. Se l'avviso viene attivato dai valori Byte al secondo o Pacchetti al secondo, non utilizzare le variabili poiché questi tipi di avvisi non vengono avviati da singoli pacchetti.  

·Riproduci suono: riproduce il file WAV specificato.  

·Avvia applicazione: esegue il file EXE o COM specificato. Utilizzare il campo opzionale Parametri per attivare i parametri a riga di comando. Come parametri a riga di comando è anche possibile utilizzare le variabili descritte nella precedente sezione Messaggio visualizzato, se si desidera che l'applicazione riceva ed elabori le informazioni sul pacchetto che ha attivato l'avviso.  

·Invia e-mail a: invia un messaggio di posta elettronica all'indirizzo e-mail specificato. È necessario configurare CommView in modo che il server SMTP in uso venga utilizzato prima dell'invio del messaggio e-mail. Selezionare Impostazione e-mail accanto all'elenco degli avvisi per specificare le impostazioni del server SMTP e inviare un messaggio di prova. In genere, un messaggio e-mail consente anche di inviare gli avvisi all'applicazione di messaggistica immediata, al telefono cellulare o al cercapersone. Ad esempio, per inviare un messaggio a un utente ICQ, è necessario immettere l'indirizzo e-mail nel formato ICQ_USER_UIN@pager.icq.com, dove ICQ_USER_UIN corrisponde al numero di identificazione ICQ univoco dell'utente, e attivare i messaggi EmailExpress nelle opzioni ICQ. Per ulteriori informazioni vedere la documentazione dell'applicazione di messaggistica immediata in uso o contattare l'operatore del telefono cellulare.  

·Abilita regole di acquisizione: abilita le Regole avanzate; è necessario immettere il nome o i nomi delle regole. Se è necessario abilitare più regole, separarle con una virgola o un punto e virgola.  

·Disabilita altri avvisi: disabilita gli altri avvisi; è necessario immettere il nome e i nomi degli avvisi. Se è necessario disabilitare più avvisi, separarli con una virgola o un punto e virgola.  

·Inizia connessione: attiva il salvataggio automatico (vedere il capitolo Connessione). Verrà avviato il dump dei pacchetti CommView sull'unità disco rigido.  

·Interrompi connessione: disattiva il salvataggio automatico.  


Scegliere OK per salvare le impostazioni e chiudere la finestra di configurazione degli avvisi.

Tutti gli eventi e le azioni relative agli avvisi verranno elencate nella finestra Registro eventi sotto all'elenco degli avvisi.