| |
 |
Esta pestaña le permite crear alarmas que le pueden informar sobre eventos importantes, tales como paquetes sospechosos, excesiva utilización de ancho de banda, direcciones desconocidas, etc. Las alarmas son muy útiles en situaciones donde necesite observar la red por algún evento sospechoso, por ejemplo patrones de bytes distintivos en paquetes capturados, rastreo de puertos, o conexiones de dispositivos de hardware inesperados.
Importante: Las alarmas pueden ser disparadas solo por aquellos paquetes que han pasado los filtros del programa. Si, por ejemplo, configuró el programa para filtrar paquetes UDP creando la regla correspondiente, mientras una de sus alarmas se supone que sea disparada por un paquete UDP, tal alarma nunca será disparada.
Las Alarmas son administradas utilizando la lista de alarmas mostrada a continuación.
Cada línea representa una alarma distinta, y el cuadro marcado al lado de la alarma indica si la alarma esta actualmente activada. Cuando una alarma es disparada, la marca desaparece. Para reactivar una alarma desactivada, marque el cuadro próximo a su nombre. Para desactivar todas las alarmas, desmarque el cuadro Activar Alarmas. Para agregar una nueva alarma o edite o borre una existente, utilice los botones a la derecha de la lista de alarmas. El botón Configurar E-mail. Debería ser utilizado para ingresar información acerca de su servidor SMTP si planifica utilizar la opción de notificación de E-mail (vea a continuación)
La ventana de configuración de Alarma se muestra a continuación.
El campo Nombre debería ser utilizado para describir la función de la alarma. Marque el cuadro Activado si desea que la alarma que esta agregando/editando sea activada cuando finalice la configuración. Esta marca de cuadro es equivalente al mostrado en la lista de alarmas. El marco Tipo de Alarma le permite seleccionar uno de los siete tipos de alarma:
| · | Ocurrencia del Paquete: La alarma será ejecutada una vez que CommView haya capturado un paquete que coincide con la fórmula dada. La sintaxis de formula es la misma que la sintaxis utilizada en las Reglas Avanzadas y están descriptas en detalle en el capítulo Reglas Avanzadas.
|
| · | Bytes por Segundo: La alarma será ejecutada una vez que el número de bytes por segundo haya excedido (o caído por debajo de) el valor especificado. Advierta que debe ingresar el valor en bytes, así si desea que la alarma se ejecute cuando el ritmo de transferencia exceda 1Mbyte por segundo, el valor debería ser ingresado como 1000000.
|
| · | Paquetes por Segundo: la alarma será ejecutada una vez que el número paquetes ha excedido (o caído por debajo de) el valor especificado.
|
| · | Paquetes broadcast por segundo: La alarma será ejecutada una vez que el número de paquetes broadcast ha excedido (o caído por debajo de) el valor especificado.
|
| · | Paquetes multicast por segundo: La alarma será ejecutada una vez que el número de paquetes multicast haya excedido (o caído por debajo de) el valor especificado.
|
| · | Errores CRC por segundo – La alarma será disparada una vez que el número de errores CRC por Segundo ha excedido (o caído por debajo) del valor especificado.
|
| · | Reintentos por segundo – La alarma será disparada una vez que el número de reintentos por Segundo haya excedido (o caído por debajo) del valore especificado
|
| · | Dirección Física Desconocida: La alarma será ejecutada una vez que CommView ha capturado un paquete con una dirección física de fuente o destino desconocida. Utilice el botón Configurar para ingresar las direcciones físicas conocidas. Este tipo de alarma es útil para detectar dispositivos de hardware no autorizados a conectarse a su LAN.
|
| · | Dirección IP Desconocida: La alarma será ejecutada una vez que CommView ha capturado un paquete con una dirección IP fuente o de destino desconocida. Utilice el botón Configurar para ingresar las direcciones de IP conocidas. Este tipo de alarma es útil para detectar conexiones de IP no autorizadas, mas alla del firewall corporativo.
|
| · | PAs Corruptas – La alarma será disparada una vez que CommView ha capturado un paquete baliza desde un punto de acceso desconocido. Use el botón Configurar para ingresar direcciones físicas (MAC) de puntos de acceso conocidos. este tipo de alarmas es útil para detectar puntos de acceso no autorizados.
|
| · | Redes Ad Hoc – La alarma será disparada una vez que CommView ha capturado un paquete baliza desde una estación Ad Hoc desconocida. Use el botón Configurar para ingresar las direcciones físicas (MAC) de estaciones Ad Hoc conocidas, si hay alguna. Este tipo de alarmas es útil para detector uso no autorizado de redes Ad Hoc.
|
El campo Eventos necesarios para ejecutar le permite especificar el número de veces que el evento esperado debe ocurrir antes de que la alarma sea ejecutada. Por ejemplo, si especifica el valor 3, la alarma no se ejecutara hasta que el evento ocurra tres veces. Si edita una alarma existente, el contador interno de eventos se restaurará.
El campo Veces para ejecutar esta alarma le permite especificar el número de veces que la alarma sea ejecutada antes de la desactivación. Por omisión, este valor es de 1, de tal forma que la alarma se desactivará después que el primer evento ocurre. Incrementando este valor, hará que CommView ejecute la alarma múltiples veces. Si edita una alarma existente, el contador interno de disparo se restaurará.
El cuadro de Acción le permite seleccionar la acción a ser realizada cuando ocurra el evento de alarma. Las siguientes opciones se encuentran disponibles:
| · | Mostrar Mensaje: Muestra un cuadro de mensajes con el texto especificado. Esta acción permite el uso de variables a ser reemplazadas por los correspondientes parámetros del paquete que ha disparado la alarma. Estas variables están enumeradas a continuación:
|
| %SMAC% -- Dirección física (MAC) origen.
|
| %DMAC% -- Dirección física (MAC) destino.
|
| %SIP% -- Dirección IP origen.
|
| %DIP% -- Dirección IP destino.
|
| %SPORT% -- Puerto origen.
|
| %DPORT% -- Puerto destino.
|
| %ETHERPROTO% --Protocolo Ethernet.
|
| %IPPROTO% --Protocolo IP.
|
| %SIZE% -- Tamaño de paquete.
|
| %FILE% -- La ruta a un archivo temporario que contiene el paquete capturado.
|
Por ejemplo, si su mensaje es "Paquete SYN recibido desde %SIP%", en la ventana actual que aparece el texto %SIP% será reemplazado por la dirección IP origen del paquete que disparo la alarma. Si utiliza la variable %FILE%, un archivo .NCF será creado en la carpeta temporaria. Es su responsabilidad borrar el archivo después de que ha sedo procesado; CommView no hace ningún intento de borrarlo. No debería utilizar variables si la alarma es disparada por valores de Bytes por Segundo o Paquetes por segundo, dado que estos tipos de alarmas no son disparados por paquetes individuales.
| · | Reproducir Sonido: reproduce el archivo WAV especificado.
|
| · | Iniciar Aplicación: Corre el EXE especificado o archivo COM. Utilice el campo opcional Parámetros para ingresar las opciones de línea de comando. Puede utilizar las variables descriptas en la sección Mostrar Mensaje de arriba como parámetros de línea de comandos si desea que su aplicación reciba y procese información acerca de paquetes que dispararon alarmas.
|
| · | Enviar E-mail a: Envía e-mail a la dirección especificada de e-mail. Debe configurar CommView para utilizar su servidor SMTP antes de enviar el e-mail. Utilice el botón Configurar E-mail al lado de la lista de alarma para ingresar su configuración de servidor SMTP y enviar un e-mail de prueba. Usualmente, un mensaje de e-mail puede ser utilizado para enviar alertas a su aplicación de mensajes instantáneos. Por ejemplo, para enviar un mensaje a un usuario ICQ, debería ingresar la dirección de e-mail como ICQ_USER_UIN@pager.icq.com, donde ICQ_USER_UIN es el número único de identificación de usuario ICQ, y permitir mensajes de EmailExpress en las opciones de ICQ. Remítase a la documentación de su aplicación de mensajes instantáneos u operador de telefonía celular para obtener mayor información. El campo Agregar texto puede ser usado para agregar un mensaje arbitrario a la notificación de e-mail. Puede usar las variables descritas en la sección Mostrar mensaje en el texto de mensaje.
|
| · | Habilitar Reglas de Captura: activa Reglas Avanzadas debería ingresar el(los) nombre(s) de reglas. Si existen reglas múltiples deben ser activadas, sepárelas con comas o punto y coma.
|
| · | Desactivar otras alarmas: Desactiva otras alarmas; debería ingresar el(los) nombre(s) de alarma. Si alarmas múltiples deben ser desactivada, sepárelas con coma o punto y coma.
|
| · | Iniciar Registro: Activa el guardado automático (vea el capítulo Registro) CommView comenzará a volcar paquetes al disco rígido.
|
| · | Detener registro: desactiva el guardado automático.
|
Haga clic en OK para guardar sus definiciones y cerrar el cuadro de diálogo de configuración de alarma.
Todos los eventos y acciones relativas a las alarmas serán listados en la ventana Registro de Eventos debajo de la lista de alarma.
|
