 |
|
|
 |
Einführung |
|
|
Die Benutzung von CommView |
|
|
VoIP-Analyse |
|
|
Weiterführende Themen |
|
|
Information |
|
|
|
|
Dieser Dialog ermöglicht es Alarme zu erzeugen, die Sie über bestimmte Ereignisse informieren, wie verdächtige Pakete, starke Bandbreitennutzung, unbekannte Adressen usw. Solche Alarme sind sehr nützlich, wenn Sie das Netzwerk auf bestimmte verdächtige Ereignisse überwachen, wie auffällige Bytemuster in den empfangenen Paketen, Portscans oder unerwartete Hardwareverbindungen.
Alarme werden über die folgende Liste verwaltet:
Jede Zeile entspricht einem separaten Alarm und diee Checkbox daneben zeigt, ob der Alarm gegenwärtig aktiv ist. Wenn ein Alarm ausgelöst wird verschwindet die Checkbox. Um einen deaktivierten Alarm wieder zu aktivieren markieren Sie erneut die Checkbox neben dem Alarmnamen. Um alle Alarme zu deaktivieren, leeren Sie die Liste Alarme aktivieren. Um einen neuen Alarm zu editieren oder zu löschen verwenden Sie bitte die gleichnamigen Buttons im rechten Teil des Dialogs. Mittels des Button [E-Mail-Setup] können Informationen zu Ihrem SMTP-Server eingegeben werden, wenn Sie E-Mail-Benachrichtigung wünschen (s. u.).
Betätigen Sie Hinzufügen … um das Alarm-Setup-Fenster zu öffnen:
Das Feld Name sollte für die Beschreibung der Alarmfunktion genutzt werden. Aktivieren Sie die Checkbox Aktiviert wenn der Alarm nach dem Hinzufügen/Editieren bei Beendigung des Setup aktiviert werden soll. Diese Checkbox entspricht der in der Alarmliste. Mit dem Auswahlbereich Alarm Typ wählen Sie einen von sieben Alarmen aus:
| · | Paket-Ereignis: CommView löst den Alarm aus, wenn es ein Paket empfängt, das einer bestimmten Formel entspricht. Die Formelsyntax entspricht der Syntax für die Fortgeschrittenenregeln. Mehr dazu unter Erweiterte Regeln.
|
| · | Bytes/Sekunde: Der Alarm wird ausgelöst, wenn die Byteanzahl/Sekunde einen Grenzwert über- bzw. unterschreitet. Bitte beachten Sie, dass der Wert in Bytes eingegeben werden muss, so dass bei einem gewünschten Alarm ab 1 Mbyte/Sekunde ein Wert von 1000000 eingegeben werden muss.
|
| · | Pakete/Sekunde: Der Alarm wird ausgelöst, wenn die Anzahl der Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet.
|
| · | Broadcasts/Sekunde: Der Alarm wird ausgelöst, wenn die Anzahl der Broadcast-Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet.
|
| · | Multicasts/Sekunde: Der Alarm wird ausgelöst, wenn die Anzahl der Multicast-Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet.
|
| · | Unbekannte MAC-Adr.: Der Alarm wird ausgelöst, wenn CommView ein Paket von einer unbekannten Quell- oder zu einer unbekannten Ziel-MAC-Adresse empfängt. Mittels des Konfigurationsbutton Konfiguration können Sie eine bekannte MAC-Adresse eingeben. Dieser Alarm ist nützlich, um neue unautorisierte Geräte zu erkennen, die mit Ihrem LAN verbunden sind.
|
| · | Unbekannte IP-Adresse: Der Alarm wird ausgelöst, wenn CommView ein Paket mit einer unbekannten Quell- oder Ziel-IP-Adresse oder IPv6-Adresse empfängt. Mittels des Buttons [Konfigurieren] können Sie eine bekannte IP-Adresse eingeben. Dieser Alarm ist nützlich, um unautorisierte IP-Verbindungen hinter einer Firmen-Firewall zu entdecken. Die Benutzung von IPv6-Adressen erfordert Windows XP oder höher und die IPv6-Stapelung muss installiert sein.
|
Das Eingabefeld Erford. Anzahl Ereignisse für Alarm: ermöglicht Ihnen den Schwellenwert für die Ereignisanzahl festzulegen, um einen Alarm auslösen zu lassen. Wenn Sie z. B. einen Wert von 3 wählen, wird ein Alarm erst ausgelöst, wenn das entsprechende Ereignis dreimal auftaucht. Wenn Sie einen bereits existierenden Alarm editieren, wird der Zähler auf Null zurückgesetzt.
Das Eingabefeld Max. Anzahl Auslösungen des Alarms: ermöglicht es Ihnen die Anzahl der Alarme festzulegen, bevor diese deaktiviert werden. Standardeinstellung ist hier 1, so dass nach dem ersten Alarm dieser deaktiviert wird. Wenn Sie diesen Wert erhöhen, wird CommView ihn mehrmals auslösen. Wenn Sie einen Alarm editieren, wird der Zähler auf Null zurückgesetzt.
Im Bereich Aktion wählen sie die mit dem Alarm auszulösenden Ereignisse. Folgende Aktionen stehen zur Wahl:
| · | Nachrichten anzeigen: Zeigt eine non-modale Meldungsbox mit dem definierten Text. Mit dieser Aktion können Sie Variablen verwenden, die im Alarmfall durch die entsprechenden Parameter des Paketes, das den Alarm hervorrief, ersetzt werden. Diese Variablen sind:
|
| %SMAC% -- Quell-MAC-Adresse.
|
| %DMAC% -- Ziel-MAC-Adresse.
|
| %SIP% -- Quell-IP-Adresse.
|
| %DIP% -- Ziel-IP-Adresse.
|
| %ETHERPROTO% -- Ethernet-Protokoll.
|
| %IPPROTO% -- IP-Protokoll.
|
| %FILE% -- Pfad zu einer temporären Datei, die das empfangene Paket enthält.
|
| So wird z. B. in Ihrer Nachricht in der Meldung "SYN Paket von %SIP%," im aktuellen Popup Windowtext %SIP% ersetzt werden durch die Quell-IP-Adresse des alarmauslösenden Paketes. Wenn Sie die %FILE%-Variable verwenden, wird eine NCF-Datei in einem temporären Verzeichnis erzeugt. Es liegt in Ihrer Verantwortung diese Datei nach der Bearbeitung zu löschen. Sie sollten keine Variablen verwenden, wenn der Alarm ausgelöst wurde von Bytes/Sekunde- oder Pakete/Sekunde-Werten, da diese Alarme nicht von individuellen Paketen ausgelöst werden.
|
| · | Nachricht sprechen: Lässt Windows, unter Benutzung der Text-to-speech engine, die Nachricht sprechen. Diese Checkbox ist abgeschaltet, wenn Ihre Windows-Version keine Text-to-speech engine besitzt. Standardmäßig kommt Windows nur mit englischen Computerstimmen, sodass Windows nicht in der Lage ist, Nachrichtentext in anderen Sprachen als englisch korreckt auszusprechen. Sie können die in der Sektion Nachrichten anzeigen beschriebenen Variablen im Nachrichtentext benutzen.
|
| · | Akustisches Signal: spielt die gewählte WAV-Datei ab.
|
| · | Applikation starten: Startet die ausgewählte EXE- oder COM-Datei. Mit dem optionalen Feld Parameter: können in der Befehlszeile Parameter eingegeben werden. Die Variablen, die in der Sektion Nachrichten anzeigen: beschrieben wurden können als Befehlszeilenparameter eingegeben werden, sofern Sie möchten, dass die Anwendung Informationen über das alarmauslösende Paket empfängt und bearbeitet.
|
| · | E-Mail senden an: – Sendet eine E-mail an eine definierte Adresse. CommView MUSS konfiguriert werden, um Ihren SMPT-Server vor dem Senden der E-Mail nutzen zu können. Mittels des Button E-Mail-Setup neben der Alarmliste können Sie Ihre SMPT-Server-Einstellungen eingeben und eine Test-E-Mail absenden. Man kann E-Mail-Benachrichtigungen auch an Instant Messenger-Anwendungen, Handy oder Pager senden. Um z. B. eine Nachricht an einen ICQ-User zu senden, geben Sie die E-Mail-Adresse als ICQ_USER_UIN@pager.icq.com ein, wobei ICQ_USER_UIN die eindeutige ICQ-Identifikationsnummer ist. Dazu müssen die EmailExpress Messages in den ICQ-Optionen aktiviert sein. Mehr dazu in Ihrem Instant Messenger- oder Handy-Handbuch. Das Feld Text hinzufügen kann zum Hinzufügen einer beliebigen Nachricht zur E-Mailbenachrichtigung genutzt werden. Sie können die in der Sektion Nachrichten anzeigen beschriebenen Variablen im Nachrichtentext benutzen.
|
| · | Mit diesem Dialog können Sie sich die TCP-Kommunikation zwischen zwei Host's ansehen. Um eine TCP-Sitzung zu rekonstruieren, wählen Sie als erstes ein TCP-Paket im Register Pakete. Abhängig von den Einstellungen (Checkbox: Suche den Sitzungstart wenn TCP-Sitzungsrekonstruktion startet in Einstellungen => Optionen => Dekodierung), wird die Sitzung von dem ausgewählten Paket ausgehend (kann ein Paket aus der Sitzungsmitte oder vom Sitzungsstart sein) rekonstruiert. Nach dem Sie das Paket gefunden nd ausgewählt haben, führen Sie einen rechtsklick darauf aus und wählen Rekonstruiere TCP-Sitzung wie unten gezeigt:
|
| · | Andere Alarme deaktivieren::– Deaktiviert andere Alarme. Sie sollten dabei den Alarmnamen angeben. Mehrere Regeln werden komma- bzw. semikolongetrennt eingegeben.
|
| · | Logging starten: Startet die Autospeicherung (s. Kapitel Logging). CommView beginnt dann Pakete auf der Festplatte abzulegen.
|
| · | Logging stoppen: beendet die Autospeicherung.
|
Klicken Sie auf [OK] um die Einstellungen abzuspeichern und das Alarmdialogfenster zu schliessen.
Alle Ereignisse und Aktionen, die mit den Alarmen zu tun haben, finden Sie im Bereich Ereignislog unterhalb der Alarmliste.
|
