|
Dieser Dialog ermöglicht es Alarme zu erzeugen, die Sie über bestimmte Ereignisse informieren, wie verdächtige Pakete, starke Bandbreitennutzung, unbekannte Adressen usw. Solche Alarme sind sehr nützlich, wenn Sie das Netzwerk auf bestimmte verdächtige Ereignisse überwachen, wie auffällige Bytemuster in den empfangenen Paketen, Portscans oder unerwartete Hardwareverbindungen.
Wichtig: Die Alarme können nur von gefilterten Paketen ausgelöst werden. Wenn Sie z. B. das Programm so konfigurieren, dass es UDP-Pakete ausfiltert und andererseits die Alarmfunktion so einstellen, dass sie durch UDP-Pakete ausgelöst wird, so wird der Alarm nie ausgelöst.
Alarme werden über die folgende Liste verwaltet:
Jede Zeile entspricht einem separaten Alarm und die Checkbox neben dem Alarmnamen zeigt, ob der Alarm gegenwärtig aktiv ist. Wenn ein Alarm ausgelöst wird verschwindet die Checkbox. Um einen deaktivierten Alarm wieder zu aktivieren markieren Sie erneut die Checkbox neben dem Alarmnamen. Um alle Alarme zu deaktivieren, leeren Sie die Liste Alarme aktivieren. Um einen neuen Alarm zu editieren oder zu löschen verwenden Sie bitte die gleichnamigen Buttons im rechten Teil des Dialogs. Sofern Sie E-Mail-Benachrichtigung wünschen, können Sie mittels des Button E-Mail-Setup Informationen zu Ihrem SMTP-Server eingeben (s.u.).
Betätigen Sie Hinzufügen … um das Alarm-Setup-Fenster zu öffnen:
Das Feld Name sollte die Alarmfunktion beschreiben. Aktivieren Sie die Checkbox Aktiviert wenn der Alarm nach dem Hinzufügen/Editieren bei Beendigung des Setup aktiviert werden soll. Dieses Feld entspricht dem in der Alarmliste. Mit dem Auswahlbereich Alarm Typ wählen Sie einen von zehn Alarmen aus:
| • | Paket-Ereignis – CommView löst den Alarm aus, wenn es ein Paket empfängt, das einer bestimmten Formel entspricht. Die Formelsyntax entspricht der Syntax für die Erweiterten Regeln. Mehr dazu unter Erweiterte Regeln. |
| • | Bytes/Sekunde – Der Alarm wird ausgelöst, wenn die Byteanzahl/Sekunde einen Grenzwert über- bzw. unterschreitet. Bitte beachten Sie, dass der Wert in Bytes eingegeben werden muss, so dass bei einem gewünschten Alarm ab 1 Mbyte/Sekunde ein Wert von 1000000 eingegeben werden muss. |
| • | Pakete/Sekunde – Der Alarm wird ausgelöst, wenn die Anzahl der Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet. |
| • | Broadcasts/Sekunde – Der Alarm wird ausgelöst, wenn die Anzahl der Broadcast-Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet. |
| • | Multicasts/Sekunde - Der Alarm wird ausgelöst, wenn die Anzahl der Multicast-Pakete/Sekunde einen Grenzwert über- bzw. unterschreitet. |
| • | CRC-Fehler/Sekunde - Der Alarm wird ausgelöst, wenn die Anzahl der CRC-Fehler/Sekunde einen Grenzwert über- bzw. unterschreitet. |
| • | Erneute Versuche/Sekunde - Der Alarm wird ausgelöst, wenn die Anzahl der Wiederholungsversuche/Sekunde einen Grenzwert über- bzw. unterschreitet. |
| • | Unbekannte MAC-Adr. – Der Alarm wird ausgelöst, wenn CommView ein Paket von einer unbekannten Quell- oder zu einer unbekannten Ziel-MAC-Adresse empfängt. Mittels des Konfigurationsbutton Konfiguration können Sie eine bekannte MAC-Adresse eingeben. Dieser Alarm ist nützlich, um neue unautorisierte Geräte zu erkennen, die mit Ihrem WLAN verbunden sind. |
| • | Unbekannte IP-Adr. – Der Alarm wird ausgelöst, wenn CommView ein Paket mit einer unbekannten Quell- oder Ziel-IP-Adresse oder IPv6-Adresse empfängt. Mittels des Buttons [Konfigurieren] können Sie eine bekannte IP-Adresse eingeben. Dieser Alarm ist nützlich, um unautorisierte IP-Verbindungen hinter einer Firmen-Firewall zu entdecken. Die Benutzung von IPv6-Adressen erfordert Windows XP oder höher und die IPv6-Stapelung muss installiert sein. |
| • | Nicht autorisierter AP – Der Alarm wird ausgelöst, wenn CommView ein Beacon-Paket von einem unbekannten Accesspoint empfängt. Mittels des Konfigurationsbutton Konfiguration können Sie die MAC-Adresse eines bekannten Accesspoints eingeben. Dieser Alarm ist nützlich, um unautorisierte Accesspoints zu entdecken. |
| • | Ad-Hoc-Netzwerk - Der Alarm wird ausgelöst, wenn CommView ein Beacon-Paket von eine?r unbekannten Ad-Hoc-Station empfängt. Benutzen Sie den Button [Konfigurieren] um MAC-Adressen bekannter Ad-Hoc-Stationen einzugeben. Dieser Alarmtyp ist nützlich zum Aufspüren unautorisierter Benutzung von Ad-Hoc-Netzwerken. |
Das Eingabefeld Erforderliche Anzahl Ereignisse für Alarm ermöglicht Ihnen den Schwellenwert für die Ereignisanzahl festzulegen, um einen Alarm auslösen zu lassen. Wenn Sie z. B. einen Wert von 3 wählen, wird ein Alarm erst ausgelöst, wenn das entsprechende Ereignis dreimal auftaucht. Wenn Sie einen bereits existierenden Alarm editieren, wird der Zähler auf Null zurückgesetzt.
Das Eingabefeld Max. Anzahl Auslösungen des Alarms ermöglicht es Ihnen die Anzahl der Alarme festzulegen, bevor diese deaktiviert werden. Standardeinstellung ist hier 1, so dass nach dem ersten Alarm dieser deaktiviert wird. Wenn Sie diesen Wert erhöhen, wird CommView ihn mehrmals auslösen. Wenn Sie einen Alarm editieren, wird der Zähler auf Null zurückgesetzt.
Im Bereich Aktion wählen sie die mit dem Alarm auszulösenden Ereignisse. Folgende Aktionen stehen zur Wahl:
| • | Nachrichten anzeigen: Zeigt eine non-modale Meldungsbox mit dem definierten Text. Mit dieser Aktion können Sie Variablen verwenden, die im Alarmfall durch die entsprechenden Parameter des Paketes, das den Alarm hervorrief, ersetzt werden. Diese Variablen sind: |
%SMAC% -- Quell-MAC-Adresse.
%DMAC% -- Ziel-MAC-Adresse.
%SIP% -- Quell-IP-Adresse.
%DIP% -- Ziel-IP-Adresse.
%SPORT% -- Quell-Port.
%DPORT% -- Ziel-Port.
%ETHERPROTO% -- Ethernet-Protokoll.
%IPPROTO% -- IP-Protokoll.
%SIZE% -- Paketgröße.
%FILE% -- Pfad zu einer temporären Datei, die das empfangene Paket enthält.
So wird z. B. in Ihrer Nachricht in der Meldung "SYN Paket von %SIP%," im aktuellen Popup Windowtext %SIP% ersetzt werden durch die Quell-IP-Adresse des alarmauslösenden Paketes. Wenn Sie die %FILE%-Variable verwenden, wird eine NCF-Datei in einem temporären Verzeichnis erzeugt. Es liegt in Ihrer Verantwortung diese Datei nach der Bearbeitung zu löschen. Sie sollten keine Variablen verwenden, wenn der Alarm ausgelöst wurde von Bytes/Sekunde- oder Pakete/Sekunde-Werten, da diese Alarme nicht von individuellen Paketen ausgelöst werden.
| • | Akustisches Signal – spielt die gewählte WAV-Datei ab. |
| • | Applilation starten: – Startet die ausgewählte EXE- oder COM-Datei. Mit dem optionalen Feld Parameter können in der Befehlszeile Parameter eingegeben werden. Die Variablen, die in der Sektion Nachrichten anzeigen beschrieben wurden können als Befehlszeilenparameter eingegeben werden, sofern Sie möchten, dass die Anwendung Informationen über das alarmauslösende Paket empfängt und bearbeitet. |
| • | E-Mail senden an – Sendet eine E-mail an eine definierte Adresse. CommView MUSS konfiguriert werden, um Ihren SMPT-Server vor dem Senden der E-Mail nutzen zu können. Mittels des Button [E-Mail-Setup] neben der Alarmliste können Sie Ihre SMPT-Server-Einstellungen eingeben und eine Test-E-Mail absenden. Man kann E-Mail-Benachrichtigungen auch an Instant Messenger-Anwendungen, Handy oder Pager senden. Um z. B. eine Nachricht an einen ICQ-User zu senden, geben Sie die E-Mail-Adresse als ICQ_USER_UIN@pager.icq.com ein, wobei ICQ_USER_UIN die eindeutige ICQ-Identifikationsnummer ist. Dazu müssen die EmailExpress Messages in den ICQ-Optionen aktiviert sein. Mehr dazu in Ihrem Instant Messenger- oder Handy-Handbuch. Das Feld Text hinzufügen kann zum Hinzufügen einer beliebigen Nachricht zur E-Mailbenachrichtigung genutzt werden. Sie können die in der Sektion Nachrichten anzeigen beschriebenen Variablen im Nachrichtentext benutzen. |
| • | Paketerfassungsregeln aktivieren – Aktiviert die Erweiterte Regeln; Sie können dort eine oder mehrere Regeln eingeben. Mehrere Regeln werden komma- bzw. semikolongetrennt eingegeben. |
| • | Andere Alarme deaktivieren – Deaktiviert andere Alarme; Sie sollten dabei den/die Alarmnamen angeben. Mehrere Regeln werden komma- bzw. semikolongetrennt eingegeben. |
| • | Logging starten – Startet die Autospeicherung (s. Kapitel Logging); CommView beginnt dann Pakete auf der Festplatte abzulegen. |
| • | Logging stoppen – beendet die Autospeicherung. |
Klicken Sie auf [OK] um die Einstellungen abzuspeichern und das Alarmdialogfenster zu schliessen.
Alle Ereignisse und Aktionen, die mit den Alarmen zu tun haben, finden Sie im Bereich Ereignislog unterhalb der Alarmliste.
|
