TamoSoft: Network Analysis Tools & Security Software
Contents

NetResident Help Documentation

 

Plugins

NetResident benutzt ein Protokollmodul-Pluginsystem zur Verarbeitung und Anzeige von Netzwerkereignissen. Jedes Plugin ist zuständig für die Verarbeitung eines Netzwerkprotokolls oder einer Anzahl von Protokollen. Das NetResident-Installationspaket wird mit den folgenden Protokoll-Plugins ausgeliefert:

 

Web – verarbeitet die Datenübertragungen über das HTTP-Protokoll. Dieses Plugin ist für die Anzeige von Webseiten zuständig.
Mail – verarbeitet die Datenübertragungen über POP3-, SMTP- und IMAP-Protokolle. Diese Protokolle werden von E-Mail-Clients und Server-Software für E-Mail-Nachrichtenaustausch benutzt.
News – verarbeitet die Datenübertragungen über das NNTP-Protokoll. Dieses Protokoll wird für Newsgruppennachrichtensendungen und -anzeigen benutzt.
ICQ/AIM – verarbeitet die Datenübertragungen über ICQ- und AOL-Sofortnachrichten-Protokolle.
MSN – verarbeitet die Datenübertragungen über das MSN-Sofortnachrichten-Protokoll Version 8.
FTP – verarbeitet die Datenübertragungen über das FTP-Protokoll, welches zum Herunter-/Heraufladen von Dateien von/nach FTP-Servern benutzt wird.
Yahoo – verarbeitet die Datenübertragungen über das Yahoo-Sofortnachrichten-Protokoll.
Jabber – verarbeitet die Datenübertragungen über das XMPP-Protokoll. Dieses Protokoll wird benutzt für Sofortnachrichten verschiedener Jabber-Clients inklusive Google Talk. Beachten Sie bitte, dass das Jabber-Plugin keine SSL-verschlüsselten Nachrichten erfassen kann.
IRC – verarbeitet die Datenübertragungen über das Internet Relay Chat-Protokoll.
Telnet – verarbeitet die Datenübertragungen über das Telnet-Protokoll.
VoIP – verarbeitet die Datenübertragungen über das SIP-Protokoll unter Benutzung von RTP Voice Streams.
WebMail – verarbeitet E-Mailnachrichten, die über das Web-Interface von web-basierten Mail-Systemen gesendet oder empfangen wurden (GMail, Hotmail und Yahoo!-Mail werden unterstützt).

Hinweis: Das Web-Plugin ist für eine genaue Funktion von Webmail erforderlich.

 

Hinweis: Das Abspielen von erfassten Voice Streams ist für Lite-Lizenz-Anwender nicht verfügbar.

 

Die Plugin-Module befinden sich im Installationsverzeichnis im Unterverzeichnis Plugins. Standardmäßig sind alle Plugins eingeschaltet und aktiv, z.B. die Plugins verarbeiten Netzwerkdaten und speichern diese in die Datenbank. Wenn Sie nicht an der Verarbeitung und Speicherung der Datenübertragung eines bestimmten Protokolls interessiert sind, können Sie das zugehörige Plugin abschalten um die CPU-Belastung und Festplattenspeicherausnutzung zu reduzieren.

 

Zusätzliche Plugin-Module von TamoSoft können zu NetResident hinzugefügt werden, sobald diese verfügbar sind. Kopieren Sie die Plugin-Moduldatei in das Unterverzeichnis Plugins im Installationsverzeichnis. Nach dem Hinzufügen eines Plugins, starten Sie den NetResident-Dienst erneut um das neue Modul zu laden. Klicken Sie dazu auf den Menüpunkt Stop NetResident-Dienst / Start NetResident-Dienst in der NetResident-Programmgruppe um den Dienst erneut zu starten.

 

Einige NetResident-Plugins können konfiguriert werden, erfasste Ereignisse auszublenden (sie werden nicht in der Ereignisliste angezeigt, aber in der Datenbank gespeichert) oder Ereignisse während der Erfassung völlig auszufiltern (sie werden weder in der Datenbank gespeichert noch angezeigt). Der letzte Typ wird als "Erfassungsfilter" bezeichnet.

 

Zur Konfiguration eines Plaugins zur Ausblendung eines Ereignisses, wählen Sie Ereignisse => Filter => Erweitert. Ghen Sie zum Plaugin-Register. Wählen Sie das erforderliche Plugin und klicken Sie auf den Button [Ändern]. Zur Konfiguration von Erfassungsfilterung, wählen Sie Werkzeuge => Optionen und klicken Sie auf Plugins. Wählen Sie das gewünschte Plugin und klicken Sie zur Änderung der Einstellungen auf den Button [Ändern]. Die folgenden Optionen sind verfügbar:

 

HTTP-Plugin-Filter

 

Die Anzeige von Webseiten erfordert von einem Browser eine große Menge von Zusatzdateien automatisch zu laden, wenn eine Webseite geöffnet wird. Das Ziel dieses Filters ist die Ausblendung aller Zusatzdateien zum Zweck der Anzahlreduzierung angezeigter Aufgezeichnungen.

 

http_filter

 

Bitte aktivieren Sie die Checkbox Filterung einschalten, damit die HTTP-Filter aktiv werden. Wenn Sie diese Filter temporär abschalten möchten, deaktivieren diese Checkbox.

 

Die Liste Anzeige der folgenden Typen ermöglicht Ihnen die Dateitypen zu spezifizieren, welche als Netzwerkereignis (oder auch nicht, abhängig von den Einstellungen) angezeigt werden.

 

Textdateien – Text- und HTML-Dateien (Webseiten)
Bilder – Bilder
Bekannte Dateien – Archive (.zip, .rar, .arj, usw.), MS-Office-Dokumente (.doc, .xls) und andere bekannte Dateien werden nicht angezeigt, wenn diese Checkbox aktiviert ist.
Audiodateien - Audiodateien
Videodateien - Videodateien
Alle anderen – jeder andere Dateityp

 

Deaktivierung der zugehörigen Checkboxen läßt NetResident die betreffenden Dateien aus der Ereignisliste ausblenden. Beispielsweise, wenn Sie die Checkbox Bilder deaktivieren, sind Sie nicht in der Lage irgendein Bild in der Liste zu sehen. Durch Deaktivierung der zugehörigen Checkboxen entfernt NetResident die betreffenden Dateitypen aus der Liste. Falls Sie alle deaktivieren werden Sie überhaupt keine HTTP-Netzwerkereignisse sehen.

 

Minimum Bildgröße, Kb – Diese Option setzt die minimale Größe fest, die ein Bild haben muss um angezeigt zu werden. Die meisten Bilder im Web (abgesehen von Fotos) sind sehr klein. Wenn Sie möchten, dass NetResident Bilder anzeigt, Sie aber keine Banner und Seitenelemente sehen möchten, geben Sie den benötigten Wert in diesem Feld ein.

 

Fehlerhafte Antworten ignorieren – Falls aktiviert, blendet diese Option fehlerhafte Anfragen/Antworten aus (die meisten Anwender sollten diese Option einschalten um die Anzahl von Junk-Aufzeichnungen zu reduzieren).

 

Ein anderer Teil des HTTP-Filters ist die Seitenadressfilterung. Er ermöglicht Ihnen spezifische Seiten auszublenden unter Benutzung des Seitennamens als Filterkriterium.

 

Folgende Seiten ausblenden – Seitenadressfilterung ein-/ausschalten

 

Wenn die Seitenadressfilterung eingeschaltet ist, wird der Filter alle Seiten auf die das Filterkriterium zutrifft (im Bereich Seitenadressfilterung spezifiziert) angewandt. Benutzen Sie bitte die folgende Syntax zur Festlegung von Filterkriterien:

 

. – jedes Symbol

\. – für den Punkt

\d – für Zahlen (von 0 bis 9)

 

NetResident benutzt standardmäßig reguläre Ausdrücke zur Filterung. Sie finden mehr Informationen bezüglich regulärer Ausdrücke und deren Syntax unter http://www.regular-expressions.info/reference.html

 

Beispielkriterien:

 

Google\.com – Blendet Seiten aus, deren Domain-Name "google.com" beinhaltet.

www\.google\.com – Blendet www.google.com aus.

\.org$ – Blendet alle Seiten der ORG-Domain aus.

\d – Blendet alle Seiten aus, deren Domain-Namen eine Zahl enthält.

 

Hinweis: Wenn Sie nur den Domain-Namen als Kriterium festlegen (.org, .com, usw.) sollte das Schriftzeichen $ ans Ende der Zeichenkette gesetzt werden.

 

Um ein Filterkriterium hinzuzufügen, klicken Sie bitte auf den Button [Hinzufügen] auf der rechten Seite des Fensters.

 

http_filter_new_record

 

Das Fenster Aufzeichnung hinzufügen wird geöfnet. Legen Sie ein bitte ein benötigtes Kriterium fest und klicken Sie auf den Button [OK]. Das Fenster wird geschlossen und die betreffende Aufzeichnung wird der Filterkriterienliste hinzugefügt.

 

Um eine Eintragung zu entfernen, wählen Sie diese bitte in der Liste an und klicken auf den Button [Entfernen]. Um eine Eintragung zu bearbeiten, wählen Sie die betreffende Eintragung und klicken auf den Button [Bearbeiten].

 

HTTP-Erfassungsfilter

 

Der Gebrauch des Filters ist ähnlich zu dem vorhergehenden, ausgenommen, dass er Ereignisse ausfiltert, bevor diese in die Datenbank gespeichert werden. Dies reduziert die Größe des erforderlichen Festplattenplatzes und CPU-Belastung während der Datenbankaufbereitung.

 

http_capture_filter

 

Aktivieren Sie die Checkbox Filterung einschalten, damit die HTTP-Filter aktiv werden. Wenn Sie diese Filter temporär abschalten möchten, deaktivieren diese Checkbox.

 

Aktivieren Sie die Checkbox SSL-Sitzungen auslassen zur Abschaltung der Erfassung von HTTPS-Sitzungen.

 

Das Fenster Seitenadressfilterung ermöglicht Ihnen eine Auflistung von URL's zu konfigurieren, welche die Applikation filtern soll. Mehr Information über die Syntax zur Spezifizierung von Filterkriterien (normale Ausdrücke) wird oben erklärt. Zwei Filtermodi sind verfügbar: Nur Ereignisse erfassen, die den Filterkriterien entsprechen (die Option Nur die folgenden URL's erfassen) oder alle Ereignisse erfassen, ausgenommen solche, die den Filterkriterien entsprechen (die Option Alle außer den folgenden URL's erfassen).

 

 

 

Mail-Erfassungsfilter

 

Dieser Filter dient zur Filterung von E-mail-Nachrichten und ist dem vorherigen Filter in der Funktionalität ähnlich.

 

mail_capture_filter

 

Zur Aktivierung des Mail-Erfaasungsfilters aktivieren Sie die Checkbox Filterung aktivieren. Wenn Sie diese Filter temporär abschalten möchten, deaktivieren diese Checkbox.

 

Ereignisse können über den Sender/Empfänger ausgefiltert werden und über Schlüsselwörter aus dem Nachrichtentext. Boolean Logik (AND/OR) wird zur Kombinierung von Filterbedingungen benutzt. Mehr Information über die Syntax zur Spezifizierung von Filterkriterien (normale Ausdrücke) wird oben erklärt. Dieser Filter ermöglicht entweder die Erfassung aller Mail-Nachrichten die den Filterbedingungen entsprechen (die Option Nur das folgende erfassen) oder alle Ereignisse erfassen, ausgenommen solche, die den Filterbedingungen entsprechen (die Option Alle ausser den folgenden erfassen).

 

FTP-Erfassungsfilter

 

Der Erfassungsdatenaustausch mittels FTP-Protokoll kann zur Speicherung vieler großer Dateien in der Applikationsdatenbank führen. Der Zweck dieses Filters ist die Begrenzung der Größe solcher Dateien.

 

ftp_eng

 

Aktivieren Sie die Checkbox Filterung einschalten um diesen Filter einzuschalten. Wenn Sie diesen Filter temporär ausschalten möchten, deaktivieren Sie diese Checkbox.

 

Aktivieren Sie die Checkbox Dateigröße einstellen und geben Sie die benötigte Maximumdateigröße in Megabyte im zugehörigenden Feld rechts ein.

 

Die folgenden Optionen können von den Dateien angewandt werden, wenn sie die festgelegte Begrenzung übersteigen:

 

·Dateiinhalt verwerfen - wenn aktiviert, verwirft NetResident den Inhalt der erfassten Datei und setzt die Dateigröße auf null. Das Programm sammelt eine Aufzeichnung der erfassten Datei in der Datenbank, aber der Dateiinhalt ist nicht vorhanden.

 

·Teile des Dateiinhalts speichern - wenn ausgewählt, wird nur ein Teil des Dateiinhaltes gespeichert. Der Teil oberhalb der Dateigrößenbegrenzung wird verworfen.