Dieses
Register ermöglicht es Alarme zu erzeugen, die Sie über bestimmte
Ereignisse informieren, wie verdächtige Pakete, starke
Bandbreitennutzung, unbekannte Adressen usw. Solche Alarme sind
sehr nützlich, wenn Sie das Netzwerk auf bestimmte verdächtige
Ereignisse überwachen, wie auffällige Bytemuster in den empfangenen
Paketen, Portscans oder unerwartete Hardwareverbindungen.
Alarme werden
über die folgende Liste verwaltet:
Jede Zeile
entspricht einem separaten Alarm und diee Checkbox daneben zeigt,
ob der Alarm gegenwärtig aktiv ist. Wenn ein Alarm ausgelöst wird
verschwindet die Checkbox. Um einen deaktivierten Alarm wieder zu
aktivieren markieren Sie erneut die Checkbox neben dem Alarmnamen.
Um alle Alarme zu deaktivieren, leeren Sie die Liste
Alarme
aktivieren. Um einen neuen Alarm zu
editieren oder zu löschen verwenden Sie bitte die gleichnamigen
Buttons im rechten Teil des Dialogs. Mittels des Button
[E-Mail-Setup]
können
Informationen zu Ihrem SMTP-Server eingegeben werden, wenn Sie
E-Mail-Benachrichtigung wünschen (s. u.).
Das
Alarmeinstellungsfenster wird unten gezeigt:
Das
Feld Name
sollte für die
Beschreibung der Alarmfunktion genutzt werden. Aktivieren Sie die
Checkbox Aktiviert
wenn der Alarm
nach dem Hinzufügen/Editieren bei Beendigung des Setup aktiviert
werden soll. Diese Checkbox entspricht der in der Alarmliste. Mit
dem Auswahlbereich Alarm
Typ wählen Sie einen von
sieben Alarmen aus:
·
|
Paket-Ereignis:
CommView löst
den Alarm aus, wenn es ein Paket empfängt, das einer bestimmten
Formel entspricht. Die Formelsyntax entspricht der Syntax für die
Fortgeschrittenenregeln. Mehr dazu unter
Erweiterte
Regeln. |
·
|
Bytes/Sekunde:
Der Alarm wird
ausgelöst, wenn die Byteanzahl/Sekunde einen Grenzwert über- bzw.
unterschreitet. Bitte beachten Sie, dass der Wert in Bytes
eingegeben werden muss, so dass bei einem gewünschten Alarm ab 1
Mbyte/Sekunde ein Wert von 1000000 eingegeben werden
muss. |
·
|
Pakete/Sekunde:
Der Alarm wird
ausgelöst, wenn die Anzahl der Pakete/Sekunde einen Grenzwert über-
bzw. unterschreitet. |
·
|
Broadcasts/Sekunde:
Der Alarm wird
ausgelöst, wenn die Anzahl der Broadcast-Pakete/Sekunde einen
Grenzwert über- bzw. unterschreitet. |
·
|
Multicasts/Sekunde:
Der Alarm wird
ausgelöst, wenn die Anzahl der Multicast-Pakete/Sekunde einen
Grenzwert über- bzw. unterschreitet. |
·
|
Unbekannte
MAC-Adr.: Der Alarm wird ausgelöst,
wenn CommView ein Paket von einer unbekannten Quell- oder zu einer
unbekannten Ziel-MAC-Adresse empfängt. Mittels des Buttons
[Konfigurieren]
können Sie
eine bekannte MAC-Adresse eingeben. Dieser Alarm ist nützlich, um
neue unautorisierte Geräte zu erkennen, die mit Ihrem LAN verbunden
sind. |
·
|
Unbekannte
IP-Adresse: Der Alarm wird
ausgelöst, wenn CommView ein Paket mit einer unbekannten Quell-
oder Ziel-IP-Adresse oder IPv6-Adresse empfängt. Mittels des
Buttons [Konfigurieren]
können Sie
eine bekannte IP-Adresse eingeben. Dieser Alarm ist nützlich, um
unautorisierte IP-Verbindungen hinter einer Firmen-Firewall zu
entdecken. Die Benutzung von IPv6-Adressen erfordert Windows XP
oder höher und die IPv6-Stapelung muss installiert
sein. |
Das
Eingabefeld Erford.
Anzahl
Ereignisse für Alarm: ermöglicht Ihnen den
Schwellenwert für die Ereignisanzahl festzulegen, um einen Alarm
auslösen zu lassen. Wenn Sie z. B. einen Wert von 3 wählen, wird
ein Alarm erst ausgelöst, wenn das entsprechende Ereignis dreimal
auftaucht. Wenn Sie einen bereits existierenden Alarm editieren,
wird der Zähler auf Null zurückgesetzt.
Das
Eingabefeld Max.
Anzahl Auslösungen des Alarms: ermöglicht es Ihnen die
Anzahl der Alarme festzulegen, bevor diese deaktiviert werden.
Standardeinstellung ist hier 1, so dass nach dem ersten Alarm
dieser deaktiviert wird. Wenn Sie diesen Wert erhöhen, wird
CommView ihn mehrmals auslösen. Wenn Sie einen Alarm editieren,
wird der Zähler auf Null zurückgesetzt.
Im
Bereich Aktion
wählen sie die
mit dem Alarm auszulösenden Ereignisse. Folgende Aktionen stehen
zur Wahl:
·
|
Nachrichten
anzeigen - Zeigt eine non-modale
Meldungsbox mit dem definierten Text. Mit dieser Aktion können Sie
Variablen verwenden, die im Alarmfall durch die entsprechenden
Parameter des Paketes, das den Alarm hervorrief, ersetzt werden.
Diese Variablen sind: |
%SMAC% --
Quell-MAC-Adresse.
%DMAC% --
Ziel-MAC-Adresse.
%SIP% --
Quell-IP-Adresse.
%DIP% --
Ziel-IP-Adresse.
%SPORT% --
Quell-Port.
%DPORT% --
Ziel-Port.
%ETHERPROTO%
-- Ethernet-Protokoll.
%IPPROTO% --
IP-Protokoll.
%SIZE% --
Paketgröße.
%FILE% -- Pfad
zu einer temporären Datei, die das empfangene Paket enthält.
So wird z. B.
in Ihrer Nachricht in der Meldung "SYN Paket von %SIP%," im
aktuellen Popup Windowtext %SIP% ersetzt werden durch die
Quell-IP-Adresse des alarmauslösenden Paketes. Wenn Sie die
%FILE%-Variable verwenden, wird eine NCF-Datei in einem temporären
Verzeichnis erzeugt. Es liegt in Ihrer Verantwortung diese Datei
nach der Bearbeitung zu löschen. Sie sollten keine Variablen
verwenden, wenn der Alarm ausgelöst wurde von Bytes/Sekunde
- oder Pakete/Sekunde-Werten,
da diese Alarme nicht von individuellen Paketen ausgelöst
werden.
·
|
Nachricht
sprechen - Lässt Windows, unter
Benutzung der Text-to-speech engine, die Nachricht sprechen. Diese
Checkbox ist abgeschaltet, wenn Ihre Windows-Version keine
Text-to-speech engine besitzt. Standardmäßig kommt Windows nur mit
englischen Computerstimmen, sodass Windows nicht in der Lage ist,
Nachrichtentext in anderen Sprachen als englisch korreckt
auszusprechen. Sie können die in der Sektion Nachrichten
anzeigen beschriebenen Variablen im
Nachrichtentext benutzen. |
·
|
Akustisches
Signal - Spielt die gewählte
WAV-Datei ab. |
·
|
Applikation
starten - Startet die ausgewählte
EXE- oder COM-Datei. Mit dem optionalen Feld Parameter:
können in der Befehlszeile Parameter eingegeben werden. Die
Variablen, die in der Sektion Nachrichten
anzeigen: beschrieben wurden
können als Befehlszeilenparameter eingegeben werden, sofern Sie
möchten, dass die Anwendung Informationen über das alarmauslösende
Paket empfängt und bearbeitet. |
·
|
E-Mail
senden an – Sendet eine E-mail an
eine definierte Adresse. CommView MUSS konfiguriert werden, um
Ihren SMPT-Server vor dem Senden der E-Mail nutzen zu können.
Mittels des Buttons E-Mail-Einstellungen
neben der
Alarmliste können Sie Ihre SMPT-Server-Einstellungen eingeben und
eine Test-E-Mail absenden. Man kann E-Mail-Benachrichtigungen auch
an Instant Messenger-Anwendungen, Handy oder Pager senden. Um z. B.
eine Nachricht an einen ICQ-User zu senden, geben Sie die
E-Mail-Adresse als ICQ_USER_UIN@pager.icq.com ein, wobei
ICQ_USER_UIN die eindeutige ICQ-Identifikationsnummer ist. Dazu
müssen die EmailExpress Messages in den ICQ-Optionen aktiviert
sein. Mehr dazu in Ihrem Instant Messenger- oder Handy-Handbuch.
Das Feld Text hinzufügen kann zum Hinzufügen einer beliebigen
Nachricht zur E-Mailbenachrichtigung genutzt werden. Sie können die
in der Sektion Nachrichten anzeigen beschriebenen Variablen im
Nachrichtentext benutzen.Applikation
starten - Startet die ausgewählte
EXE- oder COM-Datei. Mit dem optionalen Feld Parameter:
können in der Befehlszeile Parameter eingegeben werden. Die
Variablen, die in der Sektion Nachrichten
anzeigen: beschrieben wurden
können als Befehlszeilenparameter eingegeben werden, sofern Sie
möchten, dass die Anwendung Informationen über das alarmauslösende
Paket empfängt und bearbeitet. |
·
|
E-Mail
senden an – Sendet eine E-mail an
eine definierte Adresse. CommView MUSS konfiguriert werden, um
Ihren SMPT-Server vor dem Senden der E-Mail nutzen zu können.
Mittels des Buttons E-Mail-Einstellungen
neben der
Alarmliste können Sie Ihre SMPT-Server-Einstellungen eingeben und
eine Test-E-Mail absenden. Man kann E-Mail-Benachrichtigungen auch
an Instant Messenger-Anwendungen, Handy oder Pager senden. Um z. B.
eine Nachricht an einen ICQ-User zu senden, geben Sie die
E-Mail-Adresse als ICQ_USER_UIN@pager.icq.com ein, wobei
ICQ_USER_UIN die eindeutige ICQ-Identifikationsnummer ist. Dazu
müssen die EmailExpress Messages in den ICQ-Optionen aktiviert
sein. Mehr dazu in Ihrem Instant Messenger- oder Handy-Handbuch.
Das Feld Text hinzufügen kann zum Hinzufügen einer beliebigen
Nachricht zur E-Mailbenachrichtigung genutzt werden. Sie können die
in der Sektion Nachrichten anzeigen beschriebenen Variablen im
Nachrichtentext benutzen. |
·
|
Erfassungsregeln
aktivieren – Aktiviert
Erweiterte
Regeln; Sie
müssen den Regelname eingeben. Mehrere Regeln werden komma- bzw.
semikolongetrennt eingegeben. |
·
|
Andere
Alarme deaktivieren – Deaktiviert andere
Alarme. Sie sollten dabei den Alarmnamen eingeben. Mehrere Regeln
werden komma- bzw. semikolongetrennt eingegeben. |
·
|
Logging
starten - Startet die
Autospeicherung (s. Kapitel
Protokollierung). CommView beginnt dann
Pakete auf der Festplatte abzulegen. |
·
|
Logging
stoppen: beendet die
Autospeicherung. |
Klicken Sie
auf [OK]
um die
Einstellungen abzuspeichern und das Alarmdialogfenster zu
schliessen.
Alle
Ereignisse und Aktionen, die mit den Alarmen zu tun haben, finden
Sie im Bereich Ereignislog
unterhalb der
Alarmliste.
|