Обнаружение попыток подключения

Система защиты наблюдает за вашей сетью и предупреждает о попытках вторжения. Она так же может предупредить Вас, если кто-то пытается подключиться к компьютеру без авторизации.

Система защиты отображает число и время имевшего места подключения, IP-адрес «жертвы» и «хакера», а так же DNS-имя и порт на который было подключение.

Обращаем Ваше внимание на то, что предупреждение о вторжении не означает удачное подключение. Это могла быть всего лишь проба уязвимых портов. Просматривая сессию «хакера» в режиме декодирования, Вы можете узнать, было ли оно успешным или нет.

Настройки защиты

Для вызова системы защиты нажмите кнопку «Guard» . Если защита отключена, Вам предложат ее включить. Во включенном состоянии окно защиты (Guard window) отображается в Iris и показывает все пакеты адресованные локальным станциям.

Если левая контрольная панель не видна, для включения защиты, нажмите:

Tools=>Guard=>Enable Guard

Для изменения настроек нажмите:

Tools=>Guard=>Guard Settings

Опция	Описание
Enable alarm sound (Включить звуковое оповещение)	Iris оповещает о попытке подключения посредством звукового сигнала
Play this wave file (Проигрывать выбранный файл)	Укажите звуковой файл для воспроизведения
Log to file (Вести отчет)	Все попытки подключения будут запротоколированы
Ignore all local connections (Игнорировать локальные подключения)	Iris будет использовать IP-адрес и маску сети для определения компьютеров, входящих в локальную сеть. Если включена, Iris не станет протоколировать подключения локальных компьютеров.
Ignore connections on these ports (Игнорировать подключения на порт)	Iris заблокирует подключения на все порты из прилагающегося списка
Use software filter (использовать программный фильтр)	Если заполнена, Iris применит правила к фильтру. Если поле пусто, Iris будет предупреждать о всех программах, устанавливающих соединение

Оповещение защиты

При включенной защите для просмотра подключений нажмите на панели инструментов.

На рисунке показано сканирование портов по адресу 192.168.1.66 с адреса 192.168.1.206.

Создание фильтров

Вы можете выбрать фильтры через меню фильтров (Filter Menu) или иконку фильтров на панели инструментов. Фильтры могут быть сохранены, а потом повторно использованы. Включенный фильтр, так же, может быть изменен перед сохранением. Если фильтр не отсеивает (собирает) необходимые Вам данные он может быть уделен через главное меню.

Использование адресной книги в фильтрах

Адресная книга поможет Вам задать удобные имена для сетевых компонентов.

Чтобы использовать адресную книгу для задания фильтров, нажмите правую кнопку мыши над пакетом, содержащим адрес, который Вы хотите отфильтровать, и выберите «Add to Address Book» (Add Source или Add Destination). Теперь этот адрес может быть использован в создании фильтров.

Чтобы открыть Адресную книгу нажмите: View=>Address Book.

На контрольной панели нажмите кнопку «Filters» и откройте страницу свойств IP-фильтров (IP Filters property).

Перетащите адрес с Дерева Адресной Книги в пустой слот (IP или MAC адрес) фильтра.

Аппаратный фильтр

Этот фильтр приказывает сетевому адаптеру захватывать определенные пакеты.

Чтобы посмотреть аппаратные фильтры на панели управления нажмите «Filters», выберите «Аппаратные фильтры» (Hardware Filters). Выберите опцию из приведенных ниже.

Опция	Описание
Promiscuous (Смешанный)	Захватывает все пакеты из данного сегмента сети
Directed (Определенные)	Пропускает только пакеты, адресованные этому адаптеру
Multicast (Сложносоставные)	Осуществляет захват сложносоставных (больших по размеру) пакетов
All multicast (Все сложносоставные)	Захват сложносоставных пакетов с указанного списка адресов
Broadcast (Передача)	Передача фреймов
Functional (Функциональные)	Захват функциональных пакетов с/на определенного адреса
Mac Frame	Мас пакеты
Source Routing	Пакеты с определенного адреса
Group (Групповые)	Пакеты, отправленные для целой группы адресов
Smt	SMT пакеты
All Functional	Захват всех функциональных пакетов

Фильтр уровней

Используйте этот фильтр, если Вам необходимо сортировать пакеты по типу (2 уровень» и подтипу (3 уровень)

Для установки фильтра уровней пакетов, нажмите кнопку «Filters» и выберите закладку «Layer 2,3».

Установите требуемый уровень и нажмите кнопку «Apply» , чтобы фильтр вступил в силу.

Вы можете оптимизировать любой протокол, изменив proto.dat, находящийся в папке Iris, посредством любого текстового редактора.

Для 2 уровня исправьте данные в секции «Protocol», для 3 уровня исправьте секцию «IP Protocol».

Чтобы поместить необходимый Вам протокол в числе первых (отображаются в алфавитном порядке), перед именем поставьте прочерк. Например:

01 _ICMP [Internet Control Message]

02 _IGMP [Internet Group Management]

03 GGP [Gateway-to-Gateway]

Протоколы ICMP и IGMP будут предшествовать протоколу GGP.

Данные 2 уровня могут быть заданны интервалом. Например:

1001-100F Berkeley Trainer

Все 1001,1002,1003...100F значения будут отображены как Berkeley Trainer.

Фильтр слов

Используйте словесный фильтр, что бы отслеживать пакеты или целые сессии, содержащие отдельные слова или предложения.

Чтобы получить справку о значении той или иной кнопки, подержите курсор над кнопкой в течение пары секунд.

Введите слова, по которым хотите совершить сортировку.

Используйте кнопки «OR» и «AND», чтобы поиск осуществлялся по любому или всем словам в пакете сразу.

«Apply filter to packets» используется по умолчанию, пропускаться будут только пакеты, содержащие необходимые слова.

«Mark sessions containing words», данный режим будет пропускать все пакеты и помечать сессии с нужными словами в режиме декодирования.

Заметьте, восклицательным знаком отмечены сессии, содержащие оба искомых слова.

Фильтр MAC-адресов

Эти фильтры позволяют отслеживать обращения к особому аппаратному уровню адресов, известных как МАС (Media Access Control). Этот фильтр следит за обращениями к определенным устройствам.

В окне фильтров выберете закладку «MAC addresses».

Верхний раздел отображает уже известные Вам МАС-адреса (включая адресную книгу). Вы можете перетаскивать необходимые адреса мышкой или вводить их с клавиатуры вручную.

Фильтр IP-адресов

Фильтр IP-адресов позволяет захватывать входящие/исходящие пакеты на определенные адреса. Нажмите кнопку «Filters» и выберете закладку «IP Address».

Выберете режим: