Nebula - Съвместно откриване и реагиране (CDR)

Имате още въпроси? Подаване на заявка

Съвместното откриване и реагиране (CDR) на Zyxel Nebula е функция за сигурност, предназначена да открива и блокира злонамерен клиентски IP трафик във вашата мрежа. Тя работи чрез идентифициране на несигурни връзки, които достигат предварително зададен праг. Когато CDR е активиран, той може да блокира или поставя под карантина трафика от кабелни и WiFi клиенти, които изпращат злонамерен трафик, предотвратявайки разпространението му в цялата мрежа.

CDR идентифицира злонамерен трафик чрез комбинация от уеб филтриране, анти-малуер и IPS (IDP) подписи.

За да използвате пълната функционалност на CDR, ви е необходимo:

  • Лиценз Gold/UTM Security Pack.
  • Лиценз Nebula Pro Pack.

Без тези лицензи функционалността на CDR ще бъде ограничена или недостъпна. Например, с Nebula Base/Plus Pack и без Gold/UTM Security Pack, откриването на CDR събития е налично и събитията се записват, но действия за ограничаване като предупреждение, блокиране или карантина не са възможни.

Можете да конфигурирате настройките на CDR в Site-wide > Configure > Collaborative detection & response в контролния център на Nebula.

CDR

 кликнете на „Enable“, за да активирате функцията CDR

 “Enable” to activate CDR feature

Ето таблицата с политики, където можете да конфигурирате критериите и действията, както е показано на фигурата по-долу:

 policy table

 

Обяснение на термините:

Occurrence (Поява): Колко пъти е засечена заплаха от клиент.

 Duration (Продължителност): В рамките на зададеното време CDR открива заплаха.

Containment (Ограничаване): Действието, когато и двата критерия са задействани.

Alert (Предупреждение): NCC изпраща имейл за предупреждение до администраторите при задействане. Функциите за сигурност блокират незаконния трафик.

Block (Блокиране): NCC изпраща имейл за предупреждение до администраторите. Gateway или AP блокира трафика и го пренасочва към блокираща страница. *Блокирането на безжичен клиент се поддържа само на AP. Клиентът не може да се свърже с WiFi през периода на блокиране.

Quarantine (Карантина): NCC изпраща имейл за предупреждение до администраторите. AP прекъсва WiFi връзката на клиента и когато клиентът се свърже отново, получава IP от карантинна VLAN. *Функцията карантина работи само на AP.

CDR

4. Блокирането предотвратява достъпа на злонамерения клиент до безжичната мрежа, докато
Карантината е за AP (поддържащ CDR), който изолира клиентите чрез динамично задаване на VLAN.

using dynamic VLAN assignment

5. Списъкът с изключения е бял списък, където можете да въведете IP или MAC адреса на устройството, което не искате да бъде блокирано от CDR.

 Figure 3. Exempt list

 Фигура 3. Списък с изключения

Пример за клиент, блокиран от CDR

Когато клиент е посетил злонамерен уебсайт и действието задейства критериите на CDR, браузърът на клиента ще покаже предупредително съобщение, както е показано на фигурата по-долу:

CDR warning message

Фигура 4. Предупредително съобщение на CDR

Как администраторът може да освободи клиента?

Отидете на Site-wide > Monitor > Containment list, където можете да изберете „Release“ или „Add to Exempt list“.

Containment list

Фигура 5. Списък за ограничаване

Статии в този раздел

Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.