Съвместното откриване и реагиране (CDR) на Zyxel Nebula е функция за сигурност, предназначена да открива и блокира злонамерен клиентски IP трафик във вашата мрежа. Тя работи чрез идентифициране на несигурни връзки, които достигат предварително зададен праг. Когато CDR е активиран, той може да блокира или поставя под карантина трафика от кабелни и WiFi клиенти, които изпращат злонамерен трафик, предотвратявайки разпространението му в цялата мрежа.
CDR идентифицира злонамерен трафик чрез комбинация от уеб филтриране, анти-малуер и IPS (IDP) подписи.
За да използвате пълната функционалност на CDR, ви е необходимo:
- Лиценз Gold/UTM Security Pack.
- Лиценз Nebula Pro Pack.
Без тези лицензи функционалността на CDR ще бъде ограничена или недостъпна. Например, с Nebula Base/Plus Pack и без Gold/UTM Security Pack, откриването на CDR събития е налично и събитията се записват, но действия за ограничаване като предупреждение, блокиране или карантина не са възможни.
Можете да конфигурирате настройките на CDR в Site-wide > Configure > Collaborative detection & response в контролния център на Nebula.
кликнете на „Enable“, за да активирате функцията CDR
Ето таблицата с политики, където можете да конфигурирате критериите и действията, както е показано на фигурата по-долу:

Обяснение на термините:
Occurrence (Поява): Колко пъти е засечена заплаха от клиент.
Duration (Продължителност): В рамките на зададеното време CDR открива заплаха.
Containment (Ограничаване): Действието, когато и двата критерия са задействани.
Alert (Предупреждение): NCC изпраща имейл за предупреждение до администраторите при задействане. Функциите за сигурност блокират незаконния трафик.
Block (Блокиране): NCC изпраща имейл за предупреждение до администраторите. Gateway или AP блокира трафика и го пренасочва към блокираща страница. *Блокирането на безжичен клиент се поддържа само на AP. Клиентът не може да се свърже с WiFi през периода на блокиране.
Quarantine (Карантина): NCC изпраща имейл за предупреждение до администраторите. AP прекъсва WiFi връзката на клиента и когато клиентът се свърже отново, получава IP от карантинна VLAN. *Функцията карантина работи само на AP.

4. Блокирането предотвратява достъпа на злонамерения клиент до безжичната мрежа, докато
Карантината е за AP (поддържащ CDR), който изолира клиентите чрез динамично задаване на VLAN.

5. Списъкът с изключения е бял списък, където можете да въведете IP или MAC адреса на устройството, което не искате да бъде блокирано от CDR.
Фигура 3. Списък с изключения
Пример за клиент, блокиран от CDR
Когато клиент е посетил злонамерен уебсайт и действието задейства критериите на CDR, браузърът на клиента ще покаже предупредително съобщение, както е показано на фигурата по-долу:
Фигура 4. Предупредително съобщение на CDR
Как администраторът може да освободи клиента?
Отидете на Site-wide > Monitor > Containment list, където можете да изберете „Release“ или „Add to Exempt list“.
Фигура 5. Списък за ограничаване




Коментари
0 коментараВлезте в услугата, за да оставите коментар.