Collaborative Detection & Response (CDR) od Zyxel Nebula je bezpečnostní funkce navržená k detekci a blokování škodlivého IP provozu klientů ve vaší síti. Funguje tak, že identifikuje nebezpečná připojení, která dosáhnou přednastaveného prahu. Když je CDR povoleno, může blokovat nebo umisťovat do karantény provoz od drátových i WiFi klientů, kteří odesílají škodlivý provoz, čímž se zabrání jeho šíření v celé síti.
CDR identifikuje škodlivý provoz pomocí kombinace Webového filtrování, Anti-Malware a IPS (IDP) podpisů.
Pro plné využití funkcí CDR potřebujete:
- licenci Gold/UTM Security Pack.
- licenci Nebula Pro Pack.
Bez těchto licencí bude funkčnost CDR omezená nebo nedostupná. Například s Nebula Base/Plus Pack a bez Gold/UTM Security Pack je detekce událostí CDR dostupná a události jsou zaznamenávány, ale akce omezení jako upozornění, blokování nebo karanténa nejsou možné.
Nastavení CDR můžete konfigurovat v Site-wide > Configure > Collaborative detection & response v ovládacím centru Nebula.
klikněte na „Enable“ pro aktivaci funkce CDR
Zde je tabulka pravidel, kde můžete nastavit kritéria a akce, jak je znázorněno na následujícím obrázku:

Vysvětlení pojmů:
Occurrence (Výskyt): Kolikrát bylo ohrožení zaznamenáno [HW1] klientem.
Duration (Doba trvání): Během této doby CDR detekuje hrozbu.
Containment (Omezení): Akce, která nastane, když jsou splněna obě kritéria.
Alert (Upozornění): NCC odešle administrátorům upozornění e-mailem při spuštění. Bezpečnostní služby zablokují nelegální provoz.
Block (Blokace): NCC odešle administrátorům upozornění e-mailem. Brána nebo AP zablokují provoz a přesměrují ho na blokovací stránku. *Blokace bezdrátového klienta je podporována pouze na AP. Klient se během doby blokace nemůže připojit k WiFi.
Quarantine (Karanténa): NCC odešle administrátorům upozornění e-mailem. AP odpojí WiFi připojení klienta a při dalším připojení klient získá IP adresu z karanténní VLAN. *Funkce karantény funguje pouze na AP.

4. Blokace slouží k zabránění škodlivému klientovi v přístupu do bezdrátové sítě, zatímco
Karanténa je pro AP (které podporuje CDR) a izoluje klienty pomocí dynamického přiřazení VLAN.

5. Výjimkový seznam je bílá listina, kam můžete zadat IP nebo MAC zařízení, které nechcete, aby bylo CDR blokováno.
Obrázek 3. Výjimkový seznam
Příklad klienta zablokovaného CDR
Když klient navštívil škodlivou webovou stránku a tato akce splnila kritéria CDR, v prohlížeči klienta se zobrazí varovná zpráva, jak je znázorněno na následujícím obrázku:
Obrázek 4. Varovná zpráva CDR
Jak může správce klienta uvolnit?
Přejděte do Site-wide > Monitor > Containment list, kde můžete zvolit „Release“ (Uvolnit) nebo „Add to Exempt list“ (Přidat do výjimkového seznamu).
Obrázek 5. Seznam omezení




Komentáře
0 komentářůProsím přihlaste se, abyste mohli napsat komentář.