Zyxel Nebula's Collaborative Detection & Response (CDR) er en sikkerhedsfunktion designet til at opdage og blokere ondsindet klient-IP-trafik i dit netværk. Den fungerer ved at identificere usikre forbindelser, der når en forudindstillet tærskel. Når CDR er aktiveret, kan den blokere eller isolere trafik fra kablede og WiFi-klienter, der sender ondsindet trafik, og dermed forhindre spredning i hele netværket.
CDR identificerer ondsindet trafik ved hjælp af en kombination af Web Filtering, Anti-Malware og IPS (IDP) signaturer.
For at udnytte den fulde funktionalitet af CDR skal du have:
- En Gold/UTM Security Pack licens.
- En Nebula Pro Pack licens.
Uden disse licenser vil CDR-funktionaliteten være begrænset eller utilgængelig. For eksempel, med en Nebula Base/Plus Pack og uden Gold/UTM Security Pack, er CDR-hændelsesdetektion tilgængelig og hændelser logges, men indekseringshandlinger som alarm, blokering eller karantæne er ikke.
Du kan konfigurere CDR-indstillinger under Site-wide > Configure > Collaborative detection & response i Nebula kontrolcenteret.
Klik på "Enable" for at aktivere CDR-funktionen
Her er politik-tabellen, hvor du kan konfigurere kriterier og handlinger, som vist i figuren nedenfor:

Forklaring af termer:
Forekomst: Hvor mange gange en trussel rammer [HW1] af en klient.
Varighed: Inden for tidsperioden opdager CDR en trussel.
Indeslutning: Handlingen når begge kriterier er udløst.
Alarm: NCC sender en alarmmail til administratorer, når den udløses. Sikkerhedstjenester blokerer ulovlig trafik.
Blokering: NCC sender en alarmmail til administratorer. Gateway eller AP blokerer trafikken og omdirigerer den til blokside. *Blokering af trådløse klienter understøttes kun på AP. Klienten kan ikke oprette forbindelse til WiFi i blokeringens varighed.
Karantæne: NCC sender en alarmmail til administratorer. AP afbryder klientens WiFi-forbindelse, og når klienten forbinder igen, får den en karantæne VLAN IP. *Karantænefunktionen virker kun på AP.

4. Blokering forhindrer den ondsindede klient i at få adgang til det trådløse netværk, mens
Karantæne er for AP (der understøtter CDR), som isolerer klienter ved hjælp af dynamisk VLAN-tildeling.

5. Undtagelseslisten er en hvidliste, hvor du kan indtaste IP- eller MAC-adressen på enheder, som du ikke ønsker skal blive blokeret af CDR.
Figur 3. Undtagelsesliste
Eksempel på en klient blokeret af CDR
Når en klient har surfet på et ondsindet websted, og handlingen udløser CDR-kriterierne, vil klientens browser vise en advarselsbesked som vist i figuren nedenfor:
Figur 4. CDR advarselsbesked
Hvordan kan administratoren frigive klienten?
Gå til Site-wide > Monitor > Containment list, hvor du kan vælge "Release" eller "Add to Exempt list".
Figur 5. Indeslutningsliste




Kommentarer
0 kommentarerLog ind for at kommentere.