Zyxel Nebulas Collaborative Detection & Response (CDR) ist eine Sicherheitsfunktion, die entwickelt wurde, um bösartigen Client-IP-Verkehr in Ihrem Netzwerk zu erkennen und zu blockieren. Sie funktioniert, indem unsichere Verbindungen identifiziert werden, die einen voreingestellten Schwellenwert erreichen. Wenn CDR aktiviert ist, kann es den Verkehr von kabelgebundenen und WiFi-Clients, die bösartigen Verkehr senden, blockieren oder in Quarantäne stellen und so die Ausbreitung im gesamten Netzwerk verhindern.
CDR erkennt bösartigen Verkehr durch eine Kombination aus Webfilterung, Anti-Malware und IPS (IDP)-Signaturen.
Um die volle Funktionalität von CDR nutzen zu können, benötigen Sie:
- Eine Gold/UTM Security Pack Lizenz.
- Eine Nebula Pro Pack Lizenz.
Ohne diese Lizenzen ist die CDR-Funktionalität eingeschränkt oder nicht verfügbar. Zum Beispiel ist bei einem Nebula Base/Plus Pack ohne Gold/UTM Security Pack die CDR-Ereigniserkennung verfügbar und Ereignisse werden protokolliert, aber Eindämmungsmaßnahmen wie Alarm, Blockierung oder Quarantäne sind nicht möglich.
Sie können die CDR-Einstellungen unter Standortweit > Konfigurieren > Collaborative Detection & Response im Nebula Control Center konfigurieren.
Klicken Sie auf „Aktivieren“, um die CDR-Funktion zu aktivieren.
Hier ist die Richtlinientabelle, in der Sie die Kriterien und die Aktionen konfigurieren können, wie in der Abbildung unten dargestellt:

Erklärungen der Begriffe:
Vorkommen: Wie oft ein Bedrohungsereignis von einem Client ausgelöst wurde.
Dauer: Innerhalb dieses Zeitraums erkennt CDR eine Bedrohung.
Eindämmung: Die Aktion, wenn beide Kriterien ausgelöst wurden.
Alarm: NCC sendet bei Auslösung eine Alarm-E-Mail an Administratoren. Sicherheitsdienste blockieren den illegalen Verkehr.
Blockieren: NCC sendet eine Alarm-E-Mail an Administratoren. Gateway oder AP blockieren den Verkehr und leiten ihn auf die Blockierungsseite um. *Das Blockieren von drahtlosen Clients wird nur auf APs unterstützt. Der Client kann während der Blockierungsdauer keine Verbindung zum WiFi herstellen.
Quarantäne: NCC sendet eine Alarm-E-Mail an Administratoren. Der AP trennt die WiFi-Verbindung des Clients und wenn der Client sich erneut verbindet, erhält er eine IP aus dem Quarantäne-VLAN. *Die Quarantäne-Funktion funktioniert nur auf APs.

4. Blockieren dient dazu, den bösartigen Client am Zugriff auf das drahtlose Netzwerk zu hindern, während
Quarantäne für APs (die CDR unterstützen) verwendet wird, um Clients mittels dynamischer VLAN-Zuweisung zu isolieren.

5. Die Ausnahmeliste ist eine Whitelist, in der Sie die IP- oder MAC-Adresse von Geräten eingeben können, die nicht von CDR blockiert werden sollen.
Abbildung 3. Ausnahmeliste
Beispiel für einen von CDR blockierten Client
Wenn ein Client eine bösartige Webseite besucht hat und dies die CDR-Kriterien auslöst, erscheint im Browser des Clients eine Warnmeldung, wie in der Abbildung unten dargestellt:
Abbildung 4. CDR-Warnmeldung
Wie kann der Administrator den Client freigeben?
Gehen Sie zu Standortweit > Überwachen > Eindämmungsliste, dort können Sie „Freigeben“ oder „Zur Ausnahmeliste hinzufügen“ auswählen.
Abbildung 5. Eindämmungsliste




Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.