Nebula - Collaborative Detection & Response (CDR)

Zyxel Nebulas Collaborative Detection & Response (CDR) ist eine Sicherheitsfunktion, die entwickelt wurde, um bösartigen Client-IP-Verkehr in Ihrem Netzwerk zu erkennen und zu blockieren. Sie funktioniert, indem unsichere Verbindungen identifiziert werden, die einen voreingestellten Schwellenwert erreichen. Wenn CDR aktiviert ist, kann es den Verkehr von kabelgebundenen und WiFi-Clients, die bösartigen Verkehr senden, blockieren oder in Quarantäne stellen und so die Ausbreitung im gesamten Netzwerk verhindern.

CDR erkennt bösartigen Verkehr durch eine Kombination aus Webfilterung, Anti-Malware und IPS (IDP)-Signaturen.

Um die volle Funktionalität von CDR nutzen zu können, benötigen Sie:

  • Eine Gold/UTM Security Pack Lizenz.
  • Eine Nebula Pro Pack Lizenz.

Ohne diese Lizenzen ist die CDR-Funktionalität eingeschränkt oder nicht verfügbar. Zum Beispiel ist bei einem Nebula Base/Plus Pack ohne Gold/UTM Security Pack die CDR-Ereigniserkennung verfügbar und Ereignisse werden protokolliert, aber Eindämmungsmaßnahmen wie Alarm, Blockierung oder Quarantäne sind nicht möglich.

Sie können die CDR-Einstellungen unter Standortweit > Konfigurieren > Collaborative Detection & Response im Nebula Control Center konfigurieren.

CDR

Klicken Sie auf „Aktivieren“, um die CDR-Funktion zu aktivieren.

 “Enable” to activate CDR feature

Hier ist die Richtlinientabelle, in der Sie die Kriterien und die Aktionen konfigurieren können, wie in der Abbildung unten dargestellt:

 policy table

 

Erklärungen der Begriffe:

Vorkommen: Wie oft ein Bedrohungsereignis von einem Client ausgelöst wurde.

Dauer: Innerhalb dieses Zeitraums erkennt CDR eine Bedrohung.

Eindämmung: Die Aktion, wenn beide Kriterien ausgelöst wurden.

Alarm: NCC sendet bei Auslösung eine Alarm-E-Mail an Administratoren. Sicherheitsdienste blockieren den illegalen Verkehr.

Blockieren: NCC sendet eine Alarm-E-Mail an Administratoren. Gateway oder AP blockieren den Verkehr und leiten ihn auf die Blockierungsseite um. *Das Blockieren von drahtlosen Clients wird nur auf APs unterstützt. Der Client kann während der Blockierungsdauer keine Verbindung zum WiFi herstellen.

Quarantäne: NCC sendet eine Alarm-E-Mail an Administratoren. Der AP trennt die WiFi-Verbindung des Clients und wenn der Client sich erneut verbindet, erhält er eine IP aus dem Quarantäne-VLAN. *Die Quarantäne-Funktion funktioniert nur auf APs.

CDR

4. Blockieren dient dazu, den bösartigen Client am Zugriff auf das drahtlose Netzwerk zu hindern, während
Quarantäne für APs (die CDR unterstützen) verwendet wird, um Clients mittels dynamischer VLAN-Zuweisung zu isolieren.

using dynamic VLAN assignment

5. Die Ausnahmeliste ist eine Whitelist, in der Sie die IP- oder MAC-Adresse von Geräten eingeben können, die nicht von CDR blockiert werden sollen.

 Figure 3. Exempt list

 Abbildung 3. Ausnahmeliste

Beispiel für einen von CDR blockierten Client

Wenn ein Client eine bösartige Webseite besucht hat und dies die CDR-Kriterien auslöst, erscheint im Browser des Clients eine Warnmeldung, wie in der Abbildung unten dargestellt:

CDR warning message

Abbildung 4. CDR-Warnmeldung

Wie kann der Administrator den Client freigeben?

Gehen Sie zu Standortweit > Überwachen > Eindämmungsliste, dort können Sie „Freigeben“ oder „Zur Ausnahmeliste hinzufügen“ auswählen.

Containment list

Abbildung 5. Eindämmungsliste

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.