Nebula - Detección y Respuesta Colaborativa (CDR)

La Detección y Respuesta Colaborativa (CDR) de Zyxel Nebula es una función de seguridad diseñada para detectar y bloquear el tráfico IP malicioso de clientes dentro de su red. Funciona identificando conexiones inseguras que alcanzan un umbral preestablecido. Cuando CDR está habilitado, puede bloquear o poner en cuarentena el tráfico de clientes cableados y WiFi que envían tráfico malicioso, evitando su propagación por toda la red.

CDR identifica el tráfico malicioso utilizando una combinación de filtrado web, anti-malware y firmas IPS (IDP).

Para utilizar la funcionalidad completa de CDR, necesita:

  • Una licencia Gold/UTM Security Pack.
  • Una licencia Nebula Pro Pack.

Sin estas licencias, la funcionalidad de CDR será limitada o no estará disponible. Por ejemplo, con un Nebula Base/Plus Pack y sin Gold/UTM Security Pack, la detección de eventos CDR está disponible y los eventos se registran, pero las acciones de contención como alerta, bloqueo o cuarentena no están disponibles.

Puede configurar las opciones de CDR en Site-wide > Configure > Collaborative detection & response en el centro de control Nebula.

CDR

 haga clic en “Enable” para activar la función CDR

 “Enable” to activate CDR feature

Aquí está la tabla de políticas donde puede configurar los criterios y las acciones, como se muestra en la figura a continuación:

 policy table

 

Explicación de términos:

Ocurrencia: Cuántas veces un cliente ha generado una amenaza.

 Duración: Dentro del periodo de tiempo, CDR detecta una amenaza.

Contención: La acción cuando ambos criterios han sido activados.

Alerta: NCC envía un correo electrónico de alerta a los administradores cuando se activa. Las funciones del servicio de seguridad bloquearán el tráfico ilegal.

Bloqueo: NCC envía un correo electrónico de alerta a los administradores. La puerta de enlace o el AP bloquearán el tráfico y lo redirigirán a la página de bloqueo. *El bloqueo de clientes inalámbricos solo es compatible en AP. El cliente no podrá conectarse al WiFi durante la duración del bloqueo.

Cuarentena: NCC envía un correo electrónico de alerta a los administradores. El AP desconectará la conexión WiFi del cliente y cuando el cliente se conecte nuevamente al WiFi, obtendrá una IP VLAN de cuarentena. *La función de cuarentena solo funciona en AP.

CDR

4. El bloqueo es para evitar que el cliente malicioso acceda a la red inalámbrica, mientras que
la cuarentena es para AP (que soporte CDR), que aísla a los clientes usando asignación dinámica de VLAN.

using dynamic VLAN assignment

5. La lista de exentos es una lista blanca donde puede ingresar la IP o MAC del dispositivo que no desea que sea bloqueado por CDR.

 Figure 3. Exempt list

 Figura 3. Lista de exentos

Ejemplo de un cliente bloqueado por CDR

Cuando un cliente ha navegado por un sitio web malicioso y la acción activó los criterios de CDR, el navegador del cliente mostrará un mensaje de advertencia como se muestra en la figura a continuación:

CDR warning message

Figura 4. Mensaje de advertencia de CDR

¿Cómo puede el administrador liberar al cliente?

Vaya a Site-wide > Monitor > Containment list, puede elegir “Liberar” o “Agregar a la lista de exentos”.

Containment list

Figura 5. Lista de contención

Artículos en esta sección

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.