La fonction Détection et Réponse Collaborative (CDR) de Zyxel Nebula est une fonctionnalité de sécurité conçue pour détecter et bloquer le trafic IP client malveillant au sein de votre réseau. Elle fonctionne en identifiant les connexions non sécurisées qui atteignent un seuil prédéfini. Lorsque le CDR est activé, il peut bloquer ou mettre en quarantaine le trafic provenant des clients filaires et WiFi envoyant un trafic malveillant, empêchant ainsi sa propagation dans tout le réseau.
Le CDR identifie le trafic malveillant en utilisant une combinaison de filtrage Web, d'anti-malware et de signatures IPS (IDP).
Pour utiliser pleinement les fonctionnalités du CDR, vous avez besoin :
- D'une licence Gold/UTM Security Pack.
- D'une licence Nebula Pro Pack.
Sans ces licences, les fonctionnalités du CDR seront limitées ou indisponibles. Par exemple, avec un Nebula Base/Plus Pack et sans Gold/UTM Security Pack, la détection des événements CDR est disponible et les événements sont enregistrés, mais les actions de confinement comme l'alerte, le blocage ou la mise en quarantaine ne le sont pas.
Vous pouvez configurer les paramètres du CDR sous Site-wide > Configure > Collaborative detection & response dans le centre de contrôle Nebula.
Cliquez sur « Activer » pour activer la fonction CDR
Voici le tableau de politique où vous pouvez configurer les critères et les actions, comme dans la figure ci-dessous :

Explications des termes :
Occurrence : Combien de fois une menace a été détectée [HW1] par un client.
Durée : Pendant la durée de temps, le CDR détecte une menace.
Confinement : L'action lorsque les deux critères ont été déclenchés.
Alerte : Le NCC envoie un e-mail d'alerte aux administrateurs lorsqu'il est déclenché. Les fonctions du service de sécurité bloqueront le trafic illégal.
Blocage : Le NCC envoie un e-mail d'alerte aux administrateurs. La passerelle ou le point d'accès bloquera le trafic et le redirigera vers la page de blocage. *Le blocage du client sans fil est uniquement pris en charge sur le point d'accès. Le client ne peut pas se connecter au WiFi pendant la durée du blocage.
Mise en quarantaine : Le NCC envoie un e-mail d'alerte aux administrateurs. Le point d'accès déconnectera la connexion WiFi du client puis, lorsque le client se reconnectera au WiFi, il obtiendra une adresse IP VLAN de quarantaine. *La fonction de quarantaine ne fonctionne que sur le point d'accès.

4. Le blocage sert à empêcher le client malveillant d'accéder au réseau sans fil, tandis que
la mise en quarantaine concerne le point d'accès (qui prend en charge le CDR) et isole les clients via l'attribution dynamique de VLAN.

5. La liste d'exemption est une liste blanche où vous pouvez saisir l'IP ou le MAC de l'appareil que vous ne souhaitez pas voir bloqué par le CDR.
Figure 3. Liste d'exemption
Exemple d'un client bloqué par le CDR
Lorsqu'un client a visité un site web malveillant et que cet acte a déclenché les critères du CDR, le navigateur du client affichera un message d'avertissement comme illustré ci-dessous :
Figure 4. Message d'avertissement CDR
Comment l'administrateur peut-il libérer le client ?
Allez dans Site-wide > Monitor > Containment list, vous pouvez choisir « Libérer » ou « Ajouter à la liste d'exemption ».
Figure 5. Liste de confinement




Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.