Nebula - Együttműködő Felismerés és Válasz (CDR)

További kérdései vannak? Kérelem beküldése

A Zyxel Nebula Együttműködő Felismerés és Válasz (Collaborative Detection & Response, CDR) egy biztonsági funkció, amely a hálózatán belüli rosszindulatú kliens IP-forgalom felismerésére és blokkolására szolgál. Úgy működik, hogy azonosítja az előre beállított küszöböt elérő nem biztonságos kapcsolatokat. Amikor a CDR engedélyezve van, képes blokkolni vagy elkülöníteni a rosszindulatú forgalmat küldő vezetékes és WiFi kliens forgalmat, megakadályozva annak terjedését a hálózaton belül.

A CDR a rosszindulatú forgalmat a Webszűrés, Kártevőirtó és IPS (IDP) aláírások kombinációjával azonosítja.

A CDR teljes funkcionalitásának kihasználásához szüksége van:

  • Egy Gold/UTM Security Pack licencre.
  • Egy Nebula Pro Pack licencre.

Licenc nélkül a CDR funkció korlátozott vagy nem elérhető. Például Nebula Base/Plus Pack és Gold/UTM Security Pack nélkül a CDR eseményészlelés elérhető és az események naplózásra kerülnek, de az olyan beavatkozó intézkedések, mint az értesítés, blokkolás vagy elkülönítés, nem.

A CDR beállításait a Site-wide > Configure > Collaborative detection & response menüpont alatt konfigurálhatja a Nebula vezérlőközpontban.

CDR

Kattintson az „Engedélyezés” gombra a CDR funkció aktiválásához

 “Enable” to activate CDR feature

Itt található a szabályzat táblázata, ahol beállíthatja a kritériumokat és a teendőket, az alábbi ábra szerint:

 policy table

 

Fogalmak magyarázata:

Előfordulás: Hányszor található fenyegetés egy kliens által.

Időtartam: Az az időtartam, amelyen belül a CDR fenyegetést észlel.

Elzárás: A művelet, amely akkor történik, ha mindkét kritérium teljesül.

Értesítés: Az NCC értesítő e-mailt küld a rendszergazdáknak, amikor aktiválódik. A biztonsági szolgáltatások blokkolják az illegális forgalmat.

Blokkolás: Az NCC értesítő e-mailt küld a rendszergazdáknak. Az átjáró vagy az AP blokkolja a forgalmat és átirányítja a blokkolási oldalra. *Vezeték nélküli kliens blokkolása csak AP-n támogatott. A kliens nem tud csatlakozni a WiFi-hez a blokkolás időtartama alatt.

Elkülönítés: Az NCC értesítő e-mailt küld a rendszergazdáknak. Az AP megszakítja a kliens WiFi-kapcsolatát, majd amikor a kliens újra csatlakozik a WiFi-hez, elkülönített VLAN IP-t kap. *Az elkülönítés funkció csak AP-n működik.

CDR

4. A blokkolás megakadályozza, hogy a rosszindulatú kliens hozzáférjen a vezeték nélküli hálózathoz, míg
az elkülönítés az AP-k (amelyek támogatják a CDR-t) számára készült, és dinamikus VLAN hozzárendeléssel izolálja a klienseket.

using dynamic VLAN assignment

5. A kivétellista egy fehérlista, ahová beírhatja azokat az eszközök IP- vagy MAC-címét, amelyeket nem szeretne, hogy a CDR blokkoljon.

 Figure 3. Exempt list

 3. ábra: Kivétellista

Példa egy CDR által blokkolt kliensre

Amikor egy kliens rosszindulatú weboldalt látogatott meg, és ez aktiválta a CDR kritériumait, a kliens böngészője az alábbi ábrán látható figyelmeztető üzenetet jeleníti meg:

CDR warning message

4. ábra: CDR figyelmeztető üzenet

Hogyan engedélyezheti a rendszergazda a kliens hozzáférését?

Lépjen a Site-wide > Monitor > Containment list menüpontra, ahol választhatja az „Engedélyezés” vagy a „Hozzáadás a kivétellistához” opciót.

Containment list

5. ábra: Elkülönítési lista

A szakasz cikkei

Hasznos volt ez a cikk?
0/0 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.