A Zyxel Nebula Együttműködő Felismerés és Válasz (Collaborative Detection & Response, CDR) egy biztonsági funkció, amely a hálózatán belüli rosszindulatú kliens IP-forgalom felismerésére és blokkolására szolgál. Úgy működik, hogy azonosítja az előre beállított küszöböt elérő nem biztonságos kapcsolatokat. Amikor a CDR engedélyezve van, képes blokkolni vagy elkülöníteni a rosszindulatú forgalmat küldő vezetékes és WiFi kliens forgalmat, megakadályozva annak terjedését a hálózaton belül.
A CDR a rosszindulatú forgalmat a Webszűrés, Kártevőirtó és IPS (IDP) aláírások kombinációjával azonosítja.
A CDR teljes funkcionalitásának kihasználásához szüksége van:
- Egy Gold/UTM Security Pack licencre.
- Egy Nebula Pro Pack licencre.
Licenc nélkül a CDR funkció korlátozott vagy nem elérhető. Például Nebula Base/Plus Pack és Gold/UTM Security Pack nélkül a CDR eseményészlelés elérhető és az események naplózásra kerülnek, de az olyan beavatkozó intézkedések, mint az értesítés, blokkolás vagy elkülönítés, nem.
A CDR beállításait a Site-wide > Configure > Collaborative detection & response menüpont alatt konfigurálhatja a Nebula vezérlőközpontban.
Kattintson az „Engedélyezés” gombra a CDR funkció aktiválásához
Itt található a szabályzat táblázata, ahol beállíthatja a kritériumokat és a teendőket, az alábbi ábra szerint:

Fogalmak magyarázata:
Előfordulás: Hányszor található fenyegetés egy kliens által.
Időtartam: Az az időtartam, amelyen belül a CDR fenyegetést észlel.
Elzárás: A művelet, amely akkor történik, ha mindkét kritérium teljesül.
Értesítés: Az NCC értesítő e-mailt küld a rendszergazdáknak, amikor aktiválódik. A biztonsági szolgáltatások blokkolják az illegális forgalmat.
Blokkolás: Az NCC értesítő e-mailt küld a rendszergazdáknak. Az átjáró vagy az AP blokkolja a forgalmat és átirányítja a blokkolási oldalra. *Vezeték nélküli kliens blokkolása csak AP-n támogatott. A kliens nem tud csatlakozni a WiFi-hez a blokkolás időtartama alatt.
Elkülönítés: Az NCC értesítő e-mailt küld a rendszergazdáknak. Az AP megszakítja a kliens WiFi-kapcsolatát, majd amikor a kliens újra csatlakozik a WiFi-hez, elkülönített VLAN IP-t kap. *Az elkülönítés funkció csak AP-n működik.

4. A blokkolás megakadályozza, hogy a rosszindulatú kliens hozzáférjen a vezeték nélküli hálózathoz, míg
az elkülönítés az AP-k (amelyek támogatják a CDR-t) számára készült, és dinamikus VLAN hozzárendeléssel izolálja a klienseket.

5. A kivétellista egy fehérlista, ahová beírhatja azokat az eszközök IP- vagy MAC-címét, amelyeket nem szeretne, hogy a CDR blokkoljon.
3. ábra: Kivétellista
Példa egy CDR által blokkolt kliensre
Amikor egy kliens rosszindulatú weboldalt látogatott meg, és ez aktiválta a CDR kritériumait, a kliens böngészője az alábbi ábrán látható figyelmeztető üzenetet jeleníti meg:
4. ábra: CDR figyelmeztető üzenet
Hogyan engedélyezheti a rendszergazda a kliens hozzáférését?
Lépjen a Site-wide > Monitor > Containment list menüpontra, ahol választhatja az „Engedélyezés” vagy a „Hozzáadás a kivétellistához” opciót.
5. ábra: Elkülönítési lista




Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.