La funzione Collaborative Detection & Response (CDR) di Zyxel Nebula è una caratteristica di sicurezza progettata per rilevare e bloccare il traffico IP client dannoso all'interno della tua rete. Funziona identificando connessioni non sicure che raggiungono una soglia preimpostata. Quando il CDR è abilitato, può bloccare o mettere in quarantena il traffico proveniente da client cablati e WiFi che inviano traffico dannoso, impedendone la diffusione nella rete.
Il CDR identifica il traffico dannoso utilizzando una combinazione di Filtraggio Web, Anti-Malware e firme IPS (IDP).
Per utilizzare appieno le funzionalità del CDR, è necessario:
- Una licenza Gold/UTM Security Pack.
- Una licenza Nebula Pro Pack.
Senza queste licenze, la funzionalità CDR sarà limitata o non disponibile. Ad esempio, con un Nebula Base/Plus Pack e senza Gold/UTM Security Pack, la rilevazione degli eventi CDR è disponibile e gli eventi vengono registrati, ma le azioni di contenimento come avviso, blocco o quarantena non sono attive.
Puoi configurare le impostazioni CDR sotto Site-wide > Configure > Collaborative detection & response nel centro di controllo Nebula.
Clicca su “Enable” per attivare la funzione CDR
Qui c’è la tabella delle policy dove puoi configurare i criteri e le azioni, come mostrato nella figura seguente:

Spiegazione dei termini:
Occorrenza: Quante volte una minaccia ha colpito [HW1] da parte di un client.
Durata: Nel periodo di tempo specificato, il CDR rileva una minaccia.
Contenimento: L’azione eseguita quando entrambi i criteri sono stati attivati.
Avviso: NCC invia un’email di avviso agli amministratori quando viene attivato. Le funzioni del servizio di sicurezza bloccheranno il traffico illegale.
Blocco: NCC invia un’email di avviso agli amministratori. Il gateway o l’AP bloccheranno il traffico e lo reindirizzeranno alla pagina di blocco. *Il blocco del client wireless è supportato solo sugli AP. Il client non potrà connettersi al WiFi durante la durata del blocco.
Quarantena: NCC invia un’email di avviso agli amministratori. L’AP disconnetterà la connessione WiFi del client e, quando il client si riconnetterà al WiFi, riceverà un IP VLAN di quarantena. *La funzione di quarantena funziona solo sugli AP.

4. Il blocco serve a impedire al client dannoso di accedere alla rete wireless, mentre
la quarantena è per gli AP (che supportano il CDR), che isolano i client usando l’assegnazione VLAN dinamica.

5. La lista di esclusione è una whitelist dove puoi inserire l’IP o il MAC del dispositivo che non vuoi venga bloccato dal CDR.
Figura 3. Lista di esclusione
Esempio di client bloccato dal CDR
Quando un client ha visitato un sito web dannoso e l’azione ha attivato i criteri CDR, il browser del client mostrerà un messaggio di avviso come mostrato nella figura sottostante:
Figura 4. Messaggio di avviso CDR
Come può l’amministratore rilasciare il client?
Vai su Site-wide > Monitor > Containment list, puoi scegliere “Release” o “Add to Exempt list”.
Figura 5. Lista di contenimento




Commenti
0 commentiAccedi per aggiungere un commento.