Nebula - Rilevamento e Risposta Collaborativa (CDR)

La funzione Collaborative Detection & Response (CDR) di Zyxel Nebula è una caratteristica di sicurezza progettata per rilevare e bloccare il traffico IP client dannoso all'interno della tua rete. Funziona identificando connessioni non sicure che raggiungono una soglia preimpostata. Quando il CDR è abilitato, può bloccare o mettere in quarantena il traffico proveniente da client cablati e WiFi che inviano traffico dannoso, impedendone la diffusione nella rete.

Il CDR identifica il traffico dannoso utilizzando una combinazione di Filtraggio Web, Anti-Malware e firme IPS (IDP).

Per utilizzare appieno le funzionalità del CDR, è necessario:

  • Una licenza Gold/UTM Security Pack.
  • Una licenza Nebula Pro Pack.

Senza queste licenze, la funzionalità CDR sarà limitata o non disponibile. Ad esempio, con un Nebula Base/Plus Pack e senza Gold/UTM Security Pack, la rilevazione degli eventi CDR è disponibile e gli eventi vengono registrati, ma le azioni di contenimento come avviso, blocco o quarantena non sono attive.

Puoi configurare le impostazioni CDR sotto Site-wide > Configure > Collaborative detection & response nel centro di controllo Nebula.

CDR

Clicca su “Enable” per attivare la funzione CDR

 “Enable” to activate CDR feature

Qui c’è la tabella delle policy dove puoi configurare i criteri e le azioni, come mostrato nella figura seguente:

 policy table

 

Spiegazione dei termini:

Occorrenza: Quante volte una minaccia ha colpito [HW1] da parte di un client.

Durata: Nel periodo di tempo specificato, il CDR rileva una minaccia.

Contenimento: L’azione eseguita quando entrambi i criteri sono stati attivati.

Avviso: NCC invia un’email di avviso agli amministratori quando viene attivato. Le funzioni del servizio di sicurezza bloccheranno il traffico illegale.

Blocco: NCC invia un’email di avviso agli amministratori. Il gateway o l’AP bloccheranno il traffico e lo reindirizzeranno alla pagina di blocco. *Il blocco del client wireless è supportato solo sugli AP. Il client non potrà connettersi al WiFi durante la durata del blocco.

Quarantena: NCC invia un’email di avviso agli amministratori. L’AP disconnetterà la connessione WiFi del client e, quando il client si riconnetterà al WiFi, riceverà un IP VLAN di quarantena. *La funzione di quarantena funziona solo sugli AP.

CDR

4. Il blocco serve a impedire al client dannoso di accedere alla rete wireless, mentre
la quarantena è per gli AP (che supportano il CDR), che isolano i client usando l’assegnazione VLAN dinamica.

using dynamic VLAN assignment

5. La lista di esclusione è una whitelist dove puoi inserire l’IP o il MAC del dispositivo che non vuoi venga bloccato dal CDR.

 Figure 3. Exempt list

Figura 3. Lista di esclusione

Esempio di client bloccato dal CDR

Quando un client ha visitato un sito web dannoso e l’azione ha attivato i criteri CDR, il browser del client mostrerà un messaggio di avviso come mostrato nella figura sottostante:

CDR warning message

Figura 4. Messaggio di avviso CDR

Come può l’amministratore rilasciare il client?

Vai su Site-wide > Monitor > Containment list, puoi scegliere “Release” o “Add to Exempt list”.

Containment list

Figura 5. Lista di contenimento

Articoli in questa sezione

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 0
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.