Nebula - Collaborative Detection & Response (CDR)

Zyxel Nebula's Collaborative Detection & Response (CDR) is een beveiligingsfunctie die is ontworpen om kwaadaardig client-IP-verkeer binnen uw netwerk te detecteren en te blokkeren. Het werkt door onveilige verbindingen te identificeren die een vooraf ingestelde drempelwaarde bereiken. Wanneer CDR is ingeschakeld, kan het verkeer van bekabelde en WiFi-clients dat kwaadaardig verkeer verzendt, worden geblokkeerd of in quarantaine worden geplaatst, waardoor verspreiding door het netwerk wordt voorkomen.

CDR identificeert kwaadaardig verkeer met een combinatie van Web Filtering, Anti-Malware en IPS (IDP) handtekeningen.

Om de volledige functionaliteit van CDR te benutten, heeft u nodig:

  • Een Gold/UTM Security Pack-licentie.
  • Een Nebula Pro Pack-licentie.

Zonder deze licenties is de CDR-functionaliteit beperkt of niet beschikbaar. Bijvoorbeeld, met een Nebula Base/Plus Pack en zonder Gold/UTM Security Pack, is CDR gebeurtenisdetectie beschikbaar en worden gebeurtenissen gelogd, maar acties zoals waarschuwing, blokkeren of quarantaine niet uitgevoerd.

U kunt de CDR-instellingen configureren onder Site-wide > Configure > Collaborative detection & response in het Nebula controlecentrum.

CDR

Klik op “Enable” om de CDR-functie te activeren

 “Enable” to activate CDR feature

Hier is de beleidstabel waar u de criteria en acties kunt configureren, zoals in de onderstaande afbeelding:

 policy table

 

Uitleg van termen:

Occurrence: Hoe vaak een bedreiging wordt gedetecteerd door een client.

 Duration: Binnen de tijdsduur detecteert CDR een bedreiging.

Containment: De actie die wordt uitgevoerd wanneer beide criteria zijn geactiveerd.

Alert: NCC stuurt een waarschuwingsmail naar beheerders bij activatie. Beveiligingsfuncties blokkeren illegaal verkeer.

Block: NCC stuurt een waarschuwingsmail naar beheerders. Gateway of AP blokkeert het verkeer en leidt het om naar de blokkadepagina. *Blokkeren van draadloze clients wordt alleen ondersteund op AP. De client kan tijdens de blokkadeperiode geen verbinding maken met WiFi.

Quarantine: NCC stuurt een waarschuwingsmail naar beheerders. AP verbreekt de WiFi-verbinding van de client en wanneer de client opnieuw verbinding maakt met WiFi, krijgt deze een quarantain VLAN IP. *Quarantainefunctie werkt alleen op AP.

CDR

4. Blokkeren voorkomt dat de kwaadaardige client toegang krijgt tot het draadloze netwerk, terwijl
Quarantaine voor AP (dat CDR ondersteunt) is, waarbij clients geïsoleerd worden via dynamische VLAN-toewijzing.

using dynamic VLAN assignment

5. De vrijstellingslijst is een witte lijst waarin u het IP- of MAC-adres van apparaten kunt invoeren die u niet door CDR wilt laten blokkeren.

 Figure 3. Exempt list

 Figuur 3. Vrijstellingslijst

Voorbeeld van een door CDR geblokkeerde client

Wanneer een client een kwaadaardige website heeft bezocht en dit de CDR-criteria activeert, verschijnt er een waarschuwingsbericht in de browser van de client, zoals hieronder weergegeven:

CDR warning message

Figuur 4. CDR-waarschuwingsbericht

Hoe kan de beheerder de client vrijgeven?

Ga naar Site-wide > Monitor > Containment list, waar u kunt kiezen voor “Release” of “Add to Exempt list”.

Containment list

Figuur 5. Containment list

Artikelen in deze sectie

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.