Nebula - Współdzielone Wykrywanie i Reakcja (CDR)

Funkcja Collaborative Detection & Response (CDR) w Zyxel Nebula to funkcja bezpieczeństwa zaprojektowana do wykrywania i blokowania złośliwego ruchu IP klientów w Twojej sieci. Działa poprzez identyfikację niebezpiecznych połączeń, które osiągają ustalony próg. Po włączeniu CDR może blokować lub izolować ruch od klientów przewodowych i WiFi wysyłających złośliwy ruch, zapobiegając jego rozprzestrzenianiu się w sieci.

CDR identyfikuje złośliwy ruch za pomocą kombinacji filtrowania stron internetowych, antymalware oraz sygnatur IPS (IDP).

Aby w pełni korzystać z funkcji CDR, potrzebujesz:

  • Licencji Gold/UTM Security Pack.
  • Licencji Nebula Pro Pack.

Bez tych licencji funkcje CDR będą ograniczone lub niedostępne. Na przykład, z pakietem Nebula Base/Plus Pack bez Gold/UTM Security Pack, wykrywanie zdarzeń CDR jest dostępne i zdarzenia są rejestrowane, ale działania ograniczające, takie jak alert, blokada czy kwarantanna, nie są możliwe.

Ustawienia CDR możesz skonfigurować w Site-wide > Configure > Collaborative detection & response w centrum sterowania Nebula.

CDR

Kliknij „Enable”, aby aktywować funkcję CDR

 “Enable” to activate CDR feature

Oto tabela polityki, w której możesz skonfigurować kryteria i działania, jak pokazano na poniższym obrazku:

 policy table

 

Wyjaśnienie terminów:

Occurrence (Wystąpienia): Ile razy klient wywołał zagrożenie.

 Duration (Czas trwania): Okres, w którym CDR wykrywa zagrożenie.

Containment (Ograniczenie): Działanie podjęte po spełnieniu obu kryteriów.

Alert (Alert): NCC wysyła e-mail z alertem do administratorów po wyzwoleniu. Funkcje usług bezpieczeństwa blokują nielegalny ruch.

Block (Blokada): NCC wysyła e-mail z alertem do administratorów. Brama lub punkt dostępowy (AP) zablokuje ruch i przekieruje go na stronę blokady. *Blokada klienta bezprzewodowego jest obsługiwana tylko na AP. Klient nie może połączyć się z WiFi w czasie trwania blokady.

Quarantine (Kwarantanna): NCC wysyła e-mail z alertem do administratorów. AP rozłącza połączenie WiFi klienta, a po ponownym połączeniu klient otrzymuje adres IP z VLAN kwarantanny. *Funkcja kwarantanny działa tylko na AP.

CDR

4. Blokada ma na celu zapobieganie dostępowi złośliwego klienta do sieci bezprzewodowej, natomiast
Kwarantanna dotyczy AP (które obsługują CDR) i izoluje klientów za pomocą dynamicznego przypisywania VLAN.

using dynamic VLAN assignment

5. Lista wykluczeń to biała lista, na której możesz wpisać IP lub MAC urządzenia, które nie ma być blokowane przez CDR.

 Figure 3. Exempt list

 Rysunek 3. Lista wykluczeń

Przykład klienta zablokowanego przez CDR

Gdy klient odwiedził złośliwą stronę internetową i działanie to wywołało kryteria CDR, przeglądarka klienta wyświetli komunikat ostrzegawczy, jak pokazano na poniższym obrazku:

CDR warning message

Rysunek 4. Komunikat ostrzegawczy CDR

Jak administrator może zwolnić klienta?

Przejdź do Site-wide > Monitor > Containment list, gdzie możesz wybrać „Release” (Zwolnij) lub „Add to Exempt list” (Dodaj do listy wykluczeń).

Containment list

Rysunek 5. Lista ograniczeń

Artykuły w tej sekcji

Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.