Funkcja Collaborative Detection & Response (CDR) w Zyxel Nebula to funkcja bezpieczeństwa zaprojektowana do wykrywania i blokowania złośliwego ruchu IP klientów w Twojej sieci. Działa poprzez identyfikację niebezpiecznych połączeń, które osiągają ustalony próg. Po włączeniu CDR może blokować lub izolować ruch od klientów przewodowych i WiFi wysyłających złośliwy ruch, zapobiegając jego rozprzestrzenianiu się w sieci.
CDR identyfikuje złośliwy ruch za pomocą kombinacji filtrowania stron internetowych, antymalware oraz sygnatur IPS (IDP).
Aby w pełni korzystać z funkcji CDR, potrzebujesz:
- Licencji Gold/UTM Security Pack.
- Licencji Nebula Pro Pack.
Bez tych licencji funkcje CDR będą ograniczone lub niedostępne. Na przykład, z pakietem Nebula Base/Plus Pack bez Gold/UTM Security Pack, wykrywanie zdarzeń CDR jest dostępne i zdarzenia są rejestrowane, ale działania ograniczające, takie jak alert, blokada czy kwarantanna, nie są możliwe.
Ustawienia CDR możesz skonfigurować w Site-wide > Configure > Collaborative detection & response w centrum sterowania Nebula.
Kliknij „Enable”, aby aktywować funkcję CDR
Oto tabela polityki, w której możesz skonfigurować kryteria i działania, jak pokazano na poniższym obrazku:

Wyjaśnienie terminów:
Occurrence (Wystąpienia): Ile razy klient wywołał zagrożenie.
Duration (Czas trwania): Okres, w którym CDR wykrywa zagrożenie.
Containment (Ograniczenie): Działanie podjęte po spełnieniu obu kryteriów.
Alert (Alert): NCC wysyła e-mail z alertem do administratorów po wyzwoleniu. Funkcje usług bezpieczeństwa blokują nielegalny ruch.
Block (Blokada): NCC wysyła e-mail z alertem do administratorów. Brama lub punkt dostępowy (AP) zablokuje ruch i przekieruje go na stronę blokady. *Blokada klienta bezprzewodowego jest obsługiwana tylko na AP. Klient nie może połączyć się z WiFi w czasie trwania blokady.
Quarantine (Kwarantanna): NCC wysyła e-mail z alertem do administratorów. AP rozłącza połączenie WiFi klienta, a po ponownym połączeniu klient otrzymuje adres IP z VLAN kwarantanny. *Funkcja kwarantanny działa tylko na AP.

4. Blokada ma na celu zapobieganie dostępowi złośliwego klienta do sieci bezprzewodowej, natomiast
Kwarantanna dotyczy AP (które obsługują CDR) i izoluje klientów za pomocą dynamicznego przypisywania VLAN.

5. Lista wykluczeń to biała lista, na której możesz wpisać IP lub MAC urządzenia, które nie ma być blokowane przez CDR.
Rysunek 3. Lista wykluczeń
Przykład klienta zablokowanego przez CDR
Gdy klient odwiedził złośliwą stronę internetową i działanie to wywołało kryteria CDR, przeglądarka klienta wyświetli komunikat ostrzegawczy, jak pokazano na poniższym obrazku:
Rysunek 4. Komunikat ostrzegawczy CDR
Jak administrator może zwolnić klienta?
Przejdź do Site-wide > Monitor > Containment list, gdzie możesz wybrać „Release” (Zwolnij) lub „Add to Exempt list” (Dodaj do listy wykluczeń).
Rysunek 5. Lista ograniczeń




Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.