Nebula - Detectare și Răspuns Colaborativ (CDR)

Aveți mai multe întrebări? Trimitere solicitare

Funcția de Detectare și Răspuns Colaborativ (CDR) a Zyxel Nebula este o caracteristică de securitate concepută pentru a detecta și bloca traficul IP rău intenționat al clienților din rețeaua dumneavoastră. Aceasta funcționează prin identificarea conexiunilor nesigure care ating un prag prestabilit. Când CDR este activat, poate bloca sau izola traficul provenit de la clienți conectați prin cablu sau WiFi care trimit trafic malițios, prevenind răspândirea acestuia în întreaga rețea.

CDR identifică traficul malițios folosind o combinație de Filtrare Web, Anti-Malware și semnături IPS (IDP).

Pentru a utiliza funcționalitatea completă a CDR, aveți nevoie de:

  • O licență Gold/UTM Security Pack.
  • O licență Nebula Pro Pack.

Fără aceste licențe, funcționalitatea CDR va fi limitată sau indisponibilă. De exemplu, cu un Nebula Base/Plus Pack și fără Gold/UTM Security Pack, detectarea evenimentelor CDR este disponibilă și evenimentele sunt înregistrate, însă acțiunile de conținere precum alertă, blocare sau carantină nu sunt.

Puteți configura setările CDR în Site-wide > Configure > Collaborative detection & response în centrul de control Nebula.

CDR

 faceți clic pe „Enable” pentru a activa funcția CDR

 “Enable” to activate CDR feature

Iată tabelul de politici unde puteți configura criteriile și acțiunile, după cum se arată în figura de mai jos:

 policy table

 

Explicații ale termenilor:

Occurrence (Apariție): De câte ori a fost detectată o amenințare de către un client.

 Duration (Durată): În intervalul de timp în care CDR detectează o amenințare.

Containment (Conținere): Acțiunea care se declanșează când ambele criterii sunt îndeplinite.

Alert (Alertă): NCC trimite un e-mail de alertă administratorilor când este declanșată. Funcțiile serviciului de securitate vor bloca traficul ilegal.

Block (Blocare): NCC trimite un e-mail de alertă administratorilor. Gateway-ul sau AP-ul va bloca traficul și îl va redirecționa către pagina de blocare. *Blocarea clientului wireless este suportată doar pe AP. Clientul nu se poate conecta la WiFi pe durata blocării.

Quarantine (Carantină): NCC trimite un e-mail de alertă administratorilor. AP-ul va deconecta conexiunea WiFi a clientului și apoi, când clientul se reconectează la WiFi, va primi o adresă IP din VLAN-ul de carantină. *Funcția de carantină funcționează doar pe AP.

CDR

4. Blocarea previne accesul clientului malițios la rețeaua wireless, în timp ce
Carantina este pentru AP (care suportă CDR), izolând clienții prin atribuirea dinamică a VLAN-urilor.

using dynamic VLAN assignment

5. Lista de excepții este o listă albă unde puteți introduce IP-ul sau MAC-ul dispozitivului pe care nu doriți să îl blocheze CDR.

 Figure 3. Exempt list

 Figura 3. Lista de excepții

Exemplu de client blocat de CDR

Când un client a accesat un site malițios și această acțiune a declanșat criteriile CDR, browserul clientului va afișa un mesaj de avertizare, așa cum se arată în figura de mai jos:

CDR warning message

Figura 4. Mesaj de avertizare CDR

Cum poate administratorul să elibereze clientul?

Accesați Site-wide > Monitor > Containment list, unde puteți alege „Release” (Eliberează) sau „Add to Exempt list” (Adaugă în lista de excepții).

Containment list

Figura 5. Lista de conținere

Articole în această secțiune

A fost util acest articol?
0 din 0 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.