Совместное обнаружение и реагирование (CDR) Zyxel Nebula — это функция безопасности, предназначенная для обнаружения и блокировки вредоносного IP-трафика клиентов в вашей сети. Она работает путем выявления небезопасных соединений, которые достигают заранее установленного порога. Когда CDR включена, она может блокировать или помещать в карантин трафик от проводных и WiFi-клиентов, отправляющих вредоносный трафик, предотвращая его распространение по сети.
CDR определяет вредоносный трафик с помощью комбинации фильтрации веб-контента, антивредоносного ПО и сигнатур IPS (IDP).
Для использования полной функциональности CDR вам необходимы:
- Лицензия Gold/UTM Security Pack.
- Лицензия Nebula Pro Pack.
Без этих лицензий функциональность CDR будет ограничена или недоступна. Например, при наличии Nebula Base/Plus Pack и отсутствии Gold/UTM Security Pack доступно обнаружение событий CDR и их регистрация, но действия по сдерживанию, такие как оповещение, блокировка или карантин, недоступны.
Вы можете настроить параметры CDR в разделе Site-wide > Configure > Collaborative detection & response в центре управления Nebula.
нажмите «Enable» для активации функции CDR
Ниже приведена таблица политик, где вы можете настроить критерии и действия, как показано на рисунке:

Объяснение терминов:
Occurrence (Количество срабатываний): Сколько раз клиент вызвал угрозу [HW1].
Duration (Продолжительность): В течение какого времени CDR обнаруживает угрозу.
Containment (Сдерживание): Действие, выполняемое при срабатывании обоих критериев.
Alert (Оповещение): NCC отправляет электронное письмо с оповещением администраторам при срабатывании. Функции службы безопасности блокируют незаконный трафик.
Block (Блокировка): NCC отправляет электронное письмо с оповещением администраторам. Шлюз или точка доступа блокируют трафик и перенаправляют его на страницу блокировки. *Блокировка беспроводного клиента поддерживается только на точках доступа. Клиент не может подключиться к WiFi в течение времени блокировки.
Quarantine (Карантин): NCC отправляет электронное письмо с оповещением администраторам. Точка доступа отключает WiFi-соединение клиента, а при повторном подключении клиент получает IP из VLAN карантина. *Функция карантина работает только на точках доступа.

4. Блокировка предназначена для предотвращения доступа вредоносного клиента к беспроводной сети, в то время как
Карантин применяется для точек доступа (поддерживающих CDR) и изолирует клиентов с помощью динамического назначения VLAN.

5. Список исключений — это белый список, в который вы можете добавить IP-адрес или MAC-адрес устройства, которое не должно блокироваться CDR.
Рисунок 3. Список исключений
Пример клиента, заблокированного CDR
Когда клиент посещает вредоносный сайт и это действие вызывает срабатывание критериев CDR, в браузере клиента появляется предупреждающее сообщение, как показано на рисунке ниже:
Рисунок 4. Предупреждающее сообщение CDR
Как администратор может разблокировать клиента?
Перейдите в Site-wide > Monitor > Containment list, где вы можете выбрать «Release» (Освободить) или «Add to Exempt list» (Добавить в список исключений).
Рисунок 5. Список сдерживания




Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.