Zyxel Nebulas Collaborative Detection & Response (CDR) är en säkerhetsfunktion utformad för att upptäcka och blockera skadlig klient-IP-trafik inom ditt nätverk. Den fungerar genom att identifiera osäkra anslutningar som når en förinställd tröskel. När CDR är aktiverat kan det blockera eller isolera trafik från trådbundna och WiFi-klienter som skickar skadlig trafik, vilket förhindrar dess spridning i nätverket.
CDR identifierar skadlig trafik med en kombination av webbfiltrering, anti-malware och IPS (IDP) signaturer.
För att använda hela funktionaliteten av CDR behöver du:
- En Gold/UTM Security Pack-licens.
- En Nebula Pro Pack-licens.
Utan dessa licenser kommer CDR-funktionaliteten att vara begränsad eller otillgänglig. Till exempel, med en Nebula Base/Plus Pack och utan Gold/UTM Security Pack, är CDR-händelsedetektering tillgänglig och händelser loggas, men åtgärder som varning, blockering eller isolering utförs inte.
Du kan konfigurera CDR-inställningar under Site-wide > Configure > Collaborative detection & response i Nebula kontrollcenter.
Klicka på ”Enable” för att aktivera CDR-funktionen
Här är policyn där du kan konfigurera kriterier och åtgärder, enligt bilden nedan:

Förklaring av termer:
Occurrence: Hur många gånger ett hot träffar [HW1] av en klient.
Duration: Inom tidsperioden upptäcker CDR ett hot.
Containment: Åtgärden när båda kriterierna har utlösts.
Alert: NCC skickar en varningsmail till administratörer när det utlöses. Säkerhetstjänstfunktioner blockerar olaglig trafik.
Block: NCC skickar en varningsmail till administratörer. Gateway eller AP blockerar trafiken och omdirigerar den till block-sidan. *Blockering av trådlös klient stöds endast på AP. Klienten kan inte ansluta till WiFi under blockeringstiden.
Quarantine: NCC skickar en varningsmail till administratörer. AP kopplar bort klientens WiFi-anslutning och när klienten ansluter till WiFi igen får den en karantän VLAN-IP. *Karantänfunktionen fungerar endast på AP.

4. Blockering förhindrar att den skadliga klienten får åtkomst till det trådlösa nätverket, medan
Karantän gäller för AP (som stöder CDR) och isolerar klienter med dynamisk VLAN-tilldelning.

5. Undantagslistan är en vitlista där du kan lägga in IP- eller MAC-adressen för en enhet som du inte vill ska blockeras av CDR.
Figur 3. Undantagslista
Exempel på en klient som blockeras av CDR
När en klient har besökt en skadlig webbplats och detta utlöser CDR-kriterierna, kommer klientens webbläsare att visa ett varningsmeddelande som bilden nedan visar:
Figur 4. CDR varningsmeddelande
Hur kan administratören frigöra klienten?
Gå till Site-wide > Monitor > Containment list, där du kan välja ”Release” eller ”Add to Exempt list”.
Figur 5. Containment list




Kommentarer
0 kommentarerlogga in för att lämna en kommentar.