Zyxel Nebula'nın İşbirlikçi Tespit & Yanıt (CDR) özelliği, ağınızdaki kötü amaçlı istemci IP trafiğini tespit etmek ve engellemek için tasarlanmış bir güvenlik özelliğidir. Önceden belirlenmiş bir eşik değerine ulaşan güvensiz bağlantıları tanımlayarak çalışır. CDR etkinleştirildiğinde, kötü amaçlı trafik gönderen kablolu ve WiFi istemcilerinden gelen trafiği engelleyebilir veya karantinaya alabilir, böylece ağ genelinde yayılmasını önler.
CDR, kötü amaçlı trafiği Web Filtreleme, Anti-Malware ve IPS (IDP) imzalarının birleşimi ile tanımlar.
CDR'nin tam işlevselliğinden yararlanmak için ihtiyacınız olanlar:
- Bir Gold/UTM Güvenlik Paketi lisansı.
- Nebula Pro Paketi lisansı.
Bu lisanslar olmadan, CDR işlevselliği sınırlı veya kullanılamaz olacaktır. Örneğin, bir Nebula Base/Plus Paketi ile Gold/UTM Güvenlik Paketi olmadan, CDR olay tespiti mevcut olup olaylar kaydedilir, ancak uyarı, engelleme veya karantina gibi sınırlama işlemleri yapılamaz.
CDR ayarlarını Site-wide > Configure > Collaborative detection & response bölümünde Nebula kontrol merkezinde yapılandırabilirsiniz.
CDR özelliğini etkinleştirmek için “Enable” üzerine tıklayın
Aşağıdaki şekilde gösterildiği gibi kriterleri ve işlemleri yapılandırabileceğiniz politika tablosu burada bulunmaktadır:

Terim açıklamaları:
Occurrence (Oluşum): Bir istemcinin [HW1] üzerinde tehdide kaç kez maruz kaldığı.
Duration (Süre): CDR'nin bir tehdidi tespit ettiği zaman aralığı.
Containment (Sınırlama): Her iki kriter tetiklendiğinde gerçekleştirilen işlem.
Alert (Uyarı): Tetiklendiğinde NCC yöneticilere bir uyarı e-postası gönderir. Güvenlik servisi işlevleri yasa dışı trafiği engeller.
Block (Engelle): NCC yöneticilere uyarı e-postası gönderir. Ağ geçidi veya AP trafiği engeller ve engelleme sayfasına yönlendirir. *Kablosuz istemci engelleme yalnızca AP üzerinde desteklenir. İstemci engelleme süresi boyunca WiFi'ye bağlanamaz.
Quarantine (Karantina): NCC yöneticilere uyarı e-postası gönderir. AP, istemcinin WiFi bağlantısını keser ve istemci WiFi'ye tekrar bağlandığında karantina VLAN IP’si alır. *Karantina işlevi yalnızca AP üzerinde çalışır.

4. Engelleme, kötü amaçlı istemcinin kablosuz ağa erişimini engellemek içindir,
Karantina ise CDR destekleyen AP için istemcileri dinamik VLAN ataması ile izole eder.

5. Muafiyet listesi, CDR tarafından engellenmesini istemediğiniz cihazların IP veya MAC adreslerini girebileceğiniz beyaz listedir.
Şekil 3. Muafiyet listesi
CDR tarafından engellenen bir istemci örneği
Bir istemci kötü amaçlı bir web sitesini ziyaret ettiğinde ve bu eylem CDR kriterlerini tetiklediğinde, istemci tarayıcısında aşağıdaki şekilde gösterilen bir uyarı mesajı çıkar:
Şekil 4. CDR uyarı mesajı
Yönetici istemciyi nasıl serbest bırakabilir?
Site-wide > Monitor > Containment list bölümüne gidin, burada “Release” (Serbest Bırak) veya “Add to Exempt list” (Muafiyet listesine ekle) seçeneklerini kullanabilirsiniz.
Şekil 5. Sınırlama listesi




Yorumlar
0 yorumYorum yazmak için lütfen oturum açın: oturum aç.