Issue:
Lorsque l'utilisateur tente d'accéder à certains sites Web spécifiques, l'administrateur reçoit des alertes dans Policy Manager Console indiquant qu'une requête DNS a été bloquée pour un domaine.
Nous obtenons une erreur de Policy Manager contenant " 309 2020-03-22 21:57:47+01:00 SERVER0X SYSTEM F-Secure Network Filter 1.3.6.1.4.1.2213.11.1.12 A bloqué une requête DNS pour le domaine non sécurisé suivant : www .t est.com
Resolution:
Remarque : les notifications que vous recevez du serveur F-Secure Policy Manager concernant le filtre DNS ne sont pas des erreurs. Il s'agit d'alertes/notifications envoyées par les clients. F-Secure Policy Manager ne génère pas d'erreurs pour le compte des clients. Les clients génèrent des erreurs localement et n'envoient des alertes qu'à Policy Manager.
Si le transfert d'alerte est activé via Policy Manager, chaque fois qu'une requête est bloquée, l'administrateur en sera informé en conséquence.
Il s'agit d'un comportement attendu, et pour mieux le comprendre, veuillez lire l'explication ci-dessous :
Les requêtes DNS sont basées sur la classification ORSP, donc ORSP doit être activé à partir de Policy Manager Console pour tous les clients.
Comment activer Security Cloud à l'aide de la console F-Secure Policy Manager :
Connectez-vous à la console WithSecure Policy Manager et accédez à la vue avancée
Développez les paramètres du client F-Secure Security Cloud et assurez-vous que « Autoriser des analyses plus approfondies » et « Le client est activé » sont définis sur « oui » et distribuez la stratégie.
ORSP signifie Object Reputation Service Protocol. Lorsqu'un nouvel objet, tel qu'un fichier ou une URL, est rencontré sur un client, le produit communique avec Security Cloud à l'aide du protocole de service de réputation d'objet (ORSP) fortement crypté pour interroger les détails de réputation de l'objet. Des métadonnées anonymes sur l'objet, telles que la taille du fichier et le chemin anonymisé, sont envoyées au Security Cloud. Vous pouvez trouver plus d'informations sur le Security Cloud ici : https://www.f-secure.com/en/web/legal_global/ confidentialité/security-cloud
Le bloqueur de botnet fonctionne au niveau de la résolution DNS et du filtrage des adresse IP .
Lorsque le filtrage DNS est activé, nous n'autorisons pas la résolution des adresses DNS si nous savons que ces adresses DNS ne sont pas sûres.
Lorsque le filtrage de réputation IP est activé, nous bloquons les connexions aux adresses IP pour lesquelles nous avons une réputation dans ORSP.
Lorsque vous autorisez toutes les requêtes, cela signifie que vous avez désactivé le filtre DNS, ce faisant, vous désactivez l'analyse DNS au niveau NIF (Network Interception Framework).
Si vous définissez l'exemple sur "Autoriser uniquement les requêtes sécurisées", il se peut que le DNS local soit toujours bloqué.
Les informations d'enregistrement DNS sont généralement mises en cache (stockées sur votre navigateur local, votre ordinateur ou votre transitaire réseau) pendant une durée spécifique ; entre 5 minutes et 8 heures est normal.
block unsafe => unknown, susp, safe passera.
unsafe (malveillant) est bloqué Bloquer unsafe, susp => passage inconnu et sûr.
unsafe (malveillant) et suspect sont bloqués allow safe only => seulement sûr évalué passer. inconnu, suspect, dangereux (malveillant) sont bloqués
Bloquer la communication du botnet
Botnet Blocker est une fonctionnalité de sécurité qui vise à empêcher les agents de botnet de communiquer avec leurs serveurs de commande et de contrôle.
La fonctionnalité utilise les données de réputation DNS pour vérifier la sécurité des requêtes lors de la traduction des requêtes DNS en adresses IP.
Pour configurer Botnet Blocker en mode Standard :
Sur la page Paramètres > Analyse du trafic Web , accédez à Bloqueur de botnet
Définissez le filtrage à utiliser pour les requêtes DNS.
Par défaut, ce paramètre est défini sur Bloquer les requêtes non sécurisées .
Définissez le niveau d'alerte à utiliser pour les notifications de requêtes DNS bloquées.
Distribuez la politique :
Vous pouvez choisir ce qui vous convient le mieux, vous avez différentes options dans Policy Manager Console :
Note:
Si une URL interne ou externe est bloquée par le filtre réseau, comme dans cet exemple : "F-Secure Network Filter 1.3.6.1.4.1.2213.11.1.12 a bloqué une requête DNS pour le domaine non sécurisé suivant : ... "
Le domaine a été détecté comme "malveillant" par notre ORSP et il est donc bloqué.
Vous pouvez résoudre ce problème en soumettant l'échantillon ULR ici Soumettre un échantillon | WithSecure™ et attendez jusqu'à ce que vous obteniez une réponse, qui vous indique si la page/l'URL est marquée comme propre.
Ou
Vous pouvez ajouter l'URL en tant que site de confiance dans votre console Policy Manager :
Pour F-Secure Client Security 14.x et versions ultérieures :
Connectez-vous à la console F-Secure Policy Manager
Sélectionnez l' hôte ou le domaine dans l'arborescence des domaines
Allez dans l'onglet Paramètres et sélectionnez Affichage standard
Accéder à la page de contrôle du contenu Web
Cliquez sur Ajouter sur le côté droit de la liste des sites de confiance
Entrez l'adresse du serveur dans la colonne Adresse
Distribuer la politique (Ctrl+D)
Aucun caractère générique n'est nécessaire dans l'adresse, par exemple :
Ajouter une règle de pare-feu pour autoriser la connexion au DNS non standard
Articles Liés:
L'analyse du trafic Web bloque un serveur interne, une URL ou des applications
Article no: 000010712
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.