Issue:
Lorsque l'utilisateur tente d'accéder à certains sites Web spécifiques, l'administrateur reçoit des alertes dans la console Policy Manager indiquant qu'une requête DNS a été bloquée pour un domaine
Nous obtenons une erreur du gestionnaire de politiques contenant « 309 2020-03-22 21:57:47+01:00 SERVER0X SYSTEM F-Secure Network Filter 1.3.6.1.4.1.2213.11.1.12 Une requête DNS a été bloquée pour le domaine non sécurisé suivant : www. test.com
Resolution:
Remarque : les notifications que vous recevez de F-Secure Policy Manager Server concernant le filtre DNS ne sont pas des erreurs. Il s'agit d'alertes/notifications envoyées par les clients. F-Secure Policy Manager ne génère pas d'erreurs pour le compte des clients. Les clients génèrent des erreurs localement et envoient uniquement des alertes à Policy Manager.
Si la transmission d'alerte est activée via Policy Manager, chaque fois qu'une requête est bloquée, l'administrateur sera averti en conséquence.
Il s'agit d'un comportement attendu, et pour mieux le comprendre, veuillez lire l'explication ci-dessous :
Les requêtes DNS sont basées sur la classification ORSP. ORSP doit donc être activé à partir de la console Policy Manager pour tous les clients.
Comment activer Security Cloud à l'aide de la console F-Secure Policy Manager :
Connectez-vous à la console WithSecure Policy Manager et accédez à la vue avancée
Développez les paramètres du client F-Secure Security Cloud et assurez-vous que « autoriser des analyses plus approfondies » et « Le client est activé » sont définis sur « oui » et distribuez la politique.
ORSP signifie Object Reputation Service Protocol. Lorsqu'un nouvel objet, tel qu'un fichier ou une URL, est détecté sur un client, le produit communique avec Security Cloud à l'aide du protocole ORSP (Object Reputation Service Protocol) fortement crypté pour demander les détails de réputation de l'objet. Les métadonnées anonymes sur l'objet, telles que la taille du fichier et le chemin d'accès anonymisé, sont envoyées au Security Cloud. Vous trouverez plus d'informations sur le Security Cloud ici : confidentialité
Le bloqueur de botnet fonctionne au niveau de la résolution DNS et du filtrage des adresse IP .
Lorsque le filtrage DNS est activé, nous n'autorisons pas la résolution des adresses DNS si nous savons que ces adresses DNS ne sont pas sûres.
Lorsque le filtrage de réputation IP est activé, nous bloquons les connexions aux adresses IP pour lesquelles nous avons une réputation dans ORSP.
Lorsque vous autorisez toutes les requêtes, cela signifie que vous avez désactivé le filtre DNS. En procédant ainsi, vous désactivez l'analyse DNS au niveau NIF (Network interception Framework).
Si vous définissez par exemple « Autoriser uniquement les requêtes sûres », cela peut toujours bloquer le DNS local.
Les informations d'enregistrement DNS sont généralement mises en cache (stockées sur votre navigateur local, votre ordinateur ou votre serveur réseau) pendant une durée spécifique ; une durée comprise entre 5 minutes et 8 heures est normale.
bloquer non sécurisé => inconnu, susp, sécurisé passera.
unsafe (malveillant) sont bloqués Bloquer unsafe, susp => inconnu et safe passer.
non sécurisé (malveillant) et suspect sont bloqués, autoriser uniquement les éléments sûrs => seuls les éléments classés sûrs peuvent passer. inconnu, suspect, non sécurisé (malveillant) sont bloqués
Blocage de la communication du botnet
Botnet Blocker est une fonctionnalité de sécurité qui vise à empêcher les agents de botnet de communiquer avec leurs serveurs de commande et de contrôle.
La fonctionnalité utilise les données de réputation DNS pour vérifier la sécurité des requêtes lors de la traduction des requêtes DNS en adresses IP.
Pour configurer Botnet Blocker en vue standard :
Sur la page Paramètres > Analyse du trafic Web , accédez à Bloqueur de botnets
Définissez le filtrage à utiliser pour les requêtes DNS.
Par défaut, ce paramètre est défini sur Bloquer les requêtes non sécurisées .
Définissez le niveau d’alerte à utiliser pour les notifications de requêtes DNS bloquées.
Distribuer la politique :
Vous pouvez choisir ce qui vous convient le mieux, vous avez différentes options dans la console Policy Manager :
Note:
Si une URL interne ou externe est bloquée par le filtre réseau, comme dans cet exemple : « F-Secure Network Filter 1.3.6.1.4.1.2213.11.1.12 a bloqué une requête DNS pour le domaine non sécurisé suivant : ... »
Le domaine a été détecté comme « malveillant » par notre ORSP et il est donc bloqué.
Vous pouvez résoudre ce problème en soumettant l'exemple ULR ici Soumettre un échantillon | WithSecure™ et attendez d'obtenir une réponse, qui vous indique si la page/URL est marquée comme propre.
Ou
Vous pouvez ajouter l'URL comme site de confiance dans votre console Policy Manager :
Pour F-Secure Client Security 14.x et versions ultérieures :
Connectez-vous à la console F-Secure Policy Manager
Sélectionnez l' hôte ou le domaine dans l'arborescence des domaines
Accédez à l’onglet Paramètres et sélectionnez Affichage standard
Accéder à la page de contrôle du contenu Web
Cliquez sur Ajouter sur le côté droit de la liste des sites de confiance
Entrez l'adresse du serveur dans la colonne Adresse
Distribuer la politique (Ctrl+D)
Aucun caractère générique n'est nécessaire dans l'adresse, par exemple :
Ajouter une règle de pare-feu pour autoriser la connexion au DNS non standard
Articles connexes :
L'analyse du trafic Web bloque un serveur interne, une URL ou des applications
Article no: 000010712
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.
