Issue:
ユーザーが特定のWebサイトにアクセスしようとすると、管理者はポリシーマネージャコンソールで、ドメインのDNSクエリがブロックされたという警告を受け取ります。
ポリシー マネージャーから「 309 2020-03-22 21:57:47+01:00 SERVER0X SYSTEM F-Secure Network Filter 1.3.6.1.4.1.2213.11.1.12 次の安全でないドメインの DNS クエリをブロックしました: www. t est.com」というエラーが表示されます。
Resolution:
注: DNS フィルタに関して F-Secure ポリシー マネージャ サーバーから受け取る通知はエラーではありません。これらはクライアントから送信される警告/通知です。F-Secure ポリシー マネージャはクライアントに代わってエラーを生成することはありません。クライアントはローカルでエラーを生成し、ポリシー マネージャに警告を送信するだけです。
ポリシー マネージャー経由でアラート転送が有効になっている場合、クエリがブロックされるたびに、それに応じて管理者に通知されます。
これは予想される動作であり、よりよく理解するには、以下の説明をお読みください。
DNS クエリは ORSP 評価に基づいているため、すべてのクライアントに対してポリシー マネージャー コンソールから ORSP をアクティブ化する必要があります。
F-Secure ポリシー マネージャ コンソールを使用して Security Cloud を有効にする方法:
WithSecure Policy Managerコンソールにログインし、詳細ビューに移動します。
F-Secure Security Cloud クライアント設定を展開し、「より詳細な分析を許可する」と「クライアントを有効にする」が「はい」に設定されていることを確認して、ポリシーを配布します。
ORSP は、Object Reputation Service Protocol の略です。ファイルや URL などの新しいオブジェクトがクライアント上で検出されると、製品は強力に暗号化された Object Reputation Service Protocol (ORSP) を使用して Security Cloud と通信し、オブジェクトのレピュテーションの詳細を照会します。ファイル サイズや匿名化されたパスなど、オブジェクトに関する匿名のメタデータが Security Cloud に送信されます。Security Cloud の詳細については、https: //www.f-secure.com/en/web/legal_global/ プライバシー/security-cloud をご覧ください。
ボットネット ブロッカーは、DNS 解決とIPアドレスフィルタリングのレベルで機能します。
DNS フィルタリングが有効になっている場合、DNS アドレスが安全でないことがわかっている場合は、DNS アドレスの解決を許可しません。
IP レピュテーション フィルタリングが有効になっている場合、ORSP でレピュテーションがある IP アドレスへの接続をブロックします。
すべてのクエリを許可すると、DNS フィルターが無効になり、NIF (ネットワーク傍受フレームワーク) レベルでの DNS スキャンが無効になります。
たとえば「安全なクエリのみを許可する」に設定すると、ローカル DNS がブロックされる可能性があります。
DNS レコード情報は通常、一定期間キャッシュされます (ローカル ブラウザー、コンピューター、またはネットワーク フォワーダーに保存されます)。通常は 5 分から 8 時間程度です。
ブロック unsafe => unknown、susp、safe は通過します。
安全でない (悪意のある) ものはブロックされます。安全でないものはブロックし、susp => 不明で、安全なものは通過します。
安全でない(悪意のある)ものや疑わしいものはブロックされ、安全と評価されたものだけが許可されます => 安全と評価されたものだけが通過します。不明、疑わしい、安全でない(悪意のある)ものはブロックされます
ボットネット通信のブロック
ボットネット ブロッカーは、ボットネットエージェントがコマンド アンド コントロール サーバーと通信するのを防ぐことを目的としたセキュリティ機能です。
この機能は、DNS 要求を IP アドレスに変換するときに、DNS レピュテーション データを使用してクエリのセキュリティを検証します。
標準ビューでボットネット ブロッカーを構成するには:
設定> Webトラフィックスキャン ページ で、ボットネットブロッカーに移動します。
DNS クエリに使用するフィルタリングを設定します。
デフォルトでは、これは「安全でないクエリをブロックする」に設定されています。
ブロックされた DNS クエリの通知に使用するアラート レベルを設定します。
ポリシーを配布します。
自分にとって最適なものを選択できます。ポリシー マネージャー コンソールにはさまざまなオプションがあります。
注記:
ネットワーク フィルタによって内部または外部の URL がブロックされている場合、次の例のようになります: 「F-Secure ネットワーク フィルタ 1.3.6.1.4.1.2213.11.1.12 は、次の安全でないドメインの DNS クエリをブロックしました: ...」
このドメインは当社の ORSP によって「悪意のある」ものとして検出されたため、ブロックされています。
この問題を解決するには、ULR サンプルをこちら ( Submit a sample | WithSecure™)に送信し、ページ/URL がクリーンとしてマークされているかどうかを示す回答が得られるまで待ちます。
または
ポリシー マネージャー コンソールで URL を信頼済みサイトとして追加できます。
F-Secure Client Security 14.x 以降の場合:
F-Secureポリシーマネージャコンソールにログイン
ドメインツリーからホストまたはドメインを選択します
設定タブに移動し、標準表示を選択します
Webコンテンツコントロールページへ移動
信頼済みサイトリストの右側にある[追加]をクリックします。
アドレス列にサーバーアドレスを入力します
ポリシーを配布する (Ctrl+D)
アドレスにはワイルドカードは必要ありません。例:
非標準DNSへの接続を許可するファイアウォールルールを追加する
関連記事:
Webトラフィックスキャンにより内部サーバー、URL、またはアプリケーションがブロックされています
Article no: 000010712
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.
