Issue:
När en användare försöker komma åt vissa specifika webbplatser får administratören varningar i Policy Manager-konsolen om att en DNS-fråga blockerades för en domän
Vi får ett felmeddelande från Policy Manager som innehåller " 309 2020-03-22 21:57:47+01:00 SERVER0X SYSTEM F-Secure Network Filter 1.3.6.1.4.1.2213.11.1.12 Blockerade en DNS-fråga för följande osäkra domän: www. t est.com
Resolution:
Obs! Aviseringarna du får från F-Secure Policy Manager Server angående DNS-filtret är inte fel. Dessa är varningar/meddelanden som skickas från klienter. F-Secure Policy Manager genererar inga fel på uppdrag av klienter. Klienter genererar fel lokalt och de skickar bara varningar till Policy Manager.
Om vidarebefordran av varningar är aktiverad via Policy Manager, kommer administratören att meddelas om detta varje gång en fråga blockeras.
Detta är ett förväntat beteende, och för att förstå det bättre, läs förklaringen nedan:
DNS-frågor baseras på ORSP-klassificering, så ORSP måste aktiveras från Policy Manager-konsolen för alla klienter.
Så här aktiverar du Security Cloud med F-Secure Policy Manager Console:
Logga in på WithSecure Policy Manager Console och navigera till avancerad vy
Expandera F-Secure Security Cloud Client Settings och se till att "tillåt djupare analyser" och "Client är aktiverad" är inställda på "ja" och distribuera policyn.
ORSP står för Object Reputation Service Protocol. När ett nytt objekt, som en fil eller URL, påträffas på en klient, kommunicerar produkten med säkerhetsmolnet med hjälp av det starkt krypterade Object Reputation Service Protocol (ORSP) för att fråga efter objektets ryktedetaljer. Anonym metadata om objektet, såsom filstorlek och anonymiserad sökväg, skickas till säkerhetsmolnet. Du kan hitta mer information om säkerhetsmolnet här: https://www.f-secure.com/en/web/legal_global/ sekretess/security-cloud
Botnätblockerare fungerar på nivån för DNS-upplösning och IP-adress .
När DNS-filtrering är aktiverad tillåter vi inte att lösa DNS-adresser om vi vet att dessa DNS-adresser inte är säkra.
När IP-ryktefiltrering är aktiverad blockerar vi anslutningar till IP-adresser som vi har rykte för i ORSP.
När du tillåter alla frågor betyder det att du har inaktiverat DNS-filtret, genom att göra detta inaktiverar du DNS-skanning på NIF-nivå (Network Interception Framework).
Om du ställer in till exempel "Tillåt endast säkra frågor" kan det fortfarande blockera lokal DNS.
DNS-postinformation cachelagras vanligtvis (lagras i din lokala webbläsare, dator eller nätverksvidare) under en viss tid; allt från 5 minuter till 8 timmar är normalt.
blockera osäker => okänt, misstänkt, säkert kommer att gå igenom.
osäkra (skadliga) är blockerade Blockera osäker, susp => okänt och säkert gå igenom.
osäkra (skadliga) och misstänkta är blockerade tillåter endast säker => endast säker klassad gå igenom. okända, misstänkta, osäkra (skadliga) är blockerade
Blockerar botnät
Botnet Blocker är en säkerhetsfunktion som syftar till att förhindra botnät -agenter från att kommunicera med sina kommando- och kontrollservrar.
Funktionen använder DNS-ryktedata för att verifiera säkerheten för frågor vid översättning av DNS-förfrågningar till IP-adresser.
Så här konfigurerar du Botnet Blocker i standardvyn :
På sidan Inställningar > Sökning av webbtrafik , gå till Botnet-blockerare
Ställ in filtreringen som ska användas för DNS-frågor.
Som standard är detta inställt på Blockera osäkra frågor .
Ställ in varningsnivån som ska användas för meddelanden om blockerade DNS-frågor.
Distribuera policyn:
Du kan välja vad som fungerar bäst för dig, du har olika alternativ i Policy Manager Console:
Notera:
Om någon intern eller extern URL är blockerad från nätverksfilter, som det här exemplet: "F-Secure Network Filter 1.3.6.1.4.1.2213.11.1.12 Blockerade en DNS-fråga för följande osäkra domän: ... "
Domänen upptäcktes som "skadlig" av vår ORSP och därför är den blockerad.
Du kan lösa detta genom att skicka in ULR-exemplet här. Skicka in ett prov | WithSecure™ och vänta tills du får svar, som talar om för dig om sidan/URL är markerad som ren.
Eller
Du kan lägga till webbadressen som betrodd webbplats i din Policy Manager-konsol:
För F-Secure Client Security 14.x och senare :
Logga in på F-Secure Policy Manager Console
Välj värd eller domänen från domänträdet
Gå till fliken Inställningar och välj Standardvy
Gå till sidan för kontroll av webbinnehåll
Klicka på Lägg till till höger i listan över betrodda webbplatser
Ange serveradressen i kolumnen Adress
Distribuera policyn (Ctrl+D)
Inget jokertecken behövs i adressen, till exempel:
Lägg till brandväggsregel för att tillåta anslutning till icke-standardiserad DNS
Relaterade artiklar:
Genomsökning av webbtrafik blockerar en intern server, URL eller applikationer
Article no: 000010712
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.
