Introduction
REMARQUE : le pare-feu DNS est réservé aux clients MDR Complete. Rendez-vous sur notre site Web public pour en savoir plus sur nos niveaux de service.
Notre pare-feu DNS assure la protection DNS des appareils connectés à vos réseaux internes (protection sur le réseau) ou lorsqu'ils sont connectés à des réseaux externes (itinérance).
Une fois activé dans le portail MDR, vous pouvez restreindre l'accès aux sites web par catégorie (jeux d'argent, etc.) ou au niveau de chaque URL à l'aide des listes personnalisées d'autorisation et de blocage. Un tableau de bord du pare-feu DNS est également disponible pour des analyses plus approfondies et des informations détaillées sur les requêtes des utilisateurs et les éléments bloqués.
Cet article aborde les sujets suivants :
Qu'est-ce que la protection contre l'itinérance ?
La fonctionnalité Roaming n'est actuellement prise en charge que sur les appareils fonctionnant sous Windows 10 ou une version ultérieure.
Les appareils en itinérance ne prennent pas en charge la fonctionnalité de rapport disponible avec la protection sur le réseau. Nous trava
Lorsque la protection en itinérance est activée, la fonctionnalité de blocage du pare-feu DNS s'étend aux appareils connectés à des réseaux externes, comme un ordinateur portable connecté à domicile ou à un point d'accès Wi-Fi public.
Comment le roaming est-il détecté sur un appareil ?
Lorsqu'un appareil se connecte à Internet, l'agent de l'appareil vérifie s'il est déjà protégé par votre pare-feu DNS. Pour ce faire, il tente de résoudre un domaine de test intégré, dns.test.cira.ca, qui est résolu par le service de pare-feu DNS du réseau :
Si la résolution aboutit : l'appareil se trouve sur un réseau surveillé et protégé par un pare-feu DNS ; la protection Roaming reste donc désactivée.
Si la résolution échoue : l'appareil se trouve sur un réseau externe. L'agent active la protection Roaming et remplace le serveur DNS par défaut de l'hôte par l'adresse IP du serveur DNS Roaming.
Exceptions importantes
The agent handles two scenarios differently:
Servers: Roaming protection does not apply to devices identified as servers, since servers typically don't move between networks.
VPN Connections: Roaming protection is disabled while a device is connected to a VPN. The agent assumes VPN connections route through your corporate network and are already protected by your DNS Firewall. When the device disconnects from the VPN, it switches to Roaming mode.
Activation du pare-feu DNS
Veuillez noter que l'activation complète du pare-feu DNS peut prendre jusqu'à 3 heures après que vous l'ayez activé et configuré pour votre organisation (ou votre client final).
Condition préalable : ajouter des adresses IP publiques au profil de surveillance
Le pare-feu DNS utilise votre adresse IP publique externe pour associer et authentifier vos requêtes DNS. Si notre serveur de pare-feu DNS reçoit une requête dont l'adresse IP source ne correspond pas à votre adresse IP publique externe, cette requête sera refusée.
Avant d'effectuer toute modification de configuration, rassemblez les adresses IP publiques de tous les périphériques de passerelle externes de votre organisation, car celles-ci doivent être ajoutées au profil de surveillance de votre organisation.
Une fois que vous disposez de toutes vos adresses IP publiques, accédez à la page « Profil de service » de la section « Administration ». Dans l'onglet « Profil de surveillance », cliquez sur la section « Adresses IP publiques » et ajoutez vos connexions selon vos besoins. Consultez la section « Le profil de surveillance : présentation » pour en savoir plus sur la configuration des adresses IP publiques et des connexions.
Activer la protection sur le réseau
Partenaires : cette page n'est accessible que pour chaque client. Assurez-vous que le sélecteur d'organisation est réglé sur le client approprié pour accéder à cette page.
Accédez à la page « Pare-feu DNS » de la section « Administration » et activez le bouton « Protection sur le réseau ».
Une nouvelle fenêtre s'ouvrira pour vous rappeler que vous devez mettre à jour votre ou vos serveurs DNS afin d'utiliser nos serveurs de noms DNS à la place de ceux par défaut. Lorsque vous cocherez la case de confirmation et cliquerez sur le bouton « Mettre à jour », votre ou vos adresses IP publiques seront enregistrées pour le service.
La procédure de mise à jour de vos serveurs DNS varie en fonction de votre matériel, mais vous devez configurer ces adresses en tant que serveurs DNS de redirection dans vos serveurs DNS AD ou de passerelle :
IPv4:
Primary: 162.219.51.2
Secondary: 162.219.50.2
IPv6:
Primary: 2620:10a:8054::2
Secondary: 2620:10a:8055::2
Activer la protection contre l'itinérance
Pour activer la protection en itinérance en plus de la protection sur le réseau, il suffit d'activer le bouton « Roaming » une fois que la protection sur le réseau du pare-feu DNS est activée.
Puis-je utiliser l'itinérance sans la protection « On-Network » ?
Si vous choisissez de ne pas utiliser la protection « On-Network », vous devrez effectuer des réglages supplémentaires pour vous assurer que vos domaines internes continuent d'être résolus correctement. Cela s'applique également si vous prévoyez d'utiliser une autre solution de filtrage DNS sur votre réseau d'entreprise, mais que vous souhaitez tout de même bénéficier de la protection « Roaming » de Field Effect pour les appareils lorsqu'ils ne sont pas connectés au réseau.
Option 1 - Exclusion par nom de domaine complet
L'agent utilise la résolution d'un nom de domaine complet (FQDN) existant sur votre réseau pour déterminer s'il doit remplacer les paramètres DNS d'une interface réseau.
Étapes de configuration :
Identifiez un domaine interne accessible - Choisissez un domaine accessible sur vos serveurs Active Directory (par exemple, sharedrive.local)
Configuration dans le portail MDR - Ajoutez ce nom de domaine complet (FQDN) ainsi que son adresse IP ou son sous-réseau à votre configuration. L'agent tentera de le résoudre chaque fois que l'appareil se connectera à un nouveau réseau.
Fonctionnement de l'exclusion par nom de domaine complet (FQDN)
En configurant le nom de domaine complet (FQDN) :
Si l'appareil peut accéder à votre Active Directory, l'agent résout correctement le nom de domaine complet (FQDN) et ne remplace pas le DNS
Si l'appareil se trouve sur un réseau externe, la résolution échoue et l'agent active la protection contre l'itinérance.
Remarques importantes :
Il suffit de configurer un seul domaine interne accessible ; l'agent n'exige pas que tous les domaines internes soient configurés
Autre méthode : au lieu de configurer un nom de domaine complet (FQDN) personnalisé, vous pouvez suivre l'option 2 pour ajouter dns.test.cira.ca en tant que dernier enregistrement DNS dans vos serveurs DNS Active Directory afin d'obtenir le même résultat
Option 2 - Exclusion via un enregistrement DNS statique
Étapes de configuration
Ajoutez l'entrée DNS statique suivante à votre serveur DNS, à votre domaine Active Directory ou à vos passerelles, en tant que dernière entrée de votre liste de résolveurs DNS :
- Domain:
dns.test.cira.ca - IP Address:
5.5.5.5
Fonctionnement de l'exclusion par entrée statique
En plaçant cette entrée en dernier dans votre liste de résolveurs :
Votre réseau continue d'utiliser votre serveur DNS AD pour la résolution des noms de domaine
L'agent détecte votre réseau d'entreprise (car il peut résoudre dns.test.cira.ca via votre AD) et maintient la protection Roaming désactivée
Lorsque les appareils se connectent à des réseaux externes, ils ne parviennent pas à résoudre dns.test.cira.ca, ce qui déclenche la protection Roaming
Lorsque les appareils se reconnectent à votre réseau d'entreprise, l'agent détecte à nouveau le réseau et désactive la protection Roaming
Paramètres réseau supplémentaires (facultatif - avancé)
Si vous êtes un utilisateur avancé et que vous souhaitez définir vos réseaux « sécurisés (surveillés par votre organisation) », consultez la section « Mappage des réseaux sécurisés ».
En fonction de la configuration de votre ou vos réseaux et de la manière dont ils sont surveillés, vous devrez peut-être fournir des informations supplémentaires pour activer la protection en itinérance. Vous pouvez fournir les informations suivantes :
Suffixe DNS spécifique à la connexion : en indiquant ce suffixe, vous nous permettez d'identifier les réseaux dont vous avez la maîtrise et qui ne nécessitent donc pas de protection contre l'itinérance.
Un suffixe DNS spécifique à la connexion doit être attribué à une interface réseau afin que notre agent puisse identifier le réseau sécurisé associé à cette interface.
Il est recommandé de configurer le suffixe spécifique à la connexion sur un client Windows via DHCP.
La commande « ipconfig /all » permettra de vérifier que le suffixe a bien été attribué comme prévu.
Suffixe DNS spécifique à la connexion
Il vous suffit d'indiquer votre suffixe dans le champ de texte, puis de cliquer sur « Ajouter + ». Les suffixes ajoutés s'afficheront ci-dessous. Une fois tous vos suffixes ajoutés, cliquez sur « Mettre à jour » pour confirmer, puis revenez à la page d'administration du pare-feu DNS.
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article