FAQ de l’application client CIRA DNS Firewall

Application client CIRA DNS Firewall est une application téléchargeable qui assure la confidentialité, la sécurité et le filtrage de contenu des requêtes DNS. Le client permet aux utilisateurs de bénéficier de règles relatives au contenu et d’une protection contre les maliciels définies par les administrateurs du réseau même lorsqu’ils ne se trouvent pas sur le réseau de l’entreprise ou sur le RPV.

Lorsque l’application client DNS Firewall est active et en cours d’exécution, l’icône [RPV] sur iOS ou l’icône KEY sur Android s’affichent dans la barre de notification. L’application vous fournit l’état sur l’écran principal et, sur Android, un message d’état protégé sera présent dans la barre de notification du système d’exploitation.

Sous Windows, vous verrez une icône de notification en forme de coche verte et un message vous indiquant que « votre appareil est protégé » s’affichera dans la zone de notification. De plus, l’application client affichera une icône dans la zone de notification. L’icône est associée à la marque de chaque client et ce dernier peut fournir des icônes distinctes pour les indications « protégé sur le réseau », « protégé hors réseau », « non protégé » ou « désactivé ».

Application client CIRA DNS Firewall analyse toutes les requêtes DNS par rapport aux menaces connues et recherche tout contenu filtré. La valeur « Requêtes analysées » correspond au nombre total de requêtes DNS qui ont été vérifiées par le pare-feu afin de les comparer aux règles relatives au contenu définies par votre administrateur.

La valeur « Éléments bloqués » affiche les requêtes DNS qui ont été bloquées en raison de leur nature malveillante (selon la définition des flux de menaces) ou d’un filtre de contenu Web défini par un administrateur. Vous pouvez voir les principaux domaines analysés et bloqués sur les écrans de visualisation de la fonction de protection de l’application client et choisir entre les sept derniers jours et les quatre dernières semaines.

L’application client CIRA DNS Firewall ne consomme pas la batterie de votre appareil de manière considérable. Le trafic de données généré par l’application client varie en fonction des requêtes Internet envoyées par les applications sur l’appareil.  Veuillez noter que certains systèmes d’exploitation associent parfois à tort le trafic de données sur le réseau au client plutôt qu’à l’application d’où il provient, puisque l’application demande une activité externe sur le réseau. Toutefois, à lui seul, DNS Firewall crée seulement un trafic minime afin de synchroniser les règles relatives au contenu provenant des services de CIRA. L’application client DNS Firewall agit comme mandataire pour l’ensemble du trafic Internet en vue de bloquer les requêtes malveillantes.

L’autorisation RPV est nécessaire pour permettre à l’application CIRA DNS Firewall de gérer votre trafic DNS. Vos données ne sont pas transmises par tunnel à un serveur RPV comme un service RPV traditionnel qui chiffre l’ensemble de votre trafic et modifie votre identité en ligne. L’application CIRA DNS Firewall achemine plutôt vos requêtes DNS et HTTP/HTTPS vers nos résolveurs de DNS, qui les examinent afin de déterminer si elles doivent être bloquées avant de les autoriser. Par conséquent, l’adresse IP locale de l’utilisateur est toujours indiquée au site Web ou au serveur visé par la requête. Le trafic sur le réseau, autre que les requêtes DNS et HTTP/HTTPS, passe directement de l’appareil à la destination.

L’application client CIRA DNS Firewall effectue les étapes suivantes pour déterminer si elle est hors réseau. Ces étapes sont effectuées périodiquement ou chaque fois qu’il y a un changement dans l’état du réseau de l’appareil.

• Tout d’abord, l’application client essaiera de résoudre une requête vers un hôte de test préconfiguré à l’aide du résolveur DNS par défaut. L’application comparera le résultat (réponse DNS) à une liste préconfigurée (par exemple des adresses IP) dans sa configuration. Si le résultat est sur la liste, alors l’application client est considérée comme étant en réseau pour ce test.
• De plus, l’application client effectuera une requête DNS sur HTTPS (DoH) pour le nom d’hôte DoH configuré. Si la réponse DoH contient l’en-tête de réponse HTTP « X-Client-Location » avec la valeur « OnNet », alors l’application client est considérée comme étant sur le réseau pour ce test.
• L’application client ne sera considérée « sur réseau » que si les résultats des deux tests apparaissent « sur réseau ». Sinon, l’application client est considérée comme hors réseau.

Si la requête DoH pour le nom d’hôte DoH échoue pour toutes les adresses IP de serveur DoH configurées, un message indiquera à l’application client que l’appareil n’est pas protégé. L’application répétera ensuite le processus selon des intervalles configurés.

• Certains services Wi-Fi directs, comme la connexion à une imprimante ou à une caméra de sécurité à domicile, peuvent ne pas fonctionner lorsqu’un RPV est actif. L’application a une logique pour détecter et autoriser le Wi-Fi direct. Veuillez donc essayer de vous connecter plus d’une fois avant de désactiver temporairement le service client CIRA DNS Firewall.
• Certains jeux, en particulier ceux qui ont des matchs directs entre joueurs, peuvent ne pas fonctionner lorsqu’un RPV est actif.
• Pour désactiver temporairement l’application client CIRA DNS Firewall, suivez les étapes ci-dessous :
  • Ouvrez l’application client et appuyez sur le menu (trois points en haut à droite), puis appuyez sur Configurer.
  • Appuyez ensuite sur le bouton bascule de la fonction de protection de l’application client CIRA DNS Firewall, puis appuyez sur OK dans la fenêtre d’avertissement.
  • Vous pouvez maintenant vous connecter à l’imprimante, à la caméra de sécurité ou à la console de jeu.
  • Pour le réactiver, ouvrez l’application client CIRA DNS Firewall et répétez les étapes ci-dessus en utilisant le bouton bascule.
• Remarque sur iOS : Le logo Wi-Fi peut disparaître lorsque le RPV est en cours d’exécution, même si vous êtes toujours connecté au Wi-Fi. Il s’agit d’une occurrence connue pour tous les RPV sur iOS. Pour vérifier que vous êtes toujours sur le Wi-Fi, appuyez sur l’application Paramètres de votre iPhone et regardez l’état du Wi-Fi.
• Il peut arriver que certains sites Web et certaines applications ne chargent pas si des règles relatives au contenu bloquent une partie du contenu. Par exemple, le filtrage de contenu peut bloquer des publicités ou des sites de jeux, empêchant ainsi un jeu mobile de charger. Les problèmes liés aux applications doivent être signalés à votre administrateur de TI.

• Installations manuelles individuelles au moyen du courriel d’activation envoyé par un administrateur de TI
• Outil de gestion des postes mobiles, comme Microsoft InTune ou Google Workspace Administrateur

Oui, mais la performance peut être réduite selon la qualité du réseau local et puisque les résolveurs DNS utilisés par le client pour vérifier les requêtes sont tous situés au Canada.

Les rapports sur les appareils permettent de chercher les appareils par nom d’utilisateur. Si vous installez manuellement l’application sur les appareils, vous pouvez fournir n’importe quel nom d’utilisateur et le chercher dans les rapports.

Si vous installez l’application au moyen d’un logiciel MDM comme InTune, assurez-vous de suivre la documentation qui précise comment utiliser des variables pour effectuer une attribution dynamique des noms d’utilisateur.

La version actuelle de l’application n’a pas de page de blocage personnalisée pour les appareils Windows et macOS. Les blocages se produiront tout de même, mais pour le moment, une page de blocage par défaut s’affiche. De futures mises à jour de l’application corrigeront ce problème.

Lorsque vous êtes connecté(e) à votre réseau d’entreprise, l’application Windows affichera l’état déconnecté. CIRA DNS Firewall protège votre appareil au niveau du réseau puisque celui-ci a priorité sur le niveau de l’application. Le sujet est traité plus en détail dans la section « Chevauchement de réseaux et de groupes d’appareils » du Guide de démarrage.

Lorsque de nouvelles versions de l’application sont accessibles dans la boutique Google Play ou l’Apple Store, la mise à niveau de l’application se fera automatiquement ou sera manuellement déclenchée par l’utilisateur·rice, selon les préférences de l’appareil. Cliquez ici afin d’obtenir les instructions pour Android ou ici pour les appareils Apple iOS et macOS.  La plus récente version de Windows Installer est offerte dans le portail DNS Firewall. Le guide d’installation comprend des instructions détaillées sur l’installation et la mise à niveau des clients.

La plus récente version du Guide de démarrage ou du guide d’installation détaillé se trouve en tout temps dans l’aide en ligne du portail DNS Firewall.

Pour récupérer ces documents :

• Cliquez sur l’icône ? dans le coin supérieur droit; une nouvelle fenêtre s’ouvrira.
• Cliquez sur l’icône de menu dans le coin supérieur gauche
• Allez à Table des matières<Documents complémentaires<Documents complémentaires <Protection hors réseau du CIRA DNS Firewall Guide d’installation détaillé
• Les documents seront dans la section des fichiers PDF.

Si vous souhaitez être avisé directement de ces mises à jour, veuillez vous inscrire aux messages de service de DNS Firewall. Les messages de service sont envoyés par courriel et publiés dans la bannière du portail des utilisateurs·rices. Veuillez vous assurer que vous avez activé l’option de courriel de service dans votre profil d’utilisateur·rice pour recevoir de futurs messages.

Lorsqu’un appareil qui utilise le système d’exploitation Windows est mis en marche, l’application doit d’abord vérifier si votre appareil est connecté au réseau d’entreprise. Si ce n’est pas le cas, l’application sera activée pour protéger l’appareil et établira des connexions aux résolveurs DNS CIRA. Sur les appareils Windows, ce processus prend quelques secondes, alors qu’il est plus rapide sur les autres systèmes d’exploitation.

Dans tous les systèmes d’exploitation, les applications comportent une option permettant de les désactiver, en fonction des options sélectionnées lors de l’installation. Si vous installez l’application au moyen d’un logiciel MDM comme Microsoft InTune ou Google Workspace Administrateur, vous pouvez empêcher les utilisateurs·rices de désactiver l’application en suivant les étapes indiquées dans le guide d’installation détaillé.

Veuillez noter qu’il est conseillé de permettre aux utilisateurs·rices de désactiver l’application pendant le déploiement initial du service. Il est possible que les utilisateurs·rices finaux·les rencontrent des problèmes de résolution DNS sur certains réseaux. En leur permettant de désactiver la fonctionnalité, vous leur offrez ainsi une option de dépannage utile.

Les applications, sur tous systèmes d’exploitation, peuvent être désinstallées. L’application DNS Firewall de CIRA ne dispose d’aucune mesure préventive pouvant empêcher sa désinstallation. Cependant, il est possible d’empêcher la désinstallation au niveau du MDM. Par exemple, InTune peut permettre à un utilisateur de désinstaller une application, mais il peut ensuite forcer la réinstallation de l’application. Il est important de s’assurer que les liens d’activation sont maintenus à jour afin que la réinstallation et le réenregistrement réussissent. L’application Windows est quelque peu différente, car seuls les utilisateurs disposant des droits d’administrateur peuvent désinstaller l’application.

Lors de l’enregistrement d’un appareil avec le lien d’activation, il est aussi demandé de fournir le nom et le prénom de l’utilisateur. Sur toutes les plateformes, vos pouvez fournir des variables pour ces champs, de sorte que chaque appareil aura un identifiant unique. Ces étapes sont indiquées à la section Intune du guide d’installation détaillé.

Veuillez vérifier les éléments suivants :

• Avez-vous une connexion Internet ?
• Votre organisation, votre réseau WiFi ou votre navigateur internet autorise-t-il les requêtes DNS-over-HTTPS (DoH) ? Le client DNS Firewall de CIRA doit pouvoir accéder au domaine dns.cira.ca via DoH.
• Avez-vous essayé de redémarrer votre poste de travail ?
• Le client est-il activé avec un lien d’activation non expiré ? Vous pouvez essayer de désinstaller et de réactiver le client avec un nouveau lien d’activation.

Les listes de domaines locaux autorisés étaient auparavant utilisées par le client Windows de DNS Firewall pour soutenir une résolution accélérée des noms de domaines locaux. Ces listes servaient également à s’assurer que les noms de domaines internes n’étaient pas transmis aux résolveurs de DNS de votre FSI. Depuis le lancement de la version 2.4 du client Windows, ces listes de domaines ne sont plus requises par DNS Firewall, car les changements apportés aux flux de résolution DNS privilégieront les résolveurs locaux plutôt que DNS Firewall.