Cette FAQ répond aux questions techniques concernant le service et non aux questions générales en lien avec le programme. Parcourez le réseau de recherche ou CANARIE pour de plus amples détails à propos du programme.
Ce programme est uniquement offert aux membres qui sont font partie de CANARIE par le biais de leur fournisseur de réseau de recherche local. La première étape est de vous assurer que vous êtes admissible à ce service et puis d’accéder à leur site Web pour remplir l’entente de collaboration en matière de cybersécurité d’organisations. Si vous avez besoin d’aide, veuillez prendre rendez-vous avec CIRA ou votre RNRE local pour discuter du processus.
Les clients actuels du DNS Firewall qui sont admissibles à ce programme devront remplir l’entente de collaboration mentionnée précédemment dans cette FAQ. CIRA convertira ensuite le statut du compte afin de refléter ce changement en vigueur le 1er janvier 2020 et émettra un remboursement proportionnel des contrats existants.
Le système de noms de domaine (DNS) est une base de données hiérarchique à grande échelle qui associe les noms de domaine donnés par les êtres humains aux adresses IP qui sont comprises des ordinateurs. On peut le considérer comme le bottin téléphonique de l’Internet. Les domaines utilisent des résolveurs « faisant autorité » qui sont en réalité la source d’information de l’enregistrement DNS. Un usager d’Internet utilise des résolveurs « récursifs » qui connaissent la méthode pour vérifier l’information en visitant les résolveurs faisant autorité. Ils mettent habituellement en cache ce qu’ils ont trouvé pour une période jusqu’à ce qu’ils effectuent une autre recherche.
L’Anycast DNS de CIRA procure un résolveur de DNS faisant autorité secondaire pour les noms de domaine les rendant ainsi plus rapides, plus résilients et plus résistants aux attaques des pirates informatiques (comme les attaques par saturation). La meilleure pratique pour la fiabilité est le maintien d’au moins deux nuages de service secondaire pour les domaines importants. Plus de 300 établissements d’enseignement supérieur au Canada utilisent le service de l’Anycast DNS faisant autorité de CIRA.
Le DNS Firewall de CIRA est ce qu’on appelle un service récursif « qui permet de définir des politiques ». Il fournit les réponses aux utilisateurs finaux visitant les domaines à partir d’un navigateur ou d’une application. En ce qui concerne les politiques, cela fait référence au fait qu’il est configuré de façon à bloquer les tentatives de visites aux domaines qui représentent des menaces connues.
Bref, CIRA offre des services DNS faisant autorité (Anycast DNS de CIRA) et récursifs (DNS Firewall de CIRA).
Nous avons constaté que la plupart des établissements d’enseignement supérieur au Canada gèrent leurs propres serveurs récursifs grâce à un service répertoire ou autres. Pour ceux qui aimeraient utiliser notre DNS Firewall, les administrateurs du DNS continuent habituellement d’utiliser leur serveur récursif local tout en soumettant les requêtes à CIRA. Ceci permet au serveur local une exploitation plus résiliente. Comme CIRA exploite déjà deux nuages récursifs, nous ne recommandons pas d’utiliser ce service avec un autre fournisseur dans ce cas-ci.
Ce n’est pas un service de DNS ouvert. Vous devez remplir les documents du PIC auprès de CANARIE puis vous inscrire avec CIRA afin d’ajouter au service les adresses IP de votre utilisateur administratif et de l’entreprise. Ce processus est habituellement complété lors d’une rencontre d’accueil initiale pour répondre à vos questions. Par contre, pour ceux qui s’y connaissent et qui désirent accélérer le tout, vous aurez vos données d’accès au portail en remplissant le formulaire d’inscription. Cette étape consiste de configurer les serveurs DNS à soumettre les requêtes. Des renseignements se trouvent dans le guide de démarrage et dans la section d’aide virtuelle. CIRA exploite deux nuages pour redondance et utilise des options de chiffrement du DNS et de IPv6.
Oui. Pour ceux qui dirigent plusieurs emplacements qui n’ont pas nécessairement une adresse IP fixe.
Il n’y a pas de limite selon les conditions de service concernant le nombre de réseaux ou d’utilisateurs que vous pouvez protéger. Cependant, ils doivent tous faire partie de l’organisation abonnée au service.
Une grande mémoire cache locale est un risque de sécurité potentiel comme le serveur local ne reconnaitrait pas immédiatement une nouvelle menace créée sur un domaine existant. Ceci pourrait arriver dans le cas où un site Web connu se ferait pirater. Nous recommandons généralement de conserver une petite cache locale, mais la décision revient à l’administrateur en TI qui gère le réseau.
CIRA a mené une analyse de la performance des serveurs du DNS Firewall de CIRA grâce à un outil appelé RIPE Atlas. Le service de CIRA a obtenu un classement favorable parmi les plus grands joueurs mondiaux, dont Google et Cloudflare, pour les requêtes canadiennes. Pour les réseaux qui suivent les points d’échange Internet au Canada (comme les réseaux de recherche), nous devrions surpasser ce rendement.
CIRA obtient son flux de menaces principal d’Akamai. Cette société reçoit un flux anonyme de requêtes de DNS de centaines d’adresses IP d’un bout à l’autre du monde. En seulement quelques minutes suivant la requête mondiale d’un domaine, ce dernier est analysé et ajouté au flux de menaces s’il est malveillant. Le flux d’Akamai est également téléversé préalablement grâce à des domaines générés par algorithme (DGA) afin de bloquer la commande et le contrôle des logiciels malveillants. Il comprend aussi 37 autres flux publics et commerciaux des plus grands fournisseurs en cybersécurité, dont Sophos. Finalement, nous y avons ajouté le flux du Centre canadien pour la cybersécurité (CCCS) et pour les établissements d’enseignement supérieur, celui de CANSSOC.
Tout d’abord, grâce au programme en lien avec les réseaux de recherche, la solution de CIRA est complètement gratuite pour ces organisations. La solution de CIRA possède un flux de menaces unique, est située au Canada dans le but d’offrir de meilleures souveraineté et confidentialités des données, et est offerte par un organisme à but non lucratif sans aucun intérêt commercial dans les données de nos clients. Nous travaillons en étroite collaboration avec les institutions scolaires et les organisations gouvernementales canadiennes afin de bâtir un meilleur Internet fiable au pays.
Notre ajout de flux supplémentaires provenant seulement du Canada permet d’autant plus d’améliorer la protection contre les cybermenaces. Le service OpenDNS de base (gratuit) se veut pour une utilisation résidentielle qui ne permet pas de bloquer les programmes malveillants ni de filtrer le contenu. Le CISCO Umbrella et le DNS Firewall de CIRA offrent un service semblable en matière de cybersécurité et de filtrage de contenu. Le service de CISCO comprend un logiciel de bureau (pour des frais supplémentaires) que CIRA n’a pas, à la date du lancement de son programme. En considérant que bien des organisations ont déjà investi énormément dans les logiciels de sécurité, nous pensons que le DNS Firewall de CIRA correspond parfaitement à l’ajout de cyberprotection pour la plupart des utilisations. Ceci est d’autant plus vrai pour celles qui gèrent un réseau public, comme les écoles, qui ont un contrôle limité des utilisateurs de leur réseau.
Les organisations qui s’abonnent au service peuvent configurer leurs réseaux par le biais de leur adresse IP et les gérer à partir du portail.
Pour la circulation HTTP, un utilisateur qui clique sur un lien malveillant ou un dont le contenu est filtré sera dirigé vers une page bloquée (HTTP), laquelle peut être personnalisée par l’organisation. Pour la circulation HTTPS, la page ne s’ouvrira pas.
Le DNS Firewall de CIRA prend en charge plus de 60 différentes catégories de filtrage de contenu, lesquelles peuvent être manuellement configurées par l’organisation. Les adresses URL individuelles peuvent également être placées sur une liste noire. CIRA rend disponible un flux de blocage lié à l’exploitation des enfants produit par cyberaide.ca qui peut être activité optionnellement.
Oui, les domaines individuels peuvent être ajoutés à une liste blanche. Ceci est souvent utilisé lorsqu’une organisation désire bloquer un certain type de contenu qui contient des risques connus (p. ex., le stockage en ligne) tout en permettant l’accès aux services approuvés.
Oui, en utilisant la liste noire. Ceci est surtout pratique lorsqu’une organisation est ciblée par une tentative d’hameçonnage qui n’a pas encore été ajoutée aux listes de menaces globales. Vous pouvez alors immédiatement ajouter les menaces connues à la liste de blocage. Les listes personnalisées peuvent également être téléversées en masse lors de la configuration initiale pour ceux qui tiennent une liste à jour.
Oui, le flux de menaces peut être désactivé, mais les menaces individuelles ne seront alors pas automatiquement ajoutées à la liste blanche.
CIRA suit un processus simple pour le rapport de faux positifs potentiels. Le lien du formulaire se trouve sur la page d’aide virtuelle du portail Web. Depuis les trois années que nous offrons ce service, nous n’avons reçu que très peu de rapports de faux positifs, dont une infime quantité était réellement des menaces.