FAQ de l’application client CIRA DNS Firewall

Application client CIRA DNS Firewall est une application téléchargeable qui assure la confidentialité, la sécurité et le filtrage de contenu des requêtes DNS. Le client permet aux utilisateurs de bénéficier de règles relatives au contenu et d’une protection contre les maliciels définies par les administrateurs du réseau même lorsqu’ils ne se trouvent pas sur le réseau de l’entreprise ou sur le RPV.

Lorsque l’application client DNS Firewall est active et en cours d’exécution, l’icône [RPV] sur iOS ou l’icône KEY sur Android s’affichent dans la barre de notification. L’application vous fournit l’état sur l’écran principal et, sur Android, un message d’état protégé sera présent dans la barre de notification du système d’exploitation.

Sous Windows, vous verrez une icône de notification en forme de coche verte et un message vous indiquant que « votre appareil est protégé » s’affichera dans la zone de notification. De plus, l’application client affichera une icône dans la zone de notification. L’icône est associée à la marque de chaque client et ce dernier peut fournir des icônes distinctes pour les indications « protégé sur le réseau », « protégé hors réseau », « non protégé » ou « désactivé ».

Application client CIRA DNS Firewall analyse toutes les requêtes DNS par rapport aux menaces connues et recherche tout contenu filtré. La valeur « Requêtes analysées » correspond au nombre total de requêtes DNS qui ont été vérifiées par le pare-feu afin de les comparer aux règles relatives au contenu définies par votre administrateur.

La valeur « Éléments bloqués » affiche les requêtes DNS qui ont été bloquées en raison de leur nature malveillante (selon la définition des flux de menaces) ou d’un filtre de contenu Web défini par un administrateur. Vous pouvez voir les principaux domaines analysés et bloqués sur les écrans de visualisation de la fonction de protection de l’application client et choisir entre les sept derniers jours et les quatre dernières semaines.

L’application client CIRA DNS Firewall ne consomme pas la batterie de votre appareil de manière considérable. Le trafic de données généré par l’application client varie en fonction des requêtes Internet envoyées par les applications sur l’appareil.  Veuillez noter que certains systèmes d’exploitation associent parfois à tort le trafic de données sur le réseau au client plutôt qu’à l’application d’où il provient, puisque l’application demande une activité externe sur le réseau. Toutefois, à lui seul, DNS Firewall crée seulement un trafic minime afin de synchroniser les règles relatives au contenu provenant des services de CIRA. L’application client DNS Firewall agit comme mandataire pour l’ensemble du trafic Internet en vue de bloquer les requêtes malveillantes.

L’autorisation RPV est nécessaire pour permettre à l’application CIRA DNS Firewall de gérer votre trafic DNS. Vos données ne sont pas transmises par tunnel à un serveur RPV comme un service RPV traditionnel qui chiffre l’ensemble de votre trafic et modifie votre identité en ligne. L’application CIRA DNS Firewall achemine plutôt vos requêtes DNS et HTTP/HTTPS vers nos résolveurs de DNS, qui les examinent afin de déterminer si elles doivent être bloquées avant de les autoriser. Par conséquent, l’adresse IP locale de l’utilisateur est toujours indiquée au site Web ou au serveur visé par la requête. Le trafic sur le réseau, autre que les requêtes DNS et HTTP/HTTPS, passe directement de l’appareil à la destination.

L’application client CIRA DNS Firewall effectue les étapes suivantes pour déterminer si elle est hors réseau. Ces étapes sont effectuées périodiquement ou chaque fois qu’il y a un changement dans l’état du réseau de l’appareil.

• Tout d’abord, l’application client essaiera de résoudre une requête vers un hôte de test préconfiguré à l’aide du résolveur DNS par défaut. L’application comparera le résultat (réponse DNS) à une liste préconfigurée (par exemple des adresses IP) dans sa configuration. Si le résultat est sur la liste, alors l’application client est considérée comme étant en réseau pour ce test.
• De plus, l’application client effectuera une requête DNS sur HTTPS (DoH) pour le nom d’hôte DoH configuré. Si la réponse DoH contient l’en-tête de réponse HTTP « X-Client-Location » avec la valeur « OnNet », alors l’application client est considérée comme étant sur le réseau pour ce test.
• L’application client ne sera considérée « sur réseau » que si les résultats des deux tests apparaissent « sur réseau ». Sinon, l’application client est considérée comme hors réseau.

Si la requête DoH pour le nom d’hôte DoH échoue pour toutes les adresses IP de serveur DoH configurées, un message indiquera à l’application client que l’appareil n’est pas protégé. L’application répétera ensuite le processus selon des intervalles configurés.

• Certains services Wi-Fi directs, comme la connexion à une imprimante ou à une caméra de sécurité à domicile, peuvent ne pas fonctionner lorsqu’un RPV est actif. L’application a une logique pour détecter et autoriser le Wi-Fi direct. Veuillez donc essayer de vous connecter plus d’une fois avant de désactiver temporairement le service client CIRA DNS Firewall.
• Certains jeux, en particulier ceux qui ont des matchs directs entre joueurs, peuvent ne pas fonctionner lorsqu’un RPV est actif.
• Pour désactiver temporairement l’application client CIRA DNS Firewall, suivez les étapes ci-dessous :
  • Ouvrez l’application client et appuyez sur le menu (trois points en haut à droite), puis appuyez sur Configurer.
  • Appuyez ensuite sur le bouton bascule de la fonction de protection de l’application client CIRA DNS Firewall, puis appuyez sur OK dans la fenêtre d’avertissement.
  • Vous pouvez maintenant vous connecter à l’imprimante, à la caméra de sécurité ou à la console de jeu.
  • Pour le réactiver, ouvrez l’application client CIRA DNS Firewall et répétez les étapes ci-dessus en utilisant le bouton bascule.
• Remarque sur iOS : Le logo Wi-Fi peut disparaître lorsque le RPV est en cours d’exécution, même si vous êtes toujours connecté au Wi-Fi. Il s’agit d’une occurrence connue pour tous les RPV sur iOS. Pour vérifier que vous êtes toujours sur le Wi-Fi, appuyez sur l’application Paramètres de votre iPhone et regardez l’état du Wi-Fi.
• Il peut arriver que certains sites Web et certaines applications ne chargent pas si des règles relatives au contenu bloquent une partie du contenu. Par exemple, le filtrage de contenu peut bloquer des publicités ou des sites de jeux, empêchant ainsi un jeu mobile de charger. Les problèmes liés aux applications doivent être signalés à votre administrateur de TI.

• Installations manuelles individuelles au moyen du courriel d’activation envoyé par un administrateur de TI
• Outil de gestion des postes mobiles, comme Microsoft InTune ou Google Workspace Administrateur

Oui, mais la performance peut être réduite selon la qualité du réseau local et puisque les résolveurs DNS utilisés par le client pour vérifier les requêtes sont tous situés au Canada.

Les rapports sur les appareils permettent de chercher les appareils par nom d’utilisateur. Si vous installez manuellement l’application sur les appareils, vous pouvez fournir n’importe quel nom d’utilisateur et le chercher dans les rapports.

Si vous installez l’application au moyen d’un logiciel MDM comme InTune, assurez-vous de suivre la documentation qui précise comment utiliser des variables pour effectuer une attribution dynamique des noms d’utilisateur.

Lorsque vous êtes connecté(e) à votre réseau d’entreprise, l’application Windows affichera l’état déconnecté. CIRA DNS Firewall protège votre appareil au niveau du réseau puisque celui-ci a priorité sur le niveau de l’application. Le sujet est traité plus en détail dans la section « Chevauchement de réseaux et de groupes d’appareils » du Guide de démarrage.

When there are new versions of the application in the Google Play Store and Apple Store, the application will be upgraded based on device preferences – either auto updated or manually triggered by users. Click here for Android instructions or here for Apple iOS and macOS devices.  The latest version of Windows installer is available from the DNS Firewall portal. Detailed instruction on installing and upgrading clients can be found within the installation guide.

The latest version of the Getting Started Guide or Detailed Installation Guide can always be found in the DNS Firewall portal’s online help.

You can retrieve these documents by doing the following:

• Click on the ? icon on the top right which will open a new window
• Click on the Menu icon on the top left
• Go to Contents > Supplementary Documents > Supplementary Documents
• The documents will be under the PDF section

If you would like to be notified of these updates directly, please sign up for DNS Firewall service messages. Service messages are sent via email and posted as banner in the user portal. Please ensure that you have enabled “Service Email” option in your user profile to received future messages.

Lorsqu’un appareil qui utilise le système d’exploitation Windows est mis en marche, l’application doit d’abord vérifier si votre appareil est connecté au réseau d’entreprise. Si ce n’est pas le cas, l’application sera activée pour protéger l’appareil et établira des connexions aux résolveurs DNS CIRA. Sur les appareils Windows, ce processus prend quelques secondes, alors qu’il est plus rapide sur les autres systèmes d’exploitation.

Dans tous les systèmes d’exploitation, les applications comportent une option permettant de les désactiver, en fonction des options sélectionnées lors de l’installation. Si vous installez l’application au moyen d’un logiciel MDM comme Microsoft InTune ou Google Workspace Administrateur, vous pouvez empêcher les utilisateurs·rices de désactiver l’application en suivant les étapes indiquées dans le guide d’installation détaillé.

Veuillez noter qu’il est conseillé de permettre aux utilisateurs·rices de désactiver l’application pendant le déploiement initial du service. Il est possible que les utilisateurs·rices finaux·les rencontrent des problèmes de résolution DNS sur certains réseaux. En leur permettant de désactiver la fonctionnalité, vous leur offrez ainsi une option de dépannage utile.

Les applications, sur tous systèmes d’exploitation, peuvent être désinstallées. L’application DNS Firewall de CIRA ne dispose d’aucune mesure préventive pouvant empêcher sa désinstallation. Cependant, il est possible d’empêcher la désinstallation au niveau du MDM. Par exemple, InTune peut permettre à un utilisateur de désinstaller une application, mais il peut ensuite forcer la réinstallation de l’application. Il est important de s’assurer que les liens d’activation sont maintenus à jour afin que la réinstallation et le réenregistrement réussissent. L’application Windows est quelque peu différente, car seuls les utilisateurs disposant des droits d’administrateur peuvent désinstaller l’application.

Lors de l’enregistrement d’un appareil avec le lien d’activation, il est aussi demandé de fournir le nom et le prénom de l’utilisateur. Sur toutes les plateformes, vos pouvez fournir des variables pour ces champs, de sorte que chaque appareil aura un identifiant unique. Ces étapes sont indiquées à la section Intune du guide d’installation détaillé.

Veuillez vérifier les éléments suivants :

• Avez-vous une connexion Internet ?
• Votre organisation, votre réseau WiFi ou votre navigateur internet autorise-t-il les requêtes DNS-over-HTTPS (DoH) ? Le client DNS Firewall de CIRA doit pouvoir accéder au domaine dns.cira.ca via DoH.
• Avez-vous essayé de redémarrer votre poste de travail ?
• Le client est-il activé avec un lien d’activation non expiré ? Vous pouvez essayer de désinstaller et de réactiver le client avec un nouveau lien d’activation.

Les listes de domaines locaux autorisés étaient auparavant utilisées par le client Windows de DNS Firewall pour soutenir une résolution accélérée des noms de domaines locaux. Ces listes servaient également à s’assurer que les noms de domaines internes n’étaient pas transmis aux résolveurs de DNS de votre FSI. Depuis le lancement de la version 2.4 du client Windows, ces listes de domaines ne sont plus requises par DNS Firewall, car les changements apportés aux flux de résolution DNS privilégieront les résolveurs locaux plutôt que DNS Firewall.