Sophos DNS Protection – Kostenlos in Xstream Protection
Bei Sophos DNS Protection handelt es sich um einen neuen Sophos Central Service, welchen es bei der Sophos Firewall mit Xstream Protection Bundle kostenlos dazu gibt. Wir haben dies nun länger getestet und teilen in diesem Beitrag unsere Erfahrungen.
Themen
Sophos DNS Protection Funktion
Sophos DNS Protection bietet eine cloudbasierte Sicherheitslösung, die den Zugriff auf unsichere und unerwünschte Domains auf allen Ports, Protokollen und Anwendungen blockiert. Der Dienst lässt sich in wenigen Minuten implementieren und ergänzt bestehende Netzwerksicherheitslösungen effektiv.
Mit Echtzeit-Bedrohungsintelligenz und umfassenden Reporting-Funktionen schützt Sophos DNS Protection vor bösartigen und unerwünschten Domains. Die Kernkompetenz dieses neuen Sophos Central Dienstes liegt in der Bereitstellung einer zusätzlichen Schutzschicht gegen den Zugriff auf bekannte, kompromittierte oder bösartige Domains, sowohl für verschlüsselte als auch unverschlüsselte Verbindungen. Dieser präventive Ansatz erhöht das Sicherheitsniveau bereits auf DNS-Ebene und geht somit weit über herkömmliche Web-Sicherheit hinaus.
Einrichtung in 3 Schritten
Die Einrichtung von Sophos DNS Protection ist denkbar einfach und in wenigen Minuten erledigt.
Man beginnt damit, die IP-Adressen der Netzwerke oder dynamische Hostnamen zu konfigurieren, um sicherzustellen, dass DNS Protection die Herkunft der DNS-Anfragen erkennt. Anschliessend weist man diese Standorte den entsprechenden Richtlinien zu, um den Schutz zu aktivieren.
1. Standort hinzufügen
Damit die Sophos DNS-Server die Anfragen den Richtlinien und dem Benutzerkonto für die Reports zuordnen können, muss man zuerst den Standort und die dazugehörige öffentliche IP-Adresse oder den DNS-Namen erfassen.
2. DNS-Server anpassen
Um Sophos DNS Protection zu nutzen, muss man die Sophos DNS-Server auf dem Router, DNS-Server oder der Firewall hinterlegen. Man trägt die IP-Adressen als DNS-Server in das Netzwerkgerät ein, damit alle DNS-Anfragen über Sophos DNS Protection geleitet werden.
Um sicherzustellen, dass Blockseiten korrekt angezeigt werden, lädt man das bereitgestellte Zertifikat herunter und verteilt es als vertrauenswürdige Stammzertifizierungsstelle auf den Geräten.
Den Vorgang des Verteilens des Zertifikats haben wir bereits für die Sophos Firewall in einer Anleitung erklärt. Für die DNS Protection wird nun lediglich ein anderes Zertifikat verwendet.
3. Filterung nach Webkategorie
Im dritten Schritt muss man nun die Richtlinien erstellen. Hier kann man festlegen, welche Webkategorien blockiert werden sollen. DNS-Schutz filtert immer Websites, die ein Sicherheitsrisiko darstellen, aber man kann zusätzliche Filteroptionen festlegen. Diese Richtlinien können pro Standort definiert werden, was eine genauere Anpassung der Sicherheitsrichtlinien an die spezifischen Bedürfnisse jedes einzelnen Netzwerks ermöglicht.
Folgende Kategorien stehen bereit, um diese zu blockieren:
- Advertisements
- Auctions & classified ads
- Dynamic DNS & ISP sites
- Entertainment
- Fashion & beauty
- Gambling
- Games
- Hobbies
- Hunting & fishing
- Kid’s sites
- News
- Online chat
- Online shopping
- Personal sites
- Photo galleries
- Portal sites
- Religion & spirituality
- Restaurants & dining
- Sports
- Stocks & trading
- Surveillance
- Travel
- Society & culture
- Vehicles
- Blogs & forums
- Personals & dating
- Social networks
- Alcohol & tobacco
- Controlled substances
- Criminal activity
- Download freeware & shareware
- Extreme
- Intellectual piracy
- Intolerance & hate
- Legal highs
- Marijuana
- Militancy & extremist
- Nudity
- Plagiarism
- Pro-suicide & self harm
- Sex education
- Sexually explicit
- Swimwear & lingerie
- Weapons
- Live audio
- Live video
- Peer-to-peer & torrents
- Radio & audio hosting
- Video hosting
- Voice & video calls
- General business
- Business networking
- Educational institutions
- Financial services
- Government
- Health & medicines
- Image search
- Information technology
- Job search
- Military
- NGOs & non-profits
- Political organizations
- Professional & workers organizations
- Real estate
- Reference
- Search engines
- Software updates
- Translators
- Content delivery
- CRL and OCSP
- Anonymizers
- Hacking
- Newly registered websites
- Parked domains
- Phishing & fraud
- Spam URLs
- Spyware & malware
- Unauthorized software stores
- Data loss
- Business cloud apps
- Personal cloud apps
- Personal network storage
- Web E-mail
- Alles andere
Sophos DNS Protection erlaubt, benutzerdefinierte Domain-Listen zu erstellen. Wenn ein Benutzer auf eine blockierte Seite zugreifen muss, können Sie eine spezielle Ausnahmeliste erstellen und die Richtlinie entsprechend anpassen. So kann man beispielsweise eine Liste mit speziellen Ausnahmen erstellen, die bestimmte Domains erlaubt, während andere weiterhin blockiert bleiben.
Test
Die Sophos DNS Protection blockiert sofort den Zugriff auf unsichere und unerwünschte Domains. Dies geschieht sowohl für verwaltete als auch für nicht verwaltete Geräte und schützt Ihr Netzwerk umfassend vor bösartigen Domain-Aktivitäten. Mit der Echtzeit-Bedrohungsintelligenz von SophosLabs können Sie sicherstellen, dass Ihre Organisation stets vor den neuesten Bedrohungen geschützt ist.
Im Video von Sophos, werden die Schritte für die Einrichtung nochmals erklärt:
Reporting
Mit DNS Protection erhält man detaillierte Einblicke in die von seinem Netzwerk besuchten Domains. Mit den Reporting-Funktionen in Sophos Central kann man die Sicherheitslage seines Netzwerks jederzeit überwachen. Man erhält Berichte über erlaubte und blockierte Domains sowie über die Gesamtanzahl der DNS-Anfragen.
Das Reporting-Tool funktioniert ähnlich wie das Firewall Reporting in Sophos Central. Man kann hier ebenfalls Filter setzen, nach spezifischen Einträgen suchen und Templates für wiederkehrende Abfragen erstellen. Zusätzlich besteht die Möglichkeit, sich Berichte per E-Mail zusenden zu lassen.
Mehr Daten für XDR und MDR
Die gesammelten DNS-Daten von Sophos DNS Protection werden an den Sophos Data Lake weitergeleitet. Dadurch können diese Daten mit den XDR-Tools genutzt werden oder MDR-Analysten dabei unterstützen, aktive Angreifer und Bedrohungen im Netzwerk aufzuspüren.
Lizenzierung
Die DNS Protection erhalten aktuell alle Sophos Firewall Kunden, welche das Xstream Protection Bundle lizenziert haben.
Sophos schreibt jedoch auch, dass die erste Version kostenlos ist. Ich kann mir also gut vorstellen, wenn das Produkt noch etwas ausgereifter ist, dass dann genau wie beim Firewall Reporting, Zusatzfunktionen eine weitere Lizenz benötigen.
Fazit / Meinung
Sophos DNS Protection ist eine einfache und effektive Lösung, die in der Version 1 zuverlässig funktioniert und eine sicherere Alternative zu 8.8.8.8, 1.1.1.1 und 9.9.9.9 darstellt. Dennoch gibt es einige Bereiche, die verbessert werden könnten:
Geschwindigkeit: Die Sophos DNS-Server haben aktuell noch eine längere Latenz, liegt aber daran, dass Sophos hier bisher nur wenige POPs zur Verfügung stellt. In den kommenden Monaten soll jedoch daran gearbeitet werden.
Filter: Derzeit gibt es nur die Möglichkeit, Domains zu filtern. Für Apps, Werbung oder Tracking-Links fehlen vordefinierte Listen, was die Filtermöglichkeiten einschränkt.
Mobile: Im Gegensatz zu “Cisco Umbrella DNS” oder “NextDNS” bietet Sophos DNS Protection keine Möglichkeit, auch mobile Geräte zu schützen.
Synchronised Security: Viele Administratoren kennen das Problem, dass Benutzer melden, dass legitime Webseiten blockiert und eine Freigabe erstellt werden muss. Viele unserer Kunden verwenden die Sophos Firewall und den Sophos Endpoint mit aktivierter Web Control, sodass auch unterwegs oder im Homeoffice ein Content-Filter vorhanden ist. Die Einstellungen dieser beiden Systeme werden jedoch nicht synchronisiert. Mit DNS Protection kommt nun ein dritter Service hinzu, der ebenfalls gepflegt werden muss.