Sophos DNS Protection - gratuit avec Xstream Protection
Sophos DNS Protection est un nouveau service Sophos Central inclus gratuitement avec le bundle Xstream Protection de Sophos Firewall. Nous l’avons testé pendant une période prolongée et partageons notre retour d’expérience dans cet article.
Fonctionnement de Sophos DNS Protection
Sophos DNS Protection offre une solution de sécurité cloud qui bloque l’accès aux domaines non sécurisés et indésirables, quels que soient les ports, protocoles et applications utilisés. Le service se déploie en quelques minutes et complète efficacement les solutions de sécurité réseau existantes.
Grâce au renseignement sur les menaces en temps réel et à des fonctions de reporting complètes, Sophos DNS Protection protège contre les domaines malveillants et indésirables. La valeur principale de ce nouveau service Sophos Central réside dans une couche de protection supplémentaire contre l’accès à des domaines connus, compromis ou malveillants, aussi bien pour les connexions chiffrées que non chiffrées. Cette approche préventive renforce la sécurité dès le niveau DNS et va donc bien au-delà de la sécurité web traditionnelle.
Configuration en 3 étapes
La configuration de Sophos DNS Protection est extrêmement simple et se fait en quelques minutes.
La première étape consiste à configurer les adresses IP des réseaux ou les noms d’hôte dynamiques afin que DNS Protection reconnaisse l’origine des requêtes DNS. Ces emplacements sont ensuite associés aux stratégies correspondantes pour activer la protection.
1. Ajouter un emplacement
Pour que les serveurs DNS de Sophos puissent associer les requêtes aux stratégies et au compte utilisateur pour les rapports, il faut d’abord enregistrer l’emplacement ainsi que l’adresse IP publique ou le nom DNS correspondant.
2. Adapter les serveurs DNS
Pour utiliser Sophos DNS Protection, il faut configurer les serveurs DNS de Sophos sur le routeur, le serveur DNS ou le pare-feu. Les adresses IP sont saisies comme serveurs DNS sur l’équipement réseau afin que toutes les requêtes DNS passent par Sophos DNS Protection.
Pour garantir l’affichage correct des pages de blocage, il faut télécharger le certificat fourni et le distribuer sur les appareils comme autorité de certification racine de confiance.
Nous avons déjà expliqué dans un guide comment distribuer le certificat pour Sophos Firewall. Pour DNS Protection, seul le certificat utilisé est différent.
3. Filtrage par catégorie web
La troisième étape consiste à créer les stratégies. Vous pouvez y définir les catégories web qui doivent être bloquées. DNS Protection filtre toujours les sites web qui présentent un risque de sécurité, mais vous pouvez ajouter des options de filtrage supplémentaires. Ces stratégies peuvent être définies par emplacement, ce qui permet d’adapter plus précisément les règles de sécurité aux besoins spécifiques de chaque réseau.
Les catégories suivantes peuvent être bloquées :
Productivity-related categories
- Advertisements
- Auctions & classified ads
- Dynamic DNS & ISP sites
- Entertainment
- Fashion & beauty
- Gambling
- Games
- Hobbies
- Hunting & fishing
- Kid’s sites
- News
- Online chat
- Online shopping
- Personal sites
- Photo galleries
- Portal sites
- Religion & spirituality
- Restaurants & dining
- Sports
- Stocks & trading
- Surveillance
- Travel
- Society & culture
- Vehicles
Social networking
- Blogs & forums
- Personals & dating
- Social networks
Adult and potentially inappropriate categories
- Alcohol & tobacco
- Controlled substances
- Criminal activity
- Download freeware & shareware
- Extreme
- Intellectual piracy
- Intolerance & hate
- Legal highs
- Marijuana
- Militancy & extremist
- Nudity
- Plagiarism
- Pro-suicide & self harm
- Sex education
- Sexually explicit
- Swimwear & lingerie
- Weapons
Categories likely to cause excessive bandwidth usage
- Live audio
- Live video
- Peer-to-peer & torrents
- Radio & audio hosting
- Video hosting
- Voice & video calls
Business-relevant site categories
- General business
- Business networking
- Educational institutions
- Financial services
- Government
- Health & medicines
- Image search
- Information technology
- Job search
- Military
- NGOs & non-profits
- Political organizations
- Professional & workers organizations
- Real estate
- Reference
- Search engines
- Software updates
- Translators
Infrastructure
- Content delivery
- CRL and OCSP
Threats and liabilities
- Anonymizers
- Hacking
- Newly registered websites
- Parked domains
- Phishing & fraud
- Spam URLs
- Spyware & malware
- Unauthorized software stores
Data loss
- Data loss
- Business cloud apps
- Personal cloud apps
- Personal network storage
- Web E-mail
Uncategorized
- Tout le reste
Sophos DNS Protection permet de créer des listes de domaines personnalisées. Si un utilisateur doit accéder à une page bloquée, vous pouvez créer une liste d’exceptions dédiée et adapter la stratégie en conséquence. Il est par exemple possible d’autoriser certains domaines au moyen d’une liste d’exceptions, tandis que les autres restent bloqués.
Test
Sophos DNS Protection bloque immédiatement l’accès aux domaines non sécurisés et indésirables. Cela vaut aussi bien pour les appareils gérés que non gérés et protège largement votre réseau contre les activités de domaine malveillantes. Grâce au renseignement sur les menaces en temps réel de SophosLabs, vous pouvez vous assurer que votre organisation reste protégée contre les menaces les plus récentes.
Dans la vidéo de Sophos, les étapes de configuration sont expliquées à nouveau :
Reporting
Avec DNS Protection, vous obtenez des informations détaillées sur les domaines consultés depuis votre réseau. Les fonctions de reporting de Sophos Central permettent de surveiller à tout moment la posture de sécurité du réseau. Vous disposez de rapports sur les domaines autorisés et bloqués ainsi que sur le nombre total de requêtes DNS.
L’outil de reporting fonctionne de façon similaire à Firewall Reporting dans Sophos Central. Il permet également d’appliquer des filtres, de rechercher des entrées précises et de créer des modèles pour les requêtes récurrentes. Il est aussi possible de recevoir les rapports par e-mail.
Plus de données pour XDR et MDR
Les données DNS collectées par Sophos DNS Protection sont transmises au Sophos Data Lake. Elles peuvent ainsi être utilisées avec les outils XDR ou aider les analystes MDR à identifier les attaquants actifs et les menaces dans le réseau.
Licences
Actuellement, DNS Protection est disponible pour tous les clients Sophos Firewall qui disposent d’une licence Xstream Protection Bundle.
Sophos indique toutefois aussi que la première version est gratuite. Je peux donc tout à fait imaginer que, lorsque le produit sera un peu plus abouti, certaines fonctions supplémentaires nécessiteront une licence additionnelle, comme pour Firewall Reporting.
Conclusion / avis
Sophos DNS Protection est une solution simple et efficace qui fonctionne de manière fiable en version 1 et constitue une alternative plus sûre à 8.8.8.8, 1.1.1.1 et 9.9.9.9. Certains points pourraient néanmoins être améliorés :
Vitesse : Les serveurs DNS de Sophos présentent actuellement une latence plus élevée, notamment parce que Sophos ne met pour l’instant que peu de POPs à disposition. Des améliorations sont toutefois prévues dans les prochains mois.
Filtres : Il est actuellement uniquement possible de filtrer des domaines. Il manque des listes prédéfinies pour les applications, la publicité ou les liens de tracking, ce qui limite les possibilités de filtrage.
Mobile : Contrairement à “Cisco Umbrella DNS” ou “NextDNS”, Sophos DNS Protection n’offre pas la possibilité de protéger les appareils mobiles.
Synchronised Security : De nombreux administrateurs connaissent le problème des utilisateurs qui signalent que des sites web légitimes sont bloqués et qu’une exception doit être créée. Beaucoup de nos clients utilisent Sophos Firewall et Sophos Endpoint avec Web Control activé, de sorte qu’un filtre de contenu est également disponible en déplacement ou en télétravail. Les paramètres de ces deux systèmes ne sont toutefois pas synchronisés. DNS Protection ajoute désormais un troisième service qui doit lui aussi être maintenu.
