Sophos DNS Protection - Gratis con Xstream Protection
Sophos DNS Protection è un nuovo servizio Sophos Central incluso gratuitamente nel pacchetto Xstream Protection di Sophos Firewall. Lo abbiamo testato a lungo e in questo articolo condividiamo la nostra esperienza.
Funzionamento di Sophos DNS Protection
Sophos DNS Protection offre una soluzione di sicurezza basata su cloud che blocca l’accesso a domini non sicuri e indesiderati su tutte le porte, tutti i protocolli e tutte le applicazioni. Il servizio può essere implementato in pochi minuti e integra in modo efficace le soluzioni di sicurezza di rete esistenti.
Con la threat intelligence in tempo reale e funzionalità di reporting complete, Sophos DNS Protection protegge dai domini dannosi e indesiderati. Il punto di forza di questo nuovo servizio Sophos Central è offrire un ulteriore livello di protezione contro l’accesso a domini noti, compromessi o dannosi, sia per connessioni crittografate sia per connessioni non crittografate. Questo approccio preventivo aumenta il livello di sicurezza già a livello DNS e va quindi ben oltre la sicurezza web tradizionale.
Configurazione in 3 passaggi
La configurazione di Sophos DNS Protection è incredibilmente semplice e si completa in pochi minuti.
Si inizia configurando gli indirizzi IP delle reti o gli hostname dinamici, in modo che DNS Protection riconosca l’origine delle richieste DNS. Successivamente si assegnano queste sedi alle policy corrispondenti per attivare la protezione.
1. Aggiungere una sede
Affinché i server DNS Sophos possano associare le richieste alle policy e all’account utente per i report, è necessario prima registrare la sede e il relativo indirizzo IP pubblico o nome DNS.
2. Modificare i server DNS
Per utilizzare Sophos DNS Protection, è necessario configurare i server DNS Sophos sul router, sul server DNS o sul firewall. Si inseriscono gli indirizzi IP come server DNS nel dispositivo di rete, in modo che tutte le richieste DNS vengano instradate tramite Sophos DNS Protection.
Per garantire che le pagine di blocco vengano visualizzate correttamente, si scarica il certificato fornito e lo si distribuisce sui dispositivi come autorità di certificazione radice attendibile.
Abbiamo già spiegato in una guida come distribuire il certificato per Sophos Firewall. Per DNS Protection viene semplicemente utilizzato un certificato diverso.
3. Filtraggio per categoria web
Nel terzo passaggio si creano le policy. Qui è possibile definire quali categorie web devono essere bloccate. DNS Protection filtra sempre i siti web che rappresentano un rischio per la sicurezza, ma consente anche di impostare opzioni di filtro aggiuntive. Queste policy possono essere definite per ogni sede, così da adattare le regole di sicurezza in modo più preciso alle esigenze specifiche delle singole reti.
Le seguenti categorie sono disponibili per il blocco:
Productivity-related categories
- Advertisements
- Auctions & classified ads
- Dynamic DNS & ISP sites
- Entertainment
- Fashion & beauty
- Gambling
- Games
- Hobbies
- Hunting & fishing
- Kid’s sites
- News
- Online chat
- Online shopping
- Personal sites
- Photo galleries
- Portal sites
- Religion & spirituality
- Restaurants & dining
- Sports
- Stocks & trading
- Surveillance
- Travel
- Society & culture
- Vehicles
Social networking
- Blogs & forums
- Personals & dating
- Social networks
Adult and potentially inappropriate categories
- Alcohol & tobacco
- Controlled substances
- Criminal activity
- Download freeware & shareware
- Extreme
- Intellectual piracy
- Intolerance & hate
- Legal highs
- Marijuana
- Militancy & extremist
- Nudity
- Plagiarism
- Pro-suicide & self harm
- Sex education
- Sexually explicit
- Swimwear & lingerie
- Weapons
Categories likely to cause excessive bandwidth usage
- Live audio
- Live video
- Peer-to-peer & torrents
- Radio & audio hosting
- Video hosting
- Voice & video calls
Business-relevant site categories
- General business
- Business networking
- Educational institutions
- Financial services
- Government
- Health & medicines
- Image search
- Information technology
- Job search
- Military
- NGOs & non-profits
- Political organizations
- Professional & workers organizations
- Real estate
- Reference
- Search engines
- Software updates
- Translators
Infrastructure
- Content delivery
- CRL and OCSP
Threats and liabilities
- Anonymizers
- Hacking
- Newly registered websites
- Parked domains
- Phishing & fraud
- Spam URLs
- Spyware & malware
- Unauthorized software stores
Data loss
- Data loss
- Business cloud apps
- Personal cloud apps
- Personal network storage
- Web E-mail
Uncategorized
- Tutto il resto
Sophos DNS Protection permette di creare elenchi di domini personalizzati. Se un utente deve accedere a una pagina bloccata, è possibile creare una lista di eccezioni dedicata e adattare di conseguenza la policy. Ad esempio, si può definire un elenco di eccezioni che consenta determinati domini mentre gli altri continuano a essere bloccati.
Test
Sophos DNS Protection blocca immediatamente l’accesso a domini non sicuri e indesiderati. Questo vale sia per i dispositivi gestiti sia per quelli non gestiti e protegge la rete in modo completo dalle attività dannose basate su domini. Con la threat intelligence in tempo reale di SophosLabs, l’organizzazione rimane protetta anche dalle minacce più recenti.
Nel video di Sophos vengono spiegati di nuovo i passaggi per la configurazione:
Reporting
Con DNS Protection si ottengono informazioni dettagliate sui domini visitati dalla propria rete. Le funzionalità di reporting in Sophos Central permettono di monitorare in qualsiasi momento lo stato di sicurezza della rete. Si ricevono report sui domini consentiti e bloccati, nonché sul numero totale di richieste DNS.
Lo strumento di reporting funziona in modo simile al Firewall Reporting in Sophos Central. Anche qui è possibile impostare filtri, cercare voci specifiche e creare template per query ricorrenti. Inoltre, i report possono essere inviati via e-mail.
Più dati per XDR e MDR
I dati DNS raccolti da Sophos DNS Protection vengono inoltrati al Sophos Data Lake. In questo modo possono essere utilizzati con gli strumenti XDR o aiutare gli analisti MDR a individuare attaccanti attivi e minacce nella rete.
Licenze
Attualmente DNS Protection è disponibile per tutti i clienti Sophos Firewall che hanno una licenza Xstream Protection.
Tuttavia Sophos scrive anche che la prima versione è gratuita. Posso quindi immaginare che, quando il prodotto sarà un po’ più maturo, le funzioni aggiuntive richiederanno una licenza separata, proprio come accade con Firewall Reporting.
Conclusione / Opinione
Sophos DNS Protection è una soluzione semplice ed efficace che funziona in modo affidabile già nella versione 1 e rappresenta un’alternativa più sicura a 8.8.8.8, 1.1.1.1 e 9.9.9.9. Tuttavia ci sono alcuni aspetti che potrebbero essere migliorati:
Velocità: I server DNS Sophos hanno attualmente una latenza più elevata, dovuta al fatto che Sophos mette ancora a disposizione solo pochi POP. Nei prossimi mesi, tuttavia, questo aspetto dovrebbe essere migliorato.
Filtri: Attualmente è possibile filtrare solo i domini. Mancano liste predefinite per app, pubblicità o link di tracciamento, il che limita le possibilità di filtro.
Mobile: A differenza di “Cisco Umbrella DNS” o “NextDNS”, Sophos DNS Protection non offre la possibilità di proteggere i dispositivi mobili.
Synchronised Security: Molti amministratori conoscono il problema degli utenti che segnalano il blocco di siti web legittimi e la necessità di creare un’eccezione. Molti dei nostri clienti utilizzano Sophos Firewall e Sophos Endpoint con Web Control attivato, così da avere un filtro dei contenuti anche in mobilità o in home office. Tuttavia, le impostazioni di questi due sistemi non vengono sincronizzate. Con DNS Protection si aggiunge ora un terzo servizio che deve essere gestito.
