Sophos DNS Protection - Bezpłatnie w pakiecie Xstream Protection

Sophos DNS Protection to nowa usługa Sophos Central, którą otrzymuje się bezpłatnie wraz z pakietem Sophos Firewall Xstream Protection Bundle. Przetestowaliśmy ją przez dłuższy czas i w tym artykule dzielimy się naszymi doświadczeniami.

Funkcja Sophos DNS Protection

Sophos DNS Protection to chmurowe rozwiązanie bezpieczeństwa, które blokuje dostęp do niebezpiecznych i niepożądanych domen niezależnie od portu, protokołu czy aplikacji. Usługę można wdrożyć w kilka minut i skutecznie uzupełnia ona istniejące zabezpieczenia sieci.

Dzięki analizie zagrożeń w czasie rzeczywistym i rozbudowanym funkcjom raportowania Sophos DNS Protection chroni przed złośliwymi i niepożądanymi domenami. Główną wartością tej nowej usługi Sophos Central jest dodatkowa warstwa ochrony przed dostępem do znanych, przejętych lub złośliwych domen, zarówno dla połączeń szyfrowanych, jak i nieszyfrowanych. Takie podejście prewencyjne podnosi poziom bezpieczeństwa już na warstwie DNS i wykracza daleko poza klasyczne zabezpieczenia WWW.

Konfiguracja w 3 krokach

Konfiguracja Sophos DNS Protection jest bardzo prosta i zajmuje zaledwie kilka minut.

Na początku konfiguruje się adresy IP sieci lub dynamiczne nazwy hostów, aby DNS Protection rozpoznawał źródło zapytań DNS. Następnie przypisuje się te lokalizacje do odpowiednich zasad, aby aktywować ochronę.

1. Dodaj lokalizację

Aby serwery DNS Sophos mogły przypisać zapytania do zasad i konta użytkownika używanego w raportach, należy najpierw dodać lokalizację oraz powiązany z nią publiczny adres IP lub nazwę DNS.

2. Dostosuj serwer DNS

Aby korzystać z Sophos DNS Protection, należy skonfigurować serwery DNS Sophos na routerze, serwerze DNS lub zaporze. Adresy IP wprowadza się jako serwery DNS do urządzenia sieciowego, tak aby wszystkie zapytania DNS były kierowane przez Sophos DNS Protection.

Aby strony blokady były wyświetlane prawidłowo, należy pobrać udostępniony certyfikat i rozdystrybuować go na urządzeniach jako zaufany główny urząd certyfikacji.

Procedurę dystrybucji certyfikatu opisaliśmy już w instrukcji dla Sophos Firewall. Dla DNS Protection używany jest teraz po prostu inny certyfikat.

• Instalacja certyfikatu CA Sophos Firewall do skanowania HTTPS

3. Filtrowanie według kategorii stron internetowych

W trzecim kroku należy utworzyć zasady. Tutaj można określić, które kategorie stron internetowych mają być blokowane. DNS Protection zawsze filtruje strony stanowiące zagrożenie dla bezpieczeństwa, ale można też skonfigurować dodatkowe opcje filtrowania. Zasady można definiować per lokalizacja, co pozwala dokładniej dopasować politykę bezpieczeństwa do potrzeb każdej sieci.

Dostępne są następujące kategorie do zablokowania:

Productivity-related categories

• Advertisements
• Auctions & classified ads
• Dynamic DNS & ISP sites
• Entertainment
• Fashion & beauty
• Gambling
• Games
• Hobbies
• Hunting & fishing
• Kid’s sites
• News
• Online chat
• Online shopping
• Personal sites
• Photo galleries
• Portal sites
• Religion & spirituality
• Restaurants & dining
• Sports
• Stocks & trading
• Surveillance
• Travel
• Society & culture
• Vehicles

Social networking

• Blogs & forums
• Personals & dating
• Social networks

Adult and potentially inappropriate categories

• Alcohol & tobacco
• Controlled substances
• Criminal activity
• Download freeware & shareware
• Extreme
• Intellectual piracy
• Intolerance & hate
• Legal highs
• Marijuana
• Militancy & extremist
• Nudity
• Plagiarism
• Pro-suicide & self harm
• Sex education
• Sexually explicit
• Swimwear & lingerie
• Weapons

Categories likely to cause excessive bandwidth usage

• Live audio
• Live video
• Peer-to-peer & torrents
• Radio & audio hosting
• Video hosting
• Voice & video calls

Business-relevant site categories

• General business
• Business networking
• Educational institutions
• Financial services
• Government
• Health & medicines
• Image search
• Information technology
• Job search
• Military
• NGOs & non-profits
• Political organizations
• Professional & workers organizations
• Real estate
• Reference
• Search engines
• Software updates
• Translators

Infrastructure

• Content delivery
• CRL and OCSP

Threats and liabilities

• Anonymizers
• Hacking
• Newly registered websites
• Parked domains
• Phishing & fraud
• Spam URLs
• Spyware & malware
• Unauthorized software stores

Data loss

• Data loss
• Business cloud apps
• Personal cloud apps
• Personal network storage
• Web E-mail

Uncategorized

• Wszystko inne

Sophos DNS Protection pozwala tworzyć niestandardowe listy domen. Jeśli użytkownik potrzebuje dostępu do zablokowanej strony, można przygotować osobną listę wyjątków i odpowiednio dostosować zasadę. Dzięki temu da się na przykład dopuścić wybrane domeny, podczas gdy pozostałe nadal będą blokowane.

Test

Sophos DNS Protection natychmiast blokuje dostęp do niebezpiecznych i niepożądanych domen. Działa to zarówno dla urządzeń zarządzanych, jak i niezarządzanych, zapewniając sieci szeroką ochronę przed złośliwą aktywnością domen. Dzięki analizie zagrożeń w czasie rzeczywistym z SophosLabs można mieć pewność, że organizacja jest chroniona przed najnowszymi zagrożeniami.

W filmie Sophos ponownie wyjaśniono kroki konfiguracji:

• Sophos DNS Protection - Sophos Knowledge Base

Raportowanie

Dzięki DNS Protection otrzymujesz szczegółowy wgląd w domeny odwiedzane z Twojej sieci. Funkcje raportowania w Sophos Central pozwalają w każdej chwili monitorować stan bezpieczeństwa sieci. Dostępne są raporty dotyczące dozwolonych i zablokowanych domen oraz całkowitej liczby zapytań DNS.

Narzędzie raportowe działa podobnie do Firewall Reporting w Sophos Central. Także tutaj można ustawiać filtry, wyszukiwać konkretne wpisy i tworzyć szablony dla powtarzalnych zapytań. Dodatkowo raporty mogą być wysyłane pocztą e-mail.

Więcej danych dla XDR i MDR

Zebrane przez Sophos DNS Protection dane DNS są przekazywane do Sophos Data Lake. Dzięki temu mogą być wykorzystywane przez narzędzia XDR lub wspierać analityków MDR w wykrywaniu aktywnych napastników i zagrożeń w sieci.

Licencjonowanie

Obecnie DNS Protection otrzymują wszyscy klienci Sophos Firewall z licencją Xstream Protection Bundle.

Sophos pisze jednak również, że pierwsza wersja jest bezpłatna. Mogę więc sobie wyobrazić, że gdy produkt będzie nieco dojrzalszy, dodatkowe funkcje będą wymagały kolejnej licencji, podobnie jak w przypadku Firewall Reporting.

Podsumowanie / Opinia

Sophos DNS Protection to proste i skuteczne rozwiązanie, które w wersji 1 działa niezawodnie i stanowi bezpieczniejszą alternatywę dla 8.8.8.8, 1.1.1.1 i 9.9.9.9. Niemniej jednak istnieją obszary, które można by poprawić:

Szybkość: Serwery DNS Sophos mają obecnie wyższą latencję, co wynika z tego, że Sophos udostępnia na razie tylko kilka POP-ów. W najbliższych miesiącach ma się to jednak zmienić.

Filtry: Obecnie istnieje tylko możliwość filtrowania domen. Brakuje predefiniowanych list dla aplikacji, reklam czy linków śledzących, co ogranicza możliwości filtrowania.

Mobile: W przeciwieństwie do „Cisco Umbrella DNS” czy „NextDNS”, Sophos DNS Protection nie oferuje możliwości ochrony urządzeń mobilnych.

Synchronized Security: Wielu administratorów zna problem, że użytkownicy zgłaszają blokowanie legalnych stron internetowych i konieczność tworzenia wyjątku. Wielu naszych klientów korzysta z Sophos Firewall i Sophos Endpoint z włączoną kontrolą sieci Web, dzięki czemu filtr treści jest dostępny również w podróży lub w biurze domowym. Ustawienia tych dwóch systemów nie są jednak synchronizowane. DNS Protection dodaje teraz trzecią usługę, która również musi być utrzymywana.