Sophos DNS Protection - Bezpłatnie w pakiecie Xstream Protection

Sophos DNS Protection to nowa usługa Sophos Central, którą otrzymuje się bezpłatnie wraz z pakietem Sophos Firewall Xstream Protection Bundle. Przetestowaliśmy ją przez dłuższy czas i w tym artykule dzielimy się naszymi doświadczeniami.

Funkcja Sophos DNS Protection

Sophos DNS Protection to oparte na chmurze rozwiązanie bezpieczeństwa, które blokuje dostęp do niebezpiecznych i niechcianych domen na wszystkich portach, protokołach i aplikacjach. Usługa może zostać wdrożona w ciągu kilku minut i skutecznie uzupełnia istniejące rozwiązania bezpieczeństwa sieci.

Dzięki analizie zagrożeń w czasie rzeczywistym i kompleksowym funkcjom raportowania, Sophos DNS Protection chroni przed złośliwymi i niechcianymi domenami. Podstawową kompetencją tej nowej usługi Sophos Central jest zapewnienie dodatkowej warstwy ochrony przed dostępem do znanych, skompromitowanych lub złośliwych domen, zarówno w przypadku połączeń szyfrowanych, jak i nieszyfrowanych. To prewencyjne podejście podnosi poziom bezpieczeństwa już na poziomie DNS i tym samym wykracza daleko poza tradycyjne bezpieczeństwo internetowe.

Konfiguracja w 3 krokach

Konfiguracja Sophos DNS Protection jest bardzo prosta i zajmuje zaledwie kilka minut.

Zaczyna się od konfiguracji adresów IP sieci lub dynamicznych nazw hostów, aby upewnić się, że DNS Protection rozpoznaje pochodzenie zapytań DNS. Następnie przypisuje się te lokalizacje do odpowiednich zasad, aby aktywować ochronę.

1. Dodaj lokalizację

Aby serwery DNS Sophos mogły przypisać żądania do zasad i konta użytkownika dla raportów, należy najpierw wprowadzić lokalizację oraz związany z nią publiczny adres IP lub nazwę DNS.

2. Dostosuj serwer DNS

Aby korzystać z Sophos DNS Protection, należy skonfigurować serwery DNS Sophos na routerze, serwerze DNS lub zaporze. Adresy IP wprowadza się jako serwery DNS do urządzenia sieciowego, tak aby wszystkie zapytania DNS były kierowane przez Sophos DNS Protection.

Aby zapewnić prawidłowe wyświetlanie stron blokujących, pobierz dostarczony certyfikat i rozpowszechnij go jako zaufany główny urząd certyfikacji na urządzeniach.

Procedurę dystrybucji certyfikatu opisaliśmy już w instrukcji dla Sophos Firewall. Dla DNS Protection używany jest teraz po prostu inny certyfikat.

• Instalacja certyfikatu CA Sophos Firewall do skanowania HTTPS

3. Filtrowanie według kategorii stron internetowych

W trzecim kroku należy utworzyć zasady. Tutaj można określić, które kategorie stron internetowych mają być blokowane. Ochrona DNS zawsze filtruje strony internetowe, które stanowią zagrożenie bezpieczeństwa, ale można ustawić dodatkowe opcje filtrowania. Zasady te można definiować dla każdej lokalizacji, co pozwala na dokładniejsze dostosowanie zasad bezpieczeństwa do specyficznych potrzeb każdej sieci.

Dostępne są następujące kategorie do zablokowania:

Productivity-related categories

• Advertisements
• Auctions & classified ads
• Dynamic DNS & ISP sites
• Entertainment
• Fashion & beauty
• Gambling
• Games
• Hobbies
• Hunting & fishing
• Kid’s sites
• News
• Online chat
• Online shopping
• Personal sites
• Photo galleries
• Portal sites
• Religion & spirituality
• Restaurants & dining
• Sports
• Stocks & trading
• Surveillance
• Travel
• Society & culture
• Vehicles

Social networking

• Blogs & forums
• Personals & dating
• Social networks

Adult and potentially inappropriate categories

• Alcohol & tobacco
• Controlled substances
• Criminal activity
• Download freeware & shareware
• Extreme
• Intellectual piracy
• Intolerance & hate
• Legal highs
• Marijuana
• Militancy & extremist
• Nudity
• Plagiarism
• Pro-suicide & self harm
• Sex education
• Sexually explicit
• Swimwear & lingerie
• Weapons

Categories likely to cause excessive bandwidth usage

• Live audio
• Live video
• Peer-to-peer & torrents
• Radio & audio hosting
• Video hosting
• Voice & video calls

Business-relevant site categories

• General business
• Business networking
• Educational institutions
• Financial services
• Government
• Health & medicines
• Image search
• Information technology
• Job search
• Military
• NGOs & non-profits
• Political organizations
• Professional & workers organizations
• Real estate
• Reference
• Search engines
• Software updates
• Translators

Infrastructure

• Content delivery
• CRL and OCSP

Threats and liabilities

• Anonymizers
• Hacking
• Newly registered websites
• Parked domains
• Phishing & fraud
• Spam URLs
• Spyware & malware
• Unauthorized software stores

Data loss

• Data loss
• Business cloud apps
• Personal cloud apps
• Personal network storage
• Web E-mail

Uncategorized

• Wszystko inne

Sophos DNS Protection pozwala na tworzenie niestandardowych list domen. Jeśli użytkownik potrzebuje dostępu do zablokowanej strony, można utworzyć specjalną listę wyjątków i odpowiednio dostosować zasady. Na przykład można utworzyć listę specjalnych wyjątków, która zezwala na niektóre domeny, podczas gdy inne pozostają zablokowane.

Test

Sophos DNS Protection natychmiast blokuje dostęp do niebezpiecznych i niechcianych domen. Dotyczy to zarówno urządzeń zarządzanych, jak i niezarządzanych, i kompleksowo chroni sieć przed złośliwymi działaniami domen. Dzięki analizie zagrożeń w czasie rzeczywistym z SophosLabs, możesz mieć pewność, że Twoja organizacja jest zawsze chroniona przed najnowszymi zagrożeniami.

W filmie Sophos, kroki konfiguracji są ponownie wyjaśnione:

• Sophos DNS Protection - Sophos Knowledge Base

Raportowanie

Dzięki DNS Protection otrzymujesz szczegółowy wgląd w domeny odwiedzane przez Twoją sieć. Dzięki funkcjom raportowania w Sophos Central możesz w każdej chwili monitorować stan bezpieczeństwa swojej sieci. Otrzymujesz raporty dotyczące dozwolonych i zablokowanych domen, a także całkowitej liczby zapytań DNS.

Narzędzie do raportowania działa podobnie do Firewall Reporting w Sophos Central. Można tu również ustawiać filtry, wyszukiwać konkretne wpisy i tworzyć szablony dla powtarzających się zapytań. Dodatkowo istnieje możliwość wysyłania raportów drogą elektroniczną.

Więcej danych dla XDR i MDR

Zebrane dane DNS z Sophos DNS Protection są przekazywane do Sophos Data Lake. Dzięki temu dane te mogą być wykorzystywane przez narzędzia XDR lub wspierać analityków MDR w wykrywaniu aktywnych atakujących i zagrożeń w sieci.

Licencjonowanie

Obecnie wszyscy klienci Sophos Firewall, którzy posiadają licencję Xstream Protection Bundle, otrzymują DNS Protection.

Jednakże Sophos pisze również, że pierwsza wersja jest darmowa. Mogę sobie więc wyobrazić, że gdy produkt będzie nieco bardziej dojrzały, dodatkowe funkcje będą wymagały kolejnej licencji, podobnie jak w przypadku Firewall Reporting.

Podsumowanie / Opinia

Sophos DNS Protection to proste i skuteczne rozwiązanie, które w wersji 1 działa niezawodnie i stanowi bezpieczniejszą alternatywę dla 8.8.8.8, 1.1.1.1 i 9.9.9.9. Niemniej jednak istnieją obszary, które można by poprawić:

Szybkość: Serwery DNS Sophos mają obecnie dłuższą latencję, ale wynika to z faktu, że Sophos udostępnia tu tylko kilka POP-ów. Jednakże w najbliższych miesiącach ma być nad tym pracowane.

Filtry: Obecnie istnieje tylko możliwość filtrowania domen. Brakuje predefiniowanych list dla aplikacji, reklam czy linków śledzących, co ogranicza możliwości filtrowania.

Mobilny: W przeciwieństwie do „Cisco Umbrella DNS” czy „NextDNS”, Sophos DNS Protection nie oferuje możliwości ochrony urządzeń mobilnych.

Synchronized Security: Wielu administratorów zna problem, że użytkownicy zgłaszają blokowanie legalnych stron internetowych i konieczność tworzenia wyjątku. Wielu naszych klientów korzysta z Sophos Firewall i Sophos Endpoint z włączoną kontrolą sieci Web, dzięki czemu filtr treści jest dostępny również w podróży lub w biurze domowym. Ustawienia tych dwóch systemów nie są jednak synchronizowane. DNS Protection dodaje teraz trzecią usługę, która również musi być utrzymywana.