Przejdz do tresci
Avanet

Konfiguracja Sophos DNS Protection z Sophos Firewall

Sophos Firewall

Sophos DNS Protection chroni zapytania DNS za pomocą chmurowej usługi DNS z politykami i raportowaniem w Sophos Central. Funkcja ta może blokować złośliwe domeny, phishing, cele Command-and-Control oraz niepożądane kategorie, zanim klient nawiąże połączenie z właściwą stroną internetową lub infrastrukturą.

W przypadku Sophos Firewall najczystsza standardowa konfiguracja to zazwyczaj: klienci używają firewalla jako resolvera DNS, firewall przekazuje publiczne zapytania DNS do DNS Protection, a wewnętrzne domeny są kierowane przez trasy żądań DNS do wewnętrznych serwerów DNS. Dzięki temu wewnętrzne rozwiązywanie nazw pozostaje stabilne, podczas gdy publiczne zapytania DNS są centralnie kontrolowane i rejestrowane.

DNS Protection nie zastępuje Web Protection, Threat Feeds ani NDR. Jest to osobny punkt ochrony na poziomie DNS. Dlatego funkcję tę należy świadomie planować, a nie tylko wymieniać publiczne serwery DNS.

Przewodnik wideo

Film pokazuje Sophos DNS Protection w Sophos Central i uzupełnia wskazówki dotyczące locations, policies oraz wdrożenia.

Klasyfikacja Avanet: Świadome użycie DNS Protection

DNS Protection jest technicznie interesujące, ale nie zawsze jest najlepszym wyborem w każdej sieci. W wielu projektach świadomie nie stosujemy DNS Protection jako standardu, lecz preferujemy szybkie, wysoko dostępne resolvery DNS i dodatkowo blokujemy znane złośliwe cele za pomocą Sophos Firewall Threat Feeds lub porównywalnych źródeł informacji o zagrożeniach na firewallu.

Powód jest prosty: DNS to funkcja podstawowa. Jeśli DNS działa wolno, nie jest redundantny lub generuje zbyt wiele fałszywych alarmów, użytkownicy szybko odczuwają, że cała sieć jest uszkodzona. Ochrona DNS musi być nie tylko bezpieczna, ale także stabilna, szybka, zrozumiała i łatwa w zarządzaniu.

Decyzja zależy od celu:

PodejścieMocne stronyOgraniczenia
Szybkie i wysoko dostępne resolvery DNSBardzo dobra wydajność, solidne rozwiązywanie nazw, małe ryzyko operacyjneBrak centralnej polityki DNS i raportowania DNS w Sophos Central
Threat Feeds na Sophos FirewallZnane złośliwe cele mogą być blokowane na perymetrze bez przebudowy ścieżki DNSNie to samo co filtrowanie kategorii DNS; jakość, dostrajanie i proces fałszywych alarmów są ważne
Sophos DNS ProtectionPolityki DNS, kategorie, lokalizacje, logi i ochrona DNS Endpoint w Sophos CentralDodatkowa zależność w ścieżce DNS; wdrożenie, certyfikaty, wyjątki i monitorowanie muszą być starannie zaplanowane

DNS Protection jest szczególnie przydatne, gdy logi DNS w Sophos Central, polityki DNS oparte na lokalizacji, filtrowanie kategorii lub ochrona DNS Endpoint dla klientów roamingowych są wyraźnie pożądane. Jeśli celem jest przede wszystkim szybkie i wysoko dostępne rozwiązywanie nazw z dodatkowym blokowaniem znanych złych celów, dobre resolvery DNS plus Threat Feeds są często bardziej pragmatycznym rozwiązaniem.

Kiedy DNS Protection jest sensowne

DNS Protection jest szczególnie skuteczne, gdy wielu klientów łączy się z Internetem przez centralny firewall lub lokalny resolver DNS.

Typowe przypadki użycia:

  • Klienci nie powinni używać dowolnych publicznych resolverów DNS.
  • Domeny złośliwego oprogramowania, phishingu i C2 powinny być wcześnie blokowane.
  • Zapytania DNS powinny być widoczne w Sophos Central.
  • Różne lokalizacje powinny mieć własne polityki DNS.
  • Wewnętrzne nazwy DNS powinny nadal działać przez lokalne serwery DNS.
  • Web Protection powinno być uzupełnione o wstępną kontrolę DNS.

DNS Protection nie zastępuje jednak inspekcji treści. Jeśli dozwolona domena później dostarcza szkodliwe treści lub ruch HTTPS musi być dokładniej sprawdzany, nadal istotne są Web Protection, TLS Inspection, IPS, ochrona Endpoint i logowanie.

DNS Protection nie jest idealne, gdy szukamy jedynie szybkiego zewnętrznego forwardera DNS lub gdy już istnieje bardzo stabilna operacja DNS z oddzielnymi Threat Feeds, Web Protection, ochroną Endpoint i czystym monitorowaniem. W takim przypadku należy najpierw sprawdzić, jaką dodatkową wartość wnosi DNS Protection i kto zarządza polityką, wyjątkami i fałszywymi alarmami.

Architektura z Sophos Firewall

Dla Sophos Firewall ta konfiguracja jest zazwyczaj najprostsza:

  1. Sophos Central zna lokalizację jako Location.
  2. Sophos Central dostarcza dwa adresy IP DNS Protection.
  3. Sophos Firewall używa tych adresów IP jako DNS-Forwarder.
  4. Wewnętrzne domeny są kierowane przez trasy żądań DNS do wewnętrznych serwerów DNS.
  5. DHCP rozprowadza firewall jako resolver DNS do klientów.
  6. Opcjonalnie reguła NAT wymusza, że wychodzący ruch DNS jest przekierowywany do firewalla.
  7. Logi i raporty DNS Protection są analizowane w Sophos Central.

Ta konfiguracja zapewnia, że klienci nie muszą być bezpośrednio konfigurowani do usługi DNS Sophos. Firewall pozostaje centralnym resolverem w LAN i może lepiej obsługiwać wewnętrzne przypadki szczególne.

Wymagania wstępne

Przed wdrożeniem należy wyjaśnić następujące kwestie:

  • Dostęp do Sophos Central z uprawnieniami do DNS Protection.
  • Odpowiednia licencja: Xstream Protection dla samodzielnej ochrony DNS lub Workspace Protection dla ochrony DNS Endpoint.
  • Publiczny adres IP WAN lub stabilna nazwa FQDN/DDNS dla lokalizacji.
  • Sophos Firewall jest używany jako resolver DNS dla dotkniętych sieci lub ma być używany.
  • Wewnętrzne domeny, strefy Active Directory i reverse lookups są znane.
  • Serwery DHCP dla sieci klientów są zidentyfikowane.
  • Wyjątki dla wewnętrznych domen i krytycznych usług są zaplanowane.
  • Osoby odpowiedzialne za politykę DNS, fałszywe alarmy i logowanie są zdefiniowane.

Jeśli publiczny adres IP często się zmienia, przed wdrożeniem należy ustalić, czy konfiguracja DDNS jest wystarczająco stabilna. Sophos DNS Protection może identyfikować lokalizacje również za pomocą FQDN, ale zmiana adresu IP może mimo to prowadzić do czasowych przerw.

1. Utworzenie lokalizacji w Sophos Central

W Sophos Central najpierw tworzy się lokalizację:

My Products > DNS Protection > Locations

Praktyczny przebieg:

  1. Wybierz Add.
  2. Wprowadź nazwę i opis lokalizacji.
  3. Wprowadź publiczny adres IP WAN Sophos Firewall.
  4. W przypadku wielu interfejsów WAN wprowadź wszystkie istotne publiczne adresy IP lub odpowiedni zakres.
  5. W przypadku dynamicznego adresu IP użyj DDNS-FQDN, jeśli projekt na tym się opiera.
  6. Zapisz lokalizację.

Lokalizacja jest ważna, ponieważ DNS Protection musi przypisać przychodzące zapytania DNS do właściwego konta klienta i odpowiedniej polityki. Jeśli lokalizacja jest nieobecna lub publiczny adres IP nie pasuje, Sophos Central nie widzi lokalizacji poprawnie.

Lokalizacje Sophos Central DNS Protection z dialogiem Dodaj lokalizację
W Sophos Central dla każdej lokalizacji tworzy się lokalizację z publicznym adresem źródłowym IP lub FQDN.

2. Skopiowanie adresów IP DNS Protection

Adresy IP DNS Protection można znaleźć w Sophos Central pod:

My Products > DNS Protection > Installers

Tam są dostarczane dwa adresy IP. Są one używane na Sophos Firewall jako główny i zapasowy serwer DNS. Nie wprowadzaj innych publicznych serwerów DNS jako zapasowych, jeśli ruch ma być całkowicie kierowany przez DNS Protection. W przeciwnym razie serwery DNS mogą być używane z pominięciem DNS Protection, co prowadzi do utraty ochrony i widoczności.

Instalatory Sophos Central DNS Protection z adresami IP DNS Protection, certyfikatem i testowym URL
Pod DNS Protection > Installers można znaleźć serwery DNS, certyfikat dla stron blokujących i link testowy.

3. Konfiguracja DNS-Forwarder na Sophos Firewall

Na Sophos Firewall:

Network > DNS

Zalecany przebieg:

  1. Wybierz Static DNS.
  2. Ustaw DNS 1 na pierwszy adres IP DNS Protection.
  3. Ustaw DNS 2 na drugi adres IP DNS Protection.
  4. Pozostaw DNS 3 puste, jeśli nie ma świadomego przypadku szczególnego.
  5. Nie ustawiaj oddzielnych serwerów DNS IPv6, jeśli lokalizacja ma działać przez serwery DNS-Protection oparte na IPv4.
  6. Zapisz i zastosuj ustawienia.

DNS Protection działa jako usługa DNS oparta na IPv4, ale może również rozwiązywać adresy IPv6. Dlatego nie potrzebujesz automatycznie oddzielnego serwera DNS IPv6.

4. Ochrona wewnętrznych domen za pomocą tras żądań DNS

DNS Protection nie rozwiązuje wewnętrznych domen. Jeśli w sieci używane są Active Directory, wewnętrzne aplikacje, lokalne strefy lub reverse lookups, te zapytania muszą być kierowane do wewnętrznych serwerów DNS.

Do tego używa się na Sophos Firewall:

Network > DNS > DNS request route

Przykład:

PolePrzykład
Host/domain namefirma.local lub corp.example.com
Target serverswewnętrzne kontrolery domeny lub serwery DNS

Bez tych tras wewnętrzne nazwy byłyby wysyłane do DNS Protection i tam nie byłyby poprawnie rozwiązywane. Dokładny przebieg znajduje się w Konfiguracja tras żądań DNS na Sophos Firewall.

Dla środowisk produkcyjnych wewnętrzne domeny powinny być dodatkowo uwzględnione w DNS Protection jako lista domen, jeśli domena mogłaby być zablokowana przez kategorię. Typowe przykłady to wewnętrzne strony lub usługi, które mogłyby inaczej trafić do problematycznych kategorii, takich jak Parked Domains.

5. Skierowanie klientów na firewall przez DHCP

Klienci powinni używać Sophos Firewall jako resolvera DNS, a nie bezpośrednio dowolnych zewnętrznych resolverów.

Jeśli Sophos Firewall dostarcza DHCP:

Network > DHCP

Praktyczny przebieg:

  1. Edytuj serwer DHCP dla odpowiedniego interfejsu.
  2. Rozprowadź adres IP interfejsu firewalla jako główny serwer DNS.
  3. Nie rozprowadzaj zewnętrznych serwerów DNS jako alternatywnych serwerów DNS dla klientów, jeśli DNS Protection ma być konsekwentnie stosowane.
  4. Odnów dzierżawę DHCP lub ponownie połącz testowego klienta.
  5. Sprawdź na testowym kliencie, który serwer DNS jest faktycznie używany.

Jeśli używany jest serwer DNS Windows lub inny wewnętrzny resolver, ten resolver może przekazywać zapytania do DNS Protection zamiast klientów. Wtedy musi być jasne, gdzie rozwiązywane są wewnętrzne domeny i który serwer przekazuje publiczne zapytania.

6. Zapobieganie bezpośredniemu obejściu DNS

Wiele klientów używa serwera DNS rozprowadzanego przez DHCP. Niektóre urządzenia, przeglądarki, systemy IoT lub celowo skonfigurowane klienci mogą jednak używać własnych serwerów DNS.

Możliwym środkiem zaradczym jest reguła NAT, która przekierowuje wychodzący ruch DNS z wewnętrznych sieci do firewalla. Praktycznie oznacza to: ruch DNS z wewnętrznych sieci źródłowych jest kierowany przez DNAT na wewnętrzny adres firewalla, aby zapytanie mogło być ocenione przez DNS Protection.

Ważne:

  • Tylko wewnętrzne sieci źródłowe.
  • Nie używaj interfejsów WAN jako interfejsów przychodzących.
  • Ustaw pozycję reguły świadomie bardzo wysoko.
  • Dokumentuj wyjątki dla wewnętrznych serwerów DNS i przypadków szczególnych.
  • Następnie przetestuj, czy wewnętrzne rozwiązywanie DNS, DNS Protection i logi nadal działają poprawnie.

Podstawy NAT znajdują się w Zrozumienie NAT na Sophos Firewall. Wymuszenie DNS nie powinno być aktywowane na ślepo, ponieważ może wpływać na wewnętrzne resolvery, klientów VPN, zachowanie DoH/DoT lub urządzenia specjalne.

Planowanie wdrożenia w fazach

DNS Protection nie powinno być natychmiast wymuszane dla wszystkich sieci jednocześnie. DNS to funkcja podstawowa: jeśli wewnętrzne nazwy, sprawdzanie certyfikatów, aktualizacje oprogramowania lub usługi SaaS nie są już poprawnie rozwiązywane, szybko wygląda to jak ogólna awaria Internetu.

Kontrolowane wdrożenie wygląda w praktyce tak:

  1. Wybierz sieć pilotażową lub małą grupę testową.
  2. Dokumentuj wewnętrzne domeny, strefy odwrotne i domeny wyszukiwania.
  3. Skonfiguruj trasy żądań DNS dla wewnętrznych stref.
  4. Rozprowadź firewall jako resolver DNS przez DHCP.
  5. Ustaw adresy IP DNS Protection na firewallu.
  6. Zainstaluj certyfikat stron blokujących na testowych klientach.
  7. Sprawdź logi w Sophos Central.
  8. Dopiero potem dodaj kolejne sieci, sieć gościnną, sieci serwerowe lub sieci VPN.

Dla sieci serwerowych należy być szczególnie ostrożnym. Niektóre systemy używają DNS do sprawdzania licencji, aktualizacji, CRL/OCSP, kopii zapasowych, monitorowania lub komunikacji klastrowej. Tam okno testowe z możliwością wycofania jest ważniejsze niż w przypadku normalnych sieci klientów.

Test akceptacyjny przed szerokim wdrożeniem

Przed produkcyjnym wdrożeniem powinno być jasne, po czym rozpoznać działającą implementację DNS Protection. Sam link testowy Sophos nie wystarczy.

TestOczekiwany wynik
Rozwiązywanie publicznej domenyKlient pyta firewall lub przewidziany wewnętrzny resolver
Rozwiązywanie wewnętrznej domeny ADZapytanie przechodzi przez trasę żądań DNS do wewnętrznych serwerów DNS
Test odwrotnego wyszukiwaniawewnętrzne strefy PTR nadal działają
Otwieranie zablokowanej domeny testowejDNS Protection blokuje i rejestruje trafienie
Sprawdzenie logów w Sophos CentralTrafienia pojawiają się w odpowiedniej lokalizacji
Test sieci gościnnejGoście używają planowanej ścieżki DNS i nie wewnętrznych serwerów DNS
Test klienta VPNSplit-DNS, wewnętrzne domeny i publiczne domeny zachowują się zgodnie z planem
Sprawdzenie DoH przeglądarkiPrzeglądarka lub system operacyjny nie omijają kontroli nieoczekiwanie

Jeśli któryś z tych testów zawiedzie, nie należy od razu otwierać polityki. Najpierw trzeba ustalić, czy problem leży w DHCP, trasach żądań DNS, przypisaniu lokalizacji, profilu klienta, DoH przeglądarki, tunelu VPN czy kategoryzacji domeny.

7. Planowanie polityk i list domen

DNS Protection może blokować domeny związane z bezpieczeństwem nawet bez własnej polityki, jeśli SophosLabs uzna je za zagrożenie lub ryzyko bezpieczeństwa. Własne polityki uzupełniają tę bazową linię o wytyczne firmowe.

Typowe pytania dotyczące polityki:

  • Które lokalizacje otrzymują jaką politykę?
  • Które kategorie powinny być blokowane?
  • Które kategorie są problematyczne tylko dla określonych lokalizacji?
  • Które domeny muszą być wyraźnie dozwolone?
  • Kto decyduje o fałszywych alarmach?
  • Jak długo obowiązują wyjątki?

Listy domen powinny być prowadzone wąsko. Szeroka lista dozwolonych domen może zmniejszyć skuteczność ochrony. Szeroka lista zablokowanych domen może zakłócić procesy biznesowe. Każda lista potrzebuje celu, właściciela i daty przeglądu.

Polityka filtrowania Sophos Central DNS Protection z kategoriami internetowymi
Polityki filtrowania kontrolują, które kategorie internetowe są dozwolone, blokowane lub indywidualnie definiowane dla lokalizacji.

Polityka filtrowania czy polityka ochrony DNS Endpoint?

W Sophos Central istnieją dwa poziomy polityki, których nie należy mylić.

Typ politykiDo czego przeznaczonaKiedy używać
Polityka filtrowaniaFiltrowanie DNS oparte na lokalizacji, firewallu lub sieciDla biur, firewalli, serwerów DNS, sieci serwerowych, gości, IoT i urządzeń bez Sophos Endpoint
Polityka ochrony DNS EndpointOchrona DNS Endpoint przez Sophos EndpointDla zarządzanych klientów, notebooków i użytkowników, którzy mają być chronieni także poza siecią firmową

Polityka filtrowania jest tworzona pod DNS Protection > Policies > Filtering policies i przypisywana jednej lub kilku lokalizacjom lub firewallom. Na lokalizację może być aktywna tylko jedna polityka filtrowania. W tej polityce definiuje się kategorie, listy domen i dodatkowe opcje, takie jak Safe Search.

Polityka ochrony DNS Endpoint wykorzystuje Sophos Endpoint. Endpoint przechwytuje ruch DNS na urządzeniu i bezpiecznie przekazuje go przez HTTPS do DNS Protection. Dzięki temu nie trzeba ręcznie konfigurować klienta na adresy IP DNS-Protection. Urządzenia są przypisywane w polityce Endpoint do lokalizacji DNS-Protection i są następnie kontrolowane przez politykę filtrowania odpowiednią dla tej lokalizacji.

Praktycznie oznacza to:

  • Dla biura z Sophos Firewall normalną ścieżką sieciową jest lokalizacja plus polityka filtrowania.
  • Dla klientów roamingowych polityka ochrony DNS Endpoint jest sensowna, ponieważ ochrona działa także poza siecią firmową.
  • Dla mieszanych środowisk łączy się oba podejścia: lokalizacje firewalli przez lokalizacje, zarządzane endpointy dodatkowo przez ochronę DNS Endpoint.
  • Dla wewnętrznych domen w politykach Endpoint powinny być utrzymywane wykluczenia domen. Sophos zaleca wyraźne wykluczenie wewnętrznych stref, zamiast polegać tylko na ponownym próbie NXDOMAIN.
  • Strony blokujące na endpointach wymagają certyfikatu głównego DNS Protection. Z Sophos Endpoint certyfikat może być automatycznie rozprowadzany.

Jakie kategorie można blokować?

DNS Protection oferuje kategorie, które w Sophos Central są zorganizowane w grupy. Niektóre kategorie są bardziej związane z produktywnością, inne są wyraźnie związane z bezpieczeństwem. Nazwy pozostają tutaj celowo w języku angielskim, ponieważ tak są również wyświetlane w Sophos Central.

Grupa kategoriiTypowe kategorieRekomendacja
Kategorie związane z produktywnościąAdvertisements, Auctions & classified ads, Dynamic DNS & ISP sites, Entertainment, Fashion & beauty, Gambling, Games, Hobbies, Hunting & fishing, Kid’s sites, News, Online chat, Online shopping, Personal sites, Photo galleries, Portal sites, Religion & spirituality, Restaurants & dining, Sports, Stocks & trading, Surveillance, Travel, Society & culture, VehiclesW zależności od polityki firmy pozwalać, blokować lub ograniczać tylko dla określonych sieci.
Sieci społecznościoweBlogs & forums, Personals & dating, Social networksZazwyczaj nie jest to czysto kwestia bezpieczeństwa. Dla sieci produkcyjnych świadomie decydować, zamiast blokować ogólnie.
Kategorie dla dorosłych i potencjalnie nieodpowiednieAlcohol & tobacco, Controlled substances, Criminal activity, Download freeware & shareware, Extreme, Intellectual piracy, Intolerance & hate, Legal highs, Marijuana, Militancy & extremist, Nudity, Plagiarism, Pro-suicide & self harm, Sex education, Sexually explicit, Swimwear & lingerie, WeaponsW wielu środowiskach korporacyjnych blokować. Wyjątki tylko z wyraźnym uzasadnieniem.
Kategorie mogące powodować nadmierne zużycie pasmaLive audio, Live video, Peer-to-peer & torrents, Radio & audio hosting, Video hosting, Voice & video callsCzęsto istotne dla sieci gościnnych i klientów. Przed sprawdzeniem narzędzi do współpracy, aby nie zakłócać legalnych połączeń.
Kategorie stron związanych z biznesemGeneral business, Business networking, Educational institutions, Financial services, Government, Health & medicines, Image search, Information technology, Job search, Military, NGOs & non-profits, Political organizations, Professional & workers organizations, Real estate, Reference, Search engines, Software updates, TranslatorsZazwyczaj pozwalać. Pojedyncze kategorie mogą być ograniczone w sieciach o wysokim poziomie bezpieczeństwa.
InfrastrukturaContent delivery, CRL and OCSPZazwyczaj pozwalać. Te kategorie mogą być ważne dla aktualizacji, sprawdzania certyfikatów i wielu usług chmurowych.
Zagrożenia i odpowiedzialnośćAnonymizers, Hacking, Newly registered websites, Parked domains, Phishing & fraud, Spam URLs, Spyware & malware, Unauthorized software storesZazwyczaj blokować. W przypadku fałszywych alarmów pracować z listami domen, a nie otwierać całych grup.
Utrata danychBusiness cloud apps, Personal cloud apps, Personal network storage, Web E-mailSilnie zależy od wytycznych DLP, chmury i zgodności. Dla sieci serwerowych i administracyjnych często traktować surowiej niż dla zwykłych użytkowników.
NieklasyfikowaneUncategorizedNie blokować na ślepo. Najpierw ocenić, ponieważ legalne nowe lub wewnętrzne usługi mogą być tymczasowo nieklasyfikowane.

Listy domen mają pierwszeństwo przed kategoriami. Dozwolona domena na liście domen pozostaje dozwolona, nawet jeśli kategoria byłaby zablokowana. Zablokowana domena pozostaje zablokowana, nawet jeśli kategoria byłaby dozwolona. Dlatego listy domen powinny być dokumentowane i regularnie przeglądane.

8. Strony blokujące i certyfikaty

Dla zablokowanych domen DNS Protection może wyświetlać stronę blokującą HTTPS. Aby użytkownicy mogli poprawnie zobaczyć tę stronę blokującą, certyfikat główny DNS Protection musi być zainstalowany jako zaufany na dotkniętych urządzeniach.

Jeśli dodatkowo aktywna jest inspekcja TLS lub filtrowanie sieci na firewallu, planowanie certyfikatów i wyjątków musi być zgodne. Dla certyfikatu CA firewalla pasuje Rozprowadzanie certyfikatu CA Sophos Firewall dla inspekcji TLS.

Jeśli strony blokujące nie są wyświetlane, nie należy od razu zmieniać polityki. Często brakuje certyfikatów, klient używa innej ścieżki DNS lub blockpage.dnsprotection.sophos.com jest zakłócany przez inną kontrolę.

Testowanie DNS Protection

Sophos Central udostępnia pod DNS Protection > Installers link testowy. Jeśli konfiguracja jest poprawna, przeglądarka wyświetla potwierdzenie.

Dodatkowo należy testować w praktyce:

  • Klient używa firewalla jako serwera DNS.
  • Publiczna domena jest rozwiązywana przez DNS Protection.
  • Wewnętrzna domena jest poprawnie rozwiązywana przez trasę żądań DNS.
  • Zablokowana domena testowa jest blokowana.
  • Logi pojawiają się w Sophos Central.
  • Zapytania DNS pojawiają się w odpowiedniej lokalizacji.
  • Alternatywne serwery DNS nie są używane.
  • Sieć VPN lub gościnna zachowuje się zgodnie z planem.

Dla rzeczywistej analizy błędów nie należy testować tylko przeglądarki. nslookup, dig, logi firewalla, dzierżawy DHCP i logi Sophos Central razem dają lepszy obraz.

Polecenia testowe dla klientów

Na testowym kliencie należy najpierw sprawdzić, który serwer DNS jest naprawdę używany. Udany test przeglądarki nie wystarczy, jeśli klient równolegle używa innego resolvera, DoH lub profilu VPN.

Windows:

ipconfig /all
nslookup example.com
nslookup example.com <firewall-ip>
Resolve-DnsName example.com

macOS:

scutil --dns
dig example.com
dig @<firewall-ip> example.com

Linux:

resolvectl status
dig example.com
dig @<firewall-ip> example.com

Należy zastąpić <firewall-ip> wewnętrznym adresem interfejsu Sophos Firewall, który ma służyć jako resolver DNS w danej sieci. Jeśli zapytanie do firewalla działa, ale normalne zapytanie używa innego resolvera, problem zazwyczaj leży w DHCP, profilu systemu operacyjnego, kliencie VPN, DoH przeglądarki lub lokalnej konfiguracji DNS.

Dla wewnętrznych domen należy dodatkowo przeprowadzić test z wewnętrzną strefą:

dig @<firewall-ip> interner-host.corp.example.com

Ten test musi trafić na wewnętrzny serwer DNS przez odpowiednią trasę żądań DNS. Jeśli publiczne domeny działają, ale wewnętrzne nazwy nie, DNS Protection rzadko jest rzeczywistą przyczyną. Wtedy należy sprawdzić trasy żądań DNS, wewnętrzne serwery DNS, domeny wyszukiwania i sufiksy DNS klientów.

Rozwiązywanie problemów

Lokalizacja nie pojawia się w Sophos Central

Sprawdź, czy publiczny adres IP WAN lub DDNS-FQDN w lokalizacji jest poprawny. W przypadku wielu linii WAN należy uwzględnić wszystkie istotne adresy wyjściowe. W przypadku dynamicznych adresów IP mogą wystąpić krótkie opóźnienia, zanim DNS Protection rozpozna zmianę.

Wewnętrzne nazwy nie działają

Wtedy zazwyczaj brakuje tras żądań DNS lub klienci nie pytają oczekiwanego resolvera. Wewnętrzne domeny AD, strefy odwrotne i domeny aplikacji powinny być wyraźnie kierowane do wewnętrznych serwerów DNS.

DNS Protection blokuje wewnętrzną lub legalną domenę

Najpierw ustal, czy domena jest wewnętrzna, publiczna, źle sklasyfikowana czy rzeczywiście ryzykowna. Następnie sprawdź listę domen i politykę. Nie ustawiaj szerokiej reguły dozwolonej, zanim nie zostanie znana przyczyna i dotknięci użytkownicy.

Logi pozostają puste

Jeśli w Sophos Central nie pojawiają się logi, klient może nie używać DNS Protection. Sprawdź: DHCP, DNS klienta, DNS firewalla, przekierowanie NAT, alternatywne resolvery, profil VPN i czy lokalizacja jest poprawnie rozpoznawana w Sophos Central.

Strona blokująca się nie pojawia

Wtedy często brakuje certyfikatu głównego DNS Protection, klient używa innej ścieżki DNS lub inna kontrola bezpieczeństwa wpływa na połączenie. Należy również sprawdzić inspekcję TLS i Web Protection.

DoH lub prywatny DNS omija kontrolę

Przeglądarki i systemy operacyjne mogą używać DNS over HTTPS lub funkcji prywatnego DNS. W zależności od środowiska należy te funkcje kontrolować za pomocą przeglądarki, MDM lub polityki systemu operacyjnego. DNS Protection na ścieżce sieciowej pomaga tylko wtedy, gdy zapytania faktycznie przechodzą przez przewidziany resolver.

Klienci VPN zachowują się inaczej niż klienci LAN

W przypadku klientów VPN zachowanie zależy w dużej mierze od profilu. Pełny tunel, podzielony tunel, sufiksy DNS, domeny wyszukiwania i lokalne resolvery klienta mogą wpływać na rozwiązywanie nazw. Jeśli DNS Protection działa w LAN, ale nie przez VPN, najpierw należy sprawdzić profil VPN, przypisane serwery DNS, sufiksy DNS i reguły firewalla. Dla środowisk zdalnego dostępu pasuje dodatkowo Sophos Connect lub SSL VPN: Które rozwiązanie zdalnego dostępu pasuje?.

Rekomendacje operacyjne

DNS Protection powinno być zarządzane jak kontrola bezpieczeństwa, a nie jak jednorazowa wymiana serwera DNS.

Z perspektywy Avanet należy wcześniej szczerze zdecydować, czy DNS Protection jest rzeczywiście odpowiednim narzędziem dla danego środowiska. Dla wielu klasycznych instalacji firewalla szybkie, redundantne resolvery DNS plus starannie utrzymywane Threat Feeds na firewallu są bardziej solidną opcją operacyjną. DNS Protection opłaca się przede wszystkim wtedy, gdy operacja chce aktywnie korzystać z polityk Central, logów, kategorii, list domen i komponentu Endpoint.

Regularnie sprawdzaj:

  • Lokalizacje i adresy IP WAN są poprawne.
  • DHCP nadal rozprowadza właściwe serwery DNS.
  • Wewnętrzne trasy żądań DNS są aktualne.
  • Polityki i listy domen mają właściciela i datę przeglądu.
  • Logi są analizowane.
  • Zablokowane najważniejsze domeny są sprawdzane pod kątem fałszywych alarmów.
  • Nowe lokalizacje, sieci VPN i sieci gościnne są uwzględnione w projekcie.

Dla tematów wykrywania można uzupełnić Sophos Firewall NDR i Active Threat Response. Dla znanych złośliwych adresów IP, domen i URL na poziomie firewalla pozostają istotne Sophos Firewall Threat Feeds.

Lista kontrolna

  • Sprawdzono licencję Sophos Central DNS Protection.
  • Utworzono lokalizację jako lokalizację.
  • Poprawnie wprowadzono publiczny adres IP WAN lub DDNS-FQDN.
  • Skopiowano adresy IP DNS Protection z Central.
  • Sophos Firewall używa DNS Protection jako DNS-Forwarder.
  • Wewnętrzne domeny są objęte trasami żądań DNS.
  • DHCP rozprowadza firewall jako resolver DNS.
  • Sprawdzono bezpośrednie obejście DNS i w razie potrzeby przekierowano przez NAT.
  • Zaplanowano certyfikat główny DNS Protection dla stron blokujących.
  • Pomyślnie sprawdzono link testowy z Sophos Central.
  • Skontrolowano logi i raporty w Sophos Central.
  • Zdefiniowano proces fałszywych alarmów i przegląd list domen.

FAQ

Czym jest Sophos DNS Protection?

Sophos DNS Protection to bezpieczna usługa DNS z politykami i raportowaniem w Sophos Central. Zapytania DNS są sprawdzane pod kątem SophosLabs Threat Intelligence i własnych polityk, zanim domeny zostaną rozwiązane.

Czy trzeba używać Sophos Firewall jako resolvera DNS?

Nie jest to konieczne, ale dla lokalizacji firewalla jest to często najczystsza konfiguracja. Klienci używają firewalla jako resolvera DNS, firewall przekazuje publiczne zapytania do DNS Protection, a wewnętrzne domeny przez trasy żądań DNS do wewnętrznych serwerów DNS.

Czy wewnętrzne domeny działają z DNS Protection?

Tak, jeśli trasy żądań DNS są poprawnie skonfigurowane. DNS Protection samo nie rozwiązuje lokalnych domen. Firewall musi takie zapytania kierować do wewnętrznych serwerów DNS.

Czy należy wprowadzać alternatywne serwery DNS jako zapasowe?

Zazwyczaj nie. Jeśli używany jest alternatywny serwer DNS, ochrona i widoczność DNS Protection dla tych zapytań zostają utracone. Redundancja powinna być zapewniona przez dostarczone adresy IP DNS Protection.

Czy DNS Protection to to samo co Web Protection?

Nie. DNS Protection decyduje na poziomie DNS, czy domena powinna zostać rozwiązana. Web Protection działa w ruchu sieciowym z politykami internetowymi, kategoriami, grupami URL, inspekcją TLS i innymi kontrolami. Obie funkcje się uzupełniają.

Kiedy potrzebna jest polityka ochrony DNS Endpoint?

Polityka ochrony DNS Endpoint jest sensowna, gdy zarządzani klienci mają być chronieni także poza siecią firmową przez Sophos Endpoint. Dla lokalizacji, firewalli i sieci pozostaje normalną drogą polityka filtrowania oparta na lokalizacji.

Dlaczego Avanet nie stosuje DNS Protection w każdej sieci?

DNS musi działać szybko i być wysoko dostępny. W wielu sieciach bardziej sensowne jest używanie solidnych resolverów DNS i blokowanie znanych złośliwych celów za pomocą Threat Feeds, Web Protection, ochrony Endpoint i innych kontroli. DNS Protection stosujemy bardziej celowo, gdy naprawdę potrzebne są raportowanie DNS Central, kategorie DNS, polityki oparte na lokalizacji lub ochrona DNS Endpoint.

Jak rozpoznać, czy DNS Protection jest naprawdę używane?

Sprawdza się link testowy pod DNS Protection > Installers, serwery DNS klienta, logi w Sophos Central i rozwiązywanie wewnętrznych oraz publicznych domen. Jeśli logi pozostają puste, klient prawdopodobnie nie pyta przez przewidzianą ścieżkę DNS.

Czy należy natychmiast aktywować DNS Protection dla wszystkich sieci?

Nie. Lepiej jest zacząć od sieci pilotażowej z jasnymi testami dla publicznych domen, wewnętrznych domen, odwrotnego wyszukiwania, strony blokującej, logów, VPN i sieci gościnnej. Dopiero gdy te testy są poprawne, należy przełączyć kolejne sieci.

Co jest ważne przy DNS Protection i VPN?

Klienci VPN potrzebują odpowiednich serwerów DNS, sufiksów DNS i decyzji routingu. Przy podzielonym tunelu należy dokładnie sprawdzić, które domeny przechodzą przez tunel, a które są rozwiązywane lokalnie. W przeciwnym razie DNS Protection może działać w biurze, ale być częściowo omijane przy zdalnym dostępie.