Sophos DNS Protection - Gratuito com Xstream Protection

O Sophos DNS Protection é um novo serviço Sophos Central incluído gratuitamente no bundle Xstream Protection da Sophos Firewall. Testámo-lo durante algum tempo e partilhamos neste artigo a nossa experiência.

Funcionalidade do Sophos DNS Protection

O Sophos DNS Protection oferece uma solução de segurança baseada na cloud que bloqueia o acesso a domínios inseguros e indesejados em todas as portas, protocolos e aplicações. O serviço pode ser implementado em poucos minutos e complementa eficazmente as soluções de segurança de rede existentes.

Com inteligência de ameaças em tempo real e funções abrangentes de reporting, o Sophos DNS Protection protege contra domínios maliciosos e indesejados. A principal competência deste novo serviço Sophos Central é disponibilizar uma camada adicional de proteção contra o acesso a domínios conhecidos, comprometidos ou maliciosos, tanto em ligações encriptadas como não encriptadas. Esta abordagem preventiva aumenta o nível de segurança logo na camada DNS e vai, por isso, muito além da segurança web tradicional.

Configuração em 3 passos

A configuração do Sophos DNS Protection é incrivelmente fácil e está concluída em poucos minutos.

Começa-se por configurar os endereços IP das redes ou os nomes de host dinâmicos, para garantir que o DNS Protection reconhece a origem dos pedidos DNS. Em seguida, essas localizações são atribuídas às políticas correspondentes para ativar a proteção.

1. Adicionar localização

Para que os servidores DNS da Sophos possam associar os pedidos às políticas e à conta de utilizador nos relatórios, é necessário registar primeiro a localização e o respetivo endereço IP público ou nome DNS.

2. Ajustar os servidores DNS

Para utilizar o Sophos DNS Protection, é necessário configurar os servidores DNS da Sophos no router, no servidor DNS ou na firewall. Os endereços IP são introduzidos como servidores DNS no dispositivo de rede, para que todos os pedidos DNS sejam encaminhados através do Sophos DNS Protection.

Para garantir que as páginas de bloqueio são apresentadas corretamente, descarregue o certificado disponibilizado e distribua-o nos dispositivos como autoridade de certificação raiz fidedigna.

Já explicámos num guia o processo de distribuição do certificado para a Sophos Firewall. Para o DNS Protection, é usado apenas um certificado diferente.

• Instalar o certificado CA da Sophos Firewall para HTTPS Scanning

3. Filtragem por categoria web

No terceiro passo, é necessário criar as políticas. Aqui pode definir que categorias web devem ser bloqueadas. A proteção DNS filtra sempre websites que representam um risco de segurança, mas também é possível configurar opções de filtragem adicionais. Estas políticas podem ser definidas por localização, o que permite adaptar as regras de segurança com maior precisão às necessidades específicas de cada rede.

Estão disponíveis as seguintes categorias para bloqueio:

Productivity-related categories

• Advertisements
• Auctions & classified ads
• Dynamic DNS & ISP sites
• Entertainment
• Fashion & beauty
• Gambling
• Games
• Hobbies
• Hunting & fishing
• Kid’s sites
• News
• Online chat
• Online shopping
• Personal sites
• Photo galleries
• Portal sites
• Religion & spirituality
• Restaurants & dining
• Sports
• Stocks & trading
• Surveillance
• Travel
• Society & culture
• Vehicles

Social networking

• Blogs & forums
• Personals & dating
• Social networks

Adult and potentially inappropriate categories

• Alcohol & tobacco
• Controlled substances
• Criminal activity
• Download freeware & shareware
• Extreme
• Intellectual piracy
• Intolerance & hate
• Legal highs
• Marijuana
• Militancy & extremist
• Nudity
• Plagiarism
• Pro-suicide & self harm
• Sex education
• Sexually explicit
• Swimwear & lingerie
• Weapons

Categories likely to cause excessive bandwidth usage

• Live audio
• Live video
• Peer-to-peer & torrents
• Radio & audio hosting
• Video hosting
• Voice & video calls

Business-relevant site categories

• General business
• Business networking
• Educational institutions
• Financial services
• Government
• Health & medicines
• Image search
• Information technology
• Job search
• Military
• NGOs & non-profits
• Political organizations
• Professional & workers organizations
• Real estate
• Reference
• Search engines
• Software updates
• Translators

Infrastructure

• Content delivery
• CRL and OCSP

Threats and liabilities

• Anonymizers
• Hacking
• Newly registered websites
• Parked domains
• Phishing & fraud
• Spam URLs
• Spyware & malware
• Unauthorized software stores

Data loss

• Data loss
• Business cloud apps
• Personal cloud apps
• Personal network storage
• Web E-mail

Uncategorized

• Tudo o resto

O Sophos DNS Protection permite criar listas de domínios personalizadas. Se um utilizador precisar de aceder a uma página bloqueada, pode criar uma lista de exceções específica e ajustar a política em conformidade. Por exemplo, é possível criar uma lista com exceções especiais que permita determinados domínios, enquanto outros continuam bloqueados.

Teste

O Sophos DNS Protection bloqueia imediatamente o acesso a domínios inseguros e indesejados. Isto aplica-se tanto a dispositivos geridos como não geridos e protege a sua rede de forma abrangente contra atividade maliciosa baseada em domínios. Com a inteligência de ameaças em tempo real da SophosLabs, pode assegurar que a sua organização está sempre protegida contra as ameaças mais recentes.

No vídeo da Sophos, os passos de configuração são explicados novamente:

• Sophos DNS Protection - Sophos Knowledge Base

Reporting

Com o DNS Protection, obtém informações detalhadas sobre os domínios visitados pela sua rede. Com as funções de reporting no Sophos Central, pode monitorizar a postura de segurança da sua rede a qualquer momento. Recebe relatórios sobre domínios permitidos e bloqueados, bem como sobre o número total de pedidos DNS.

A ferramenta de reporting funciona de forma semelhante ao Firewall Reporting no Sophos Central. Também aqui pode aplicar filtros, procurar entradas específicas e criar modelos para consultas recorrentes. Além disso, existe a possibilidade de receber relatórios por e-mail.

Mais dados para XDR e MDR

Os dados DNS recolhidos pelo Sophos DNS Protection são encaminhados para o Sophos Data Lake. Isto permite utilizar esses dados com as ferramentas XDR ou apoiar analistas MDR na deteção de atacantes ativos e ameaças na rede.

Licenciamento

Atualmente, todos os clientes Sophos Firewall que licenciaram o Xstream Protection Bundle recebem o DNS Protection.

No entanto, a Sophos também escreve que a primeira versão é gratuita. Por isso, consigo imaginar que, quando o produto estiver um pouco mais maduro, algumas funções adicionais venham a exigir outra licença, tal como acontece com o Firewall Reporting.

Conclusão / opinião

O Sophos DNS Protection é uma solução simples e eficaz que funciona de forma fiável na versão 1 e representa uma alternativa mais segura a 8.8.8.8, 1.1.1.1 e 9.9.9.9. Ainda assim, há algumas áreas que poderiam ser melhoradas:

Velocidade: Os servidores DNS da Sophos têm atualmente uma latência mais elevada, o que se deve ao facto de a Sophos disponibilizar ainda poucos POPs. No entanto, isto deverá ser trabalhado nos próximos meses.

Filtros: Atualmente, existe apenas a possibilidade de filtrar domínios. Faltam listas predefinidas para aplicações, publicidade ou links de tracking, o que limita as opções de filtragem.

Mobile: Ao contrário de “Cisco Umbrella DNS” ou “NextDNS”, o Sophos DNS Protection não oferece uma forma de proteger também dispositivos móveis.

Synchronised Security: Muitos administradores conhecem o problema: os utilizadores reportam que websites legítimos foram bloqueados e é necessário criar uma autorização. Muitos dos nossos clientes utilizam a Sophos Firewall e o Sophos Endpoint com Web Control ativado, de modo que também existe um filtro de conteúdos em viagem ou em home office. No entanto, as definições destes dois sistemas não são sincronizadas. Com o DNS Protection, surge agora um terceiro serviço que também precisa de ser mantido.