Configurar a Proteção DNS da Sophos com o Sophos Firewall
A Proteção DNS da Sophos protege consultas DNS através de um serviço DNS baseado em nuvem com políticas e relatórios no Sophos Central. A funcionalidade pode bloquear domínios maliciosos, phishing, alvos de comando e controle e categorias indesejadas antes que um cliente estabeleça uma conexão com o site ou infraestrutura real.
Com o Sophos Firewall, a configuração padrão mais limpa geralmente é: os clientes usam o firewall como resolvedor DNS, o firewall encaminha consultas DNS públicas para a Proteção DNS, e domínios internos são enviados para servidores DNS internos através de Rotas de Solicitação DNS. Assim, a resolução de nomes internos permanece estável, enquanto as consultas DNS públicas são controladas e registradas centralmente.
A Proteção DNS não substitui a Proteção Web, os Threat Feeds ou o NDR. É um ponto de proteção próprio no nível DNS. Por isso, a funcionalidade deve ser planejada conscientemente e não apenas substituir servidores DNS públicos.
Guia em vídeo
Contextualização Avanet: Usar a Proteção DNS Conscientemente
A Proteção DNS é tecnicamente interessante, mas não é automaticamente a melhor escolha em todos os ambientes. Em muitos projetos, não usamos a Proteção DNS como padrão, mas preferimos resolvedores DNS rápidos e altamente disponíveis e bloqueamos alvos maliciosos conhecidos adicionalmente através dos Threat Feeds do Sophos Firewall ou fontes de inteligência de ameaças comparáveis no firewall.
A razão é simples: DNS é uma função básica. Se o DNS for lento, não funcionar de forma redundante ou gerar muitos falsos positivos, os usuários rapidamente sentirão que toda a rede está com defeito. A proteção DNS deve, portanto, ser não apenas segura, mas também estável, rápida, compreensível e fácil de operar.
A decisão depende do objetivo:
| Abordagem | Força | Limite |
|---|---|---|
| Resolvedores DNS rápidos e altamente disponíveis | Excelente desempenho, resolução de nomes robusta, baixo risco operacional | Sem política DNS central e sem relatórios DNS no Sophos Central |
| Threat Feeds no Sophos Firewall | Alvos maliciosos conhecidos podem ser bloqueados no perímetro sem reconfigurar o caminho DNS | Não é o mesmo que filtragem de categoria DNS; qualidade, ajuste e processo de falso positivo são importantes |
| Proteção DNS da Sophos | Políticas DNS, categorias, localizações, logs e Proteção DNS de Endpoint no Sophos Central | Dependência adicional no caminho DNS; implementação, certificados, exceções e monitoramento devem ser planejados cuidadosamente |
A Proteção DNS é particularmente adequada quando logs DNS no Sophos Central, políticas DNS baseadas em localização, filtragem de categorias ou Proteção DNS de Endpoint para clientes em roaming são explicitamente desejados. Se o objetivo principal for uma resolução de nomes rápida e altamente disponível com bloqueio adicional de alvos ruins conhecidos, bons resolvedores DNS mais Threat Feeds são muitas vezes a solução mais pragmática.
Quando a Proteção DNS é Útil
A Proteção DNS é especialmente eficaz quando muitos clientes acessam a Internet através de um firewall central ou um resolvedor DNS local.
Casos de uso típicos:
- Os clientes não devem usar resolvedores DNS públicos arbitrários.
- Domínios de malware, phishing e C2 devem ser bloqueados precocemente.
- Consultas DNS devem ser visíveis no Sophos Central.
- Diferentes locais devem ter suas próprias políticas DNS.
- Nomes DNS internos devem continuar a funcionar através de servidores DNS locais.
- A Proteção Web deve ser complementada por um controle DNS prévio.
No entanto, a Proteção DNS não substitui a inspeção de conteúdo. Se um domínio permitido posteriormente entregar conteúdo malicioso ou se o tráfego HTTPS precisar ser examinado mais de perto, a Proteção Web, Inspeção TLS, IPS, proteção de endpoint e registro continuam relevantes.
A Proteção DNS não é ideal se apenas um encaminhador DNS externo rápido for procurado ou se já houver uma operação DNS muito estável com Threat Feeds separados, Proteção Web, proteção de endpoint e monitoramento limpo. Nesse caso, deve-se primeiro verificar qual valor adicional a Proteção DNS realmente traz e quem gerencia a política, exceções e falsos positivos.
Arquitetura com Sophos Firewall
Para o Sophos Firewall, esta configuração geralmente é a mais clara:
- O Sophos Central reconhece o local como Localização.
- O Sophos Central fornece dois endereços IP de Proteção DNS.
- O Sophos Firewall usa esses endereços IP como encaminhadores DNS.
- Domínios internos são enviados para servidores DNS internos através de Rotas de Solicitação DNS.
- O DHCP distribui o firewall como resolvedor DNS para os clientes.
- Opcionalmente, uma regra NAT força o tráfego DNS de saída a ser redirecionado para o firewall.
- Logs e relatórios de Proteção DNS são avaliados no Sophos Central.
Esta configuração garante que os clientes não precisem ser configurados diretamente para o serviço DNS da Sophos. O firewall permanece o resolvedor central na LAN e pode lidar melhor com casos especiais internos.
Pré-requisitos
Antes da implementação, os seguintes pontos devem ser esclarecidos:
- Acesso ao Sophos Central com permissão para Proteção DNS.
- Licença adequada: Xstream Protection para Proteção DNS autônoma ou Workspace Protection para Proteção DNS de Endpoint.
- IP WAN público ou um nome FQDN/DDNS estável para o local.
- O Sophos Firewall é usado como resolvedor DNS para as redes afetadas ou deve ser.
- Domínios internos, zonas de Active Directory e pesquisas reversas são conhecidos.
- Servidores DHCP para redes de clientes são identificados.
- Exceções para domínios internos e serviços críticos são planejadas.
- Responsáveis pela política DNS, falsos positivos e registro são definidos.
Se o endereço IP público mudar frequentemente, deve-se esclarecer antes da implementação se uma configuração DDNS é suficientemente estável. A Proteção DNS da Sophos também pode identificar locais através de um FQDN, mas uma mudança de IP ainda pode causar interrupções temporárias.
1. Criar Localização no Sophos Central
No Sophos Central, o local é criado primeiro:
My Products > DNS Protection > Locations
Procedimento prático:
- Selecionar
Add. - Inserir nome e descrição do local.
- Registrar o IP WAN público do Sophos Firewall.
- Para várias interfaces WAN, inserir todos os endereços IP públicos relevantes ou uma faixa adequada.
- Para IP dinâmico, usar um FQDN DDNS se o design se basear nisso.
- Salvar a localização.
A localização é importante porque a Proteção DNS deve associar consultas DNS recebidas à conta de cliente correta e à política correta. Se a localização estiver ausente ou o IP público não corresponder, o Sophos Central não verá o local corretamente.
2. Copiar Endereços IP de Proteção DNS
Os endereços IP de Proteção DNS podem ser encontrados no Sophos Central em:
My Products > DNS Protection > Installers
Lá, dois endereços IP são fornecidos. Estes são usados no Sophos Firewall como servidor DNS primário e secundário. Não insira outros servidores DNS públicos como fallback se o tráfego deve passar completamente pela Proteção DNS. Caso contrário, os servidores DNS podem ser usados fora da Proteção DNS, dependendo do comportamento do resolvedor, e a proteção e visibilidade serão perdidas.
3. Configurar Encaminhador DNS do Sophos Firewall
No Sophos Firewall:
Network > DNS
Procedimento recomendado:
- Selecionar
Static DNS. - Definir
DNS 1para o primeiro endereço IP de Proteção DNS. - Definir
DNS 2para o segundo endereço IP de Proteção DNS. - Deixar
DNS 3vazio, a menos que haja um caso especial consciente. - Não definir servidores DNS IPv6 separados se o local deve operar através dos servidores de Proteção DNS baseados em IPv4.
- Salvar e aplicar a configuração.
A Proteção DNS opera como um serviço DNS baseado em IPv4, mas também pode resolver endereços IPv6. Portanto, não é necessário um servidor DNS IPv6 separado automaticamente.
4. Proteger Domínios Internos com Rotas de Solicitação DNS
A Proteção DNS não resolve domínios internos. Se a rede usar Active Directory, aplicativos internos, zonas locais ou pesquisas reversas, essas consultas devem ser enviadas para servidores DNS internos.
Para isso, use no Sophos Firewall:
Network > DNS > DNS request route
Exemplo:
| Campo | Exemplo |
|---|---|
| Nome do host/domínio | empresa.local ou corp.example.com |
| Servidores de destino | Controladores de domínio internos ou servidores DNS |
Sem essas rotas, os nomes internos seriam enviados para a Proteção DNS e não seriam resolvidos corretamente lá. O procedimento exato está em Configurar Rotas de Solicitação DNS no Sophos Firewall.
Para ambientes produtivos, os domínios internos devem ser considerados adicionalmente na Proteção DNS como uma lista de domínios, se o domínio puder ser bloqueado por uma categoria. Exemplos típicos são sites ou serviços internos que poderiam cair em categorias problemáticas como Domínios Estacionados.
5. Fazer Clientes Apontarem para o Firewall via DHCP
Os clientes devem usar o Sophos Firewall como resolvedor DNS, não diretamente resolvedores externos arbitrários.
Se o Sophos Firewall fornecer DHCP:
Network > DHCP
Procedimento prático:
- Editar o servidor DHCP da interface afetada.
- Distribuir o endereço IP da interface do firewall como servidor DNS primário.
- Não distribuir servidores DNS externos como DNS alternativo do cliente se a Proteção DNS deve ser aplicada consistentemente.
- Renovar o lease DHCP ou reconectar o cliente de teste.
- Verificar com um cliente de teste qual servidor DNS está realmente sendo usado.
Se um servidor DNS Windows ou outro resolvedor interno estiver em uso, esse resolvedor pode encaminhar para a Proteção DNS em vez dos clientes. Nesse caso, deve estar claro onde os domínios internos são resolvidos e qual servidor encaminha consultas públicas.
6. Prevenir Desvio Direto de DNS
Muitos clientes usam o servidor DNS distribuído por DHCP. Alguns dispositivos, navegadores, sistemas IoT ou clientes configurados intencionalmente podem usar seus próprios servidores DNS.
Uma possível contramedida é uma regra NAT que redireciona o tráfego DNS de saída das redes internas para o firewall. Na prática, isso significa que o tráfego DNS das redes de origem internas é redirecionado por DNAT para o endereço interno do firewall, para que a consulta possa ser avaliada pela Proteção DNS.
Importante:
- Capturar apenas redes de origem internas.
- Não usar interfaces WAN como interface de entrada.
- Colocar a regra em uma posição muito alta.
- Documentar exceções para servidores DNS internos e casos especiais.
- Testar se a resolução DNS interna, Proteção DNS e logs ainda estão corretos.
Os fundamentos do NAT estão em Entender NAT no Sophos Firewall. Uma imposição de DNS não deve ser ativada cegamente, pois pode afetar resolvedores internos, clientes VPN, comportamento DoH/DoT ou dispositivos especiais.
Planejar Implementação em Fases
A Proteção DNS não deve ser imposta imediatamente para todas as redes ao mesmo tempo. DNS é uma função básica: se nomes internos, verificações de certificados, atualizações de software ou serviços SaaS não forem resolvidos corretamente, isso rapidamente parecerá uma falha geral da Internet.
Uma implementação controlada na prática é assim:
- Selecionar uma rede piloto ou pequeno grupo de teste.
- Documentar domínios internos, zonas reversas e domínios de pesquisa.
- Configurar Rotas de Solicitação DNS para zonas internas.
- Distribuir o firewall como resolvedor DNS via DHCP.
- Definir endereços IP de Proteção DNS no firewall.
- Instalar o certificado de páginas de bloqueio em clientes de teste.
- Verificar logs no Sophos Central.
- Somente depois disso, incluir outras redes, rede de convidados, redes de servidores ou redes VPN.
Para redes de servidores, deve-se ser especialmente cauteloso. Alguns sistemas usam DNS para verificação de licença, atualizações, CRL/OCSP, backup, monitoramento ou comunicação de cluster. Lá, uma janela de teste com rollback é mais importante do que em redes de clientes normais.
Teste de Aceitação Antes da Implementação Ampla
Antes da implementação produtiva, deve estar claro como reconhecer uma implementação de Proteção DNS funcional. Apenas o link de teste da Sophos não é suficiente.
| Teste | Resultado Esperado |
|---|---|
| Resolver domínio público | Cliente consulta o firewall ou o resolvedor interno previsto |
| Resolver domínio AD interno | Consulta vai através da Rota de Solicitação DNS para servidores DNS internos |
| Testar pesquisa reversa | Zonas PTR internas continuam funcionando |
| Abrir domínio de teste bloqueado | Proteção DNS bloqueia e registra o acerto |
| Verificar logs no Sophos Central | Acertos aparecem na localização correta |
| Testar rede de convidados | Convidados usam o caminho DNS planejado e não servidores DNS internos |
| Testar cliente VPN | Split-DNS, domínios internos e públicos se comportam conforme planejado |
| Verificar DoH do navegador | Navegador ou sistema operacional não contornam o controle inesperadamente |
Se algum desses testes falhar, a política não deve ser aberta imediatamente. Primeiro, deve estar claro se o problema está no DHCP, Rotas de Solicitação DNS, atribuição de localização, perfil do cliente, DoH do navegador, túnel dividido VPN ou categorização de domínio.
7. Planejar Políticas e Listas de Domínios
A Proteção DNS pode bloquear domínios relevantes para segurança mesmo sem uma política própria, se o SophosLabs os classificar como ameaça ou risco de segurança. Políticas próprias complementam essa linha de base com diretrizes corporativas.
Perguntas típicas de política:
- Quais localizações recebem qual política?
- Quais categorias devem ser bloqueadas?
- Quais categorias são problemáticas apenas para determinados locais?
- Quais domínios devem ser explicitamente permitidos?
- Quem decide sobre falsos positivos?
- Quanto tempo as exceções permanecem válidas?
As listas de domínios devem ser mantidas de forma restrita. Uma lista de permissões ampla pode reduzir a eficácia da proteção. Uma lista de bloqueios ampla pode interromper processos de negócios. Cada lista precisa de propósito, proprietário e data de revisão.
Política de Filtragem ou Política de Proteção DNS de Endpoint?
No Sophos Central, existem dois níveis de política que não devem ser confundidos.
| Tipo de Política | Destinado a | Quando usar |
|---|---|---|
| Política de Filtragem | Filtragem DNS baseada em local, firewall ou rede | Para escritórios, firewalls, servidores DNS, redes de servidores, convidados, IoT e dispositivos sem Sophos Endpoint |
| Política de Proteção DNS de Endpoint | Proteção DNS baseada em endpoint através do Sophos Endpoint | Para clientes gerenciados, notebooks e usuários que devem ser protegidos fora da rede corporativa |
Uma política de filtragem é criada em DNS Protection > Policies > Filtering policies e atribuída a uma ou mais localizações ou firewalls. Apenas uma política de filtragem pode estar ativa por localização. Nesta política, define-se categorias, listas de domínios e opções adicionais como Safe Search.
Uma política de Proteção DNS de Endpoint utiliza o Sophos Endpoint. O Endpoint intercepta o tráfego DNS no dispositivo e o encaminha com segurança via HTTPS para a Proteção DNS. Assim, não é necessário configurar manualmente o cliente para os endereços IP de Proteção DNS. Os dispositivos são atribuídos a uma localização de Proteção DNS na política de Endpoint e são então controlados pela política de filtragem correspondente a essa localização.
Na prática, isso significa:
- Para um escritório com Sophos Firewall, a localização mais política de filtragem é o caminho de rede normal.
- Para clientes em roaming, a política de Proteção DNS de Endpoint é útil, pois a proteção pode ser aplicada fora da rede corporativa.
- Para ambientes mistos, combina-se ambas as abordagens: locais de firewall através de localizações, endpoints gerenciados adicionalmente através da Proteção DNS de Endpoint.
- Para domínios internos, devem ser mantidas exclusões de domínio nas políticas de Endpoint. A Sophos recomenda excluir explicitamente zonas internas, em vez de confiar apenas em uma nova tentativa NXDOMAIN.
- Páginas de bloqueio em endpoints requerem o Certificado Raiz de Proteção DNS. Com o Sophos Endpoint, o certificado pode ser distribuído automaticamente.
Quais Categorias Podem Ser Bloqueadas?
A Proteção DNS oferece categorias organizadas em grupos no Sophos Central. Algumas categorias são mais relacionadas à produtividade, outras são claramente relevantes para segurança. Os nomes permanecem em inglês, pois são exibidos assim no Sophos Central.
| Grupo de Categoria | Categorias Típicas | Recomendação |
|---|---|---|
| Categorias relacionadas à produtividade | Advertisements, Auctions & classified ads, Dynamic DNS & ISP sites, Entertainment, Fashion & beauty, Gambling, Games, Hobbies, Hunting & fishing, Kid’s sites, News, Online chat, Online shopping, Personal sites, Photo galleries, Portal sites, Religion & spirituality, Restaurants & dining, Sports, Stocks & trading, Surveillance, Travel, Society & culture, Vehicles | Permitir, bloquear ou restringir apenas para determinadas redes, dependendo da política da empresa. |
| Redes sociais | Blogs & forums, Personals & dating, Social networks | Geralmente não é uma questão puramente de segurança. Decidir conscientemente para redes produtivas, em vez de bloquear de forma geral. |
| Categorias adultas e potencialmente inapropriadas | Alcohol & tobacco, Controlled substances, Criminal activity, Download freeware & shareware, Extreme, Intellectual piracy, Intolerance & hate, Legal highs, Marijuana, Militancy & extremist, Nudity, Plagiarism, Pro-suicide & self harm, Sex education, Sexually explicit, Swimwear & lingerie, Weapons | Bloquear em muitos ambientes empresariais. Exceções apenas com justificativa clara. |
| Categorias que podem causar uso excessivo de largura de banda | Live audio, Live video, Peer-to-peer & torrents, Radio & audio hosting, Video hosting, Voice & video calls | Relevante para redes de convidados e clientes. Verificar ferramentas de colaboração antes para garantir que chamadas legítimas não sejam interrompidas. |
| Categorias de sites relevantes para negócios | General business, Business networking, Educational institutions, Financial services, Government, Health & medicines, Image search, Information technology, Job search, Military, NGOs & non-profits, Political organizations, Professional & workers organizations, Real estate, Reference, Search engines, Software updates, Translators | Geralmente permitir. Categorias individuais podem ser restritas em redes de alta segurança. |
| Infraestrutura | Content delivery, CRL and OCSP | Normalmente permitir. Essas categorias podem ser importantes para atualizações, verificação de certificados e muitos serviços em nuvem. |
| Ameaças e responsabilidades | Anonymizers, Hacking, Newly registered websites, Parked domains, Phishing & fraud, Spam URLs, Spyware & malware, Unauthorized software stores | Geralmente bloquear. Para falsos positivos, trabalhar com listas de domínios, não abrir grupos inteiros. |
| Perda de dados | Business cloud apps, Personal cloud apps, Personal network storage, Web E-mail | Fortemente dependente de DLP, nuvem e requisitos de conformidade. Tratar redes de servidores e administradores de forma mais rigorosa do que usuários normais. |
| Não categorizado | Uncategorized | Não bloquear cegamente. Avaliar primeiro, pois serviços novos ou internos legítimos podem ser não categorizados temporariamente. |
As listas de domínios têm prioridade sobre as categorias. Um domínio permitido em uma lista de domínios permanece permitido, mesmo que a categoria seja bloqueada. Um domínio bloqueado permanece bloqueado, mesmo que a categoria seja permitida. Portanto, as listas de domínios devem ser documentadas e revisadas regularmente.
8. Páginas de Bloqueio e Certificados
Para domínios bloqueados, a Proteção DNS pode exibir uma página de bloqueio HTTPS. Para que os usuários vejam essa página de bloqueio corretamente, o Certificado Raiz de Proteção DNS deve estar instalado de forma confiável nos dispositivos afetados.
Se a Inspeção TLS ou o filtro da Web estiver ativo no firewall, o planejamento de certificados e exceções deve corresponder. Para o CA do firewall, consulte Distribuir Certificado CA do Sophos Firewall para Inspeção TLS.
Se as páginas de bloqueio não forem exibidas, não deve-se ajustar imediatamente a política. Frequentemente, faltam certificados, o cliente usa um caminho DNS diferente, ou blockpage.dnsprotection.sophos.com é interrompido por outro controle.
Testar a Proteção DNS
O Sophos Central fornece um link de teste em DNS Protection > Installers. Se a configuração estiver correta, o navegador exibirá uma confirmação.
Além disso, deve-se testar de forma prática:
- O cliente usa o firewall como servidor DNS.
- O domínio público é resolvido através da Proteção DNS.
- O domínio interno é resolvido corretamente através da Rota de Solicitação DNS.
- O domínio de teste bloqueado é bloqueado.
- Os logs aparecem no Sophos Central.
- As consultas DNS aparecem no local correto.
- Servidores DNS alternativos não são usados.
- A rede VPN ou de convidados se comporta conforme planejado.
Para uma análise de erros real, não deve-se testar apenas o navegador. nslookup, dig, logs do firewall, leases DHCP e logs do Sophos Central juntos fornecem uma imagem melhor.
Comandos de Teste para Clientes
Em um cliente de teste, deve-se primeiro verificar qual servidor DNS está realmente sendo usado. Um teste de navegador bem-sucedido não é suficiente se o cliente usar paralelamente outro resolvedor, DoH ou um perfil VPN.
Windows:
ipconfig /all
nslookup example.com
nslookup example.com <firewall-ip>
Resolve-DnsName example.com
macOS:
scutil --dns
dig example.com
dig @<firewall-ip> example.com
Linux:
resolvectl status
dig example.com
dig @<firewall-ip> example.com
Deve-se substituir <firewall-ip> pelo endereço da interface interna do Sophos Firewall que deve servir como resolvedor DNS na rede respectiva. Se a consulta contra o firewall funcionar, mas a consulta normal usar outro resolvedor, o problema geralmente está no DHCP, perfil do sistema operacional, cliente VPN, DoH do navegador ou uma configuração DNS local.
Para domínios internos, deve-se realizar um teste adicional com uma zona interna:
dig @<firewall-ip> interner-host.corp.example.com
Este teste deve chegar ao servidor DNS interno através da Rota de Solicitação DNS apropriada. Se os domínios públicos funcionarem, mas os nomes internos não, a Proteção DNS raramente é a causa real. Nesse caso, devem-se verificar as Rotas de Solicitação DNS, servidores DNS internos, domínios de pesquisa e sufixos DNS do cliente.
Resolução de Problemas
Local Não Aparece no Sophos Central
Verifique se o IP WAN público ou o FQDN DDNS na localização está correto. Para várias linhas WAN, todas as endereços de saída relevantes devem ser considerados. Para endereços IP dinâmicos, pode haver pequenos atrasos até que a Proteção DNS reconheça a alteração.
Nomes Internos Não Funcionam Mais
Geralmente, faltam Rotas de Solicitação DNS ou os clientes não consultam o resolvedor esperado. Domínios AD internos, zonas reversas e domínios de aplicativos devem ser explicitamente encaminhados para servidores DNS internos.
Proteção DNS Bloqueia um Domínio Interno ou Legítimo
Primeiro, esclareça se o domínio é interno, público, mal categorizado ou realmente arriscado. Depois, verifique a lista de domínios e a política. Não defina uma regra de permissão ampla antes de conhecer a causa e os usuários afetados.
Logs Permanecem Vazios
Se nenhum log aparecer no Sophos Central, o cliente pode não estar usando a Proteção DNS. Verifique: DHCP, DNS do cliente, DNS do firewall, redirecionamento NAT, resolvedores alternativos, perfil VPN e se o local é reconhecido corretamente no Sophos Central.
Página de Bloqueio Não Aparece
Geralmente, o Certificado Raiz de Proteção DNS não está instalado, o cliente usa um caminho DNS diferente, ou outro controle de segurança está influenciando a conexão. A Inspeção TLS e a Proteção Web também devem ser verificadas.
DoH ou DNS Privado Contorna o Controle
Navegadores e sistemas operacionais podem usar DNS over HTTPS ou funções de DNS privado. Dependendo do ambiente, essas funções devem ser controladas por política de navegador, MDM ou sistema operacional. A Proteção DNS no caminho de rede só ajuda se as consultas realmente passarem pelo resolvedor previsto.
Clientes VPN Comportam-se Diferente dos Clientes LAN
Para clientes VPN, o comportamento depende fortemente do perfil. Túnel completo, túnel dividido, sufixos DNS, domínios de pesquisa e resolvedores locais do cliente podem influenciar a resolução de nomes. Se a Proteção DNS funcionar na LAN, mas não através da VPN, deve-se primeiro verificar o perfil VPN, servidores DNS atribuídos, sufixos DNS e regras de firewall. Para ambientes de acesso remoto, Sophos Connect ou SSL VPN: Qual solução de acesso remoto é adequada? pode ser adicionalmente adequado.
Recomendações Operacionais
A Proteção DNS deve ser operada como um controle de segurança, não como uma troca única de servidor DNS.
Do ponto de vista da Avanet, deve-se decidir honestamente antes se a Proteção DNS é realmente a ferramenta certa para o ambiente. Para muitas instalações clássicas de firewall, resolvedores DNS rápidos e redundantes mais Threat Feeds bem mantidos no firewall são a variante operacional mais robusta. A Proteção DNS vale a pena principalmente se a operação também quiser usar ativamente as políticas do Central, logs, categorias, listas de domínios e componente de endpoint.
Verificar regularmente:
- Localizações e endereços IP WAN estão corretos.
- DHCP continua distribuindo os servidores DNS corretos.
- Rotas de Solicitação DNS internas estão atualizadas.
- Políticas e listas de domínios têm proprietário e data de revisão.
- Logs são avaliados.
- Principais domínios bloqueados são verificados quanto a falsos positivos.
- Novos locais, redes VPN e redes de convidados são considerados no design.
Para temas de detecção, Operar NDR e Resposta a Ameaças Ativas do Sophos Firewall pode complementar. Para IPs, domínios e URLs maliciosos conhecidos no nível do firewall, os Threat Feeds do Sophos Firewall permanecem relevantes.
Lista de Verificação
- Licença de Proteção DNS do Sophos Central verificada.
- Local criado como localização.
- IP WAN público ou FQDN DDNS registrado corretamente.
- Endereços IP de Proteção DNS copiados do Central.
- Sophos Firewall usa Proteção DNS como encaminhador DNS.
- Domínios internos cobertos com Rotas de Solicitação DNS.
- DHCP distribui o firewall como resolvedor DNS.
- Desvio direto de DNS verificado e redirecionado por NAT, se necessário.
- Certificado Raiz de Proteção DNS planejado para páginas de bloqueio.
- Link de teste do Sophos Central verificado com sucesso.
- Logs e relatórios no Sophos Central controlados.
- Processo de falso positivo e revisão de lista de domínios definidos.