Konfigurera Sophos DNS Protection med Sophos Firewall
Sophos DNS Protection skyddar DNS-förfrågningar via en molnbaserad DNS-tjänst med policyer och rapportering i Sophos Central. Funktionen kan blockera skadliga domäner, nätfiske, Command-and-Control-mål och oönskade kategorier innan en klient ens ansluter till den faktiska webbplatsen eller infrastrukturen.
Med Sophos Firewall är den renaste standarduppsättningen oftast: Klienter använder brandväggen som DNS-upplösare, brandväggen vidarebefordrar offentliga DNS-förfrågningar till DNS Protection, och interna domäner skickas via DNS Request Routes till interna DNS-servrar. På så sätt förblir intern namnupplösning stabil, medan offentliga DNS-förfrågningar centralt kontrolleras och loggas.
DNS Protection ersätter inte Web Protection, inga Threat Feeds och ingen NDR. Det är ett eget skyddspunkt på DNS-nivå. Just därför bör man planera funktionen medvetet och inte bara byta ut offentliga DNS-servrar.
Videoguide
Avanet-översikt: Använd DNS Protection medvetet
DNS Protection är tekniskt intressant, men inte automatiskt det bästa valet i varje miljö. I många projekt använder vi medvetet inte DNS Protection som standard, utan föredrar snabba, hög tillgängliga DNS-upplösare och blockerar kända skadliga mål ytterligare via Sophos Firewall Threat Feeds eller jämförbara Threat-Intelligence-källor på brandväggen.
Anledningen är enkel: DNS är en grundläggande funktion. Om DNS är långsamt, inte fungerar redundant eller genererar för många falska positiva, känns det snabbt som om hela nätverket är trasigt för användarna. DNS-skydd måste därför inte bara vara säkert, utan också stabilt, snabbt, begripligt och lätt att hantera.
Beslutet beror på målet:
| Tillvägagångssätt | Styrka | Begränsning |
|---|---|---|
| Snabba och hög tillgängliga DNS-upplösare | Mycket bra prestanda, robust namnupplösning, låg driftsrisk | Ingen central DNS-policy och ingen DNS-rapportering i Sophos Central |
| Threat Feeds på Sophos Firewall | Kända skadliga mål kan blockeras vid perimetern utan att bygga om DNS-vägen | Inte samma sak som DNS-kategorifiltrering; kvalitet, justering och falska positiva-processer är viktiga |
| Sophos DNS Protection | DNS-policyer, kategorier, platser, loggar och Endpoint DNS Protection i Sophos Central | Ytterligare beroende i DNS-vägen; utrullning, certifikat, undantag och övervakning måste planeras noggrant |
DNS Protection passar särskilt bra när DNS-loggar i Sophos Central, platsbaserade DNS-policyer, kategorifiltrering eller Endpoint DNS Protection för roaming-klienter uttryckligen önskas. Om målet främst är snabb och hög tillgänglig namnupplösning med ytterligare blockering av kända dåliga mål, är bra DNS-upplösare plus Threat Feeds ofta den mer pragmatiska lösningen.
När DNS Protection är meningsfullt
DNS Protection är särskilt stark när många klienter går ut på internet via en central brandvägg eller en lokal DNS-upplösare.
Typiska användningsfall:
- Klienter ska inte använda valfria offentliga DNS-upplösare.
- Malware-, nätfiske- och C2-domäner ska blockeras tidigt.
- DNS-förfrågningar ska bli synliga i Sophos Central.
- Olika platser ska få egna DNS-policyer.
- Interna DNS-namn ska fortsätta fungera via lokala DNS-servrar.
- Web Protection ska kompletteras med en förhandskontroll av DNS.
DNS Protection är dock ingen ersättning för innehållsgranskning. Om en tillåten domän senare levererar skadligt innehåll eller HTTPS-trafik behöver granskas noggrannare, förblir Web Protection, TLS Inspection, IPS, Endpoint-skydd och loggning relevanta.
DNS Protection är inte idealiskt om man bara söker en snabb extern DNS-forwarder eller om det redan finns en mycket stabil DNS-drift med separata Threat Feeds, Web Protection, Endpoint-skydd och ren övervakning. Då bör man först undersöka vilket ytterligare mervärde DNS Protection faktiskt ger och vem som hanterar policy, undantag och falska positiva.
Arkitektur med Sophos Firewall
För Sophos Firewall är denna uppsättning oftast tydligast:
- Sophos Central känner till platsen som Location.
- Sophos Central tillhandahåller två DNS Protection IP-adresser.
- Sophos Firewall använder dessa IP-adresser som DNS-forwarder.
- Interna domäner skickas via DNS Request Routes till interna DNS-servrar.
- DHCP distribuerar brandväggen som DNS-upplösare till klienter.
- Valfritt tvingar en NAT-regel att utgående DNS-trafik omdirigeras till brandväggen.
- DNS Protection-loggar och rapporter utvärderas i Sophos Central.
Denna uppsättning säkerställer att klienter inte behöver konfigureras direkt till Sophos DNS-tjänsten. Brandväggen förblir den centrala upplösaren i LAN och kan hantera interna specialfall bättre.
Förutsättningar
Innan utrullningen bör dessa punkter klargöras:
- Sophos Central-åtkomst med behörighet för DNS Protection.
- Lämplig licens: Xstream Protection för fristående DNS-Protection eller Workspace Protection för Endpoint DNS-Protection.
- Offentlig WAN-IP eller ett stabilt FQDN/DDNS-namn för platsen.
- Sophos Firewall används som DNS-upplösare för de berörda näten eller ska bli det.
- Interna domäner, Active Directory-zoner och reverse lookups är kända.
- DHCP-servrar för klientnät är identifierade.
- Undantag för interna domäner och kritiska tjänster är planerade.
- Ansvariga för DNS-policy, falska positiva och loggning är definierade.
Om den offentliga IP-adressen ofta ändras bör man innan utrullningen klargöra om en DDNS-konfiguration är tillräckligt stabil. Sophos DNS Protection kan också identifiera platser via ett FQDN, men en IP-ändring kan ändå leda till tillfälliga avbrott.
1. Skapa en plats i Sophos Central
I Sophos Central skapas först platsen:
My Products > DNS Protection > Locations
Praktiskt förfarande:
- Välj
Add. - Ange platsnamn och beskrivning.
- Ange Sophos Firewalls offentliga WAN-IP.
- Vid flera WAN-gränssnitt, ange alla relevanta offentliga IP-adresser eller ett lämpligt område.
- Vid dynamisk IP, använd en DDNS-FQDN om designen bygger på det.
- Spara platsen.
Platsen är viktig eftersom DNS Protection måste tilldela inkommande DNS-förfrågningar till rätt kundkonto och policy. Om platsen saknas eller den offentliga IP-adressen inte stämmer, ser Sophos Central inte platsen korrekt.
2. Kopiera DNS Protection IP-adresser
DNS Protection IP-adresser finns i Sophos Central under:
My Products > DNS Protection > Installers
Där tillhandahålls två IP-adresser. Dessa används på Sophos Firewall som primär och sekundär DNS-server. Inga andra offentliga DNS-servrar ska anges som reserv om trafiken helt ska gå via DNS Protection. Annars kan DNS-servrar användas förbi DNS Protection beroende på upplösarens beteende, och skydd samt synlighet går förlorade.
3. Konfigurera Sophos Firewall DNS-forwarder
På Sophos Firewall:
Network > DNS
Rekommenderat förfarande:
- Välj
Static DNS. - Sätt
DNS 1till den första DNS Protection IP-adressen. - Sätt
DNS 2till den andra DNS Protection IP-adressen. - Lämna
DNS 3tom om inget medvetet specialfall finns. - Under IPv6, sätt inga separata IPv6-DNS-servrar om platsen ska använda de IPv4-baserade DNS-Protection-servrarna.
- Spara och tillämpa inställningen.
DNS Protection fungerar som en IPv4-baserad DNS-tjänst, men kan också lösa IPv6-adresser. Man behöver därför inte automatiskt en separat IPv6-DNS-server.
4. Skydda interna domäner med DNS Request Routes
DNS Protection löser inte interna domäner. Om Active Directory, interna applikationer, lokala zoner eller reverse lookups används i nätverket, måste dessa förfrågningar gå till interna DNS-servrar.
För detta används på Sophos Firewall:
Network > DNS > DNS request route
Exempel:
| Fält | Exempel |
|---|---|
| Host/domain name | firma.local eller corp.example.com |
| Target servers | interna domänkontrollanter eller DNS-servrar |
Utan dessa rutter skulle interna namn skickas till DNS Protection och inte lösas korrekt där. Den exakta proceduren finns i Konfigurera DNS Request Routes på Sophos Firewall.
För produktiva miljöer bör man dessutom överväga interna domäner i DNS Protection som en domänlista om domänen kan blockeras av en kategori. Typiska exempel är interna webbplatser eller tjänster som annars kan falla under problematiska kategorier som parkerade domäner.
5. Låt klienter peka på brandväggen via DHCP
Klienter bör använda Sophos Firewall som DNS-upplösare, inte direkt valfria externa upplösare.
Om Sophos Firewall tillhandahåller DHCP:
Network > DHCP
Praktiskt förfarande:
- Redigera DHCP-servern för det berörda gränssnittet.
- Distribuera IP-adressen för brandväggsgränssnittet som primär DNS-server.
- Distribuera inga externa DNS-servrar som alternativ klient-DNS om DNS Protection ska gälla konsekvent.
- Förnya DHCP-leasen eller anslut testklienten på nytt.
- Kontrollera med en testklient vilken DNS-server som faktiskt används.
Om en Windows-DNS-server eller annan intern upplösare används, kan denna upplösare vidarebefordra till DNS Protection istället för klienterna. Då måste det dock vara klart var interna domäner löses och vilken server som vidarebefordrar offentliga förfrågningar.
6. Förhindra direkt DNS-kringgående
Många klienter använder den DNS-server som distribueras via DHCP. Vissa enheter, webbläsare, IoT-system eller avsiktligt konfigurerade klienter kan dock använda egna DNS-servrar.
En möjlig motåtgärd är en NAT-regel som omdirigerar utgående DNS-trafik från interna nät till brandväggen. Praktiskt innebär det: DNS-trafik från de interna källnäten styrs via DNAT till den interna brandväggsadressen så att förfrågan kan utvärderas via DNS Protection.
Viktigt:
- Endast interna källnät ska omfattas.
- Använd inga WAN-gränssnitt som Inbound interface.
- Placera regeln medvetet mycket högt upp.
- Dokumentera undantag för interna DNS-servrar och specialfall.
- Testa sedan om intern DNS-upplösning, DNS Protection och loggar fortfarande stämmer.
Grunderna för NAT finns i Förstå NAT på Sophos Firewall. En DNS-tvingande åtgärd bör inte aktiveras blint eftersom den kan påverka interna upplösare, VPN-klienter, DoH/DoT-beteende eller specialenheter.
Planera utrullning i faser
DNS Protection bör inte omedelbart tvingas för alla nät samtidigt. DNS är en grundläggande funktion: Om interna namn, certifikatkontroller, programuppdateringar eller SaaS-tjänster inte längre löses korrekt, känns det snabbt som ett allmänt internetavbrott.
En kontrollerad utrullning ser i praktiken ut så här:
- Välj ett pilotnät eller en liten testgrupp.
- Dokumentera interna domäner, reverse-zoner och sökdomäner.
- Ställ in DNS Request Routes för interna zoner.
- Distribuera brandväggen som DNS-upplösare via DHCP.
- Sätt DNS Protection IP-adresser på brandväggen.
- Installera blockeringssidor-certifikatet på testklienter.
- Kontrollera loggar i Sophos Central.
- Först därefter inkludera fler nät, gästnät, servernät eller VPN-nät.
För servernät bör man vara särskilt försiktig. Vissa system använder DNS för licenskontroll, uppdateringar, CRL/OCSP, backup, övervakning eller klusterkommunikation. Där är ett testfönster med rollback viktigare än i vanliga klientnät.
Acceptanstest före bred utrullning
Innan den produktiva utrullningen bör det vara klart hur man känner igen en fungerande DNS-Protection-implementering. Endast Sophos-testlänken räcker inte för detta.
| Test | Förväntat resultat |
|---|---|
| Lös en offentlig domän | Klienten frågar brandväggen eller den avsedda interna upplösaren |
| Lös en intern AD-domän | Förfrågan går via DNS Request Route till interna DNS-servrar |
| Testa reverse lookup | interna PTR-zoner fungerar fortfarande |
| Öppna en blockerad testdomän | DNS Protection blockerar och loggar träffen |
| Kontrollera loggar i Sophos Central | Träffar visas på rätt plats |
| Testa gästnät | Gäster använder den planerade DNS-vägen och inga interna DNS-servrar |
| Testa VPN-klient | Split-DNS, interna domäner och offentliga domäner beter sig som planerat |
| Kontrollera webbläsar-DoH | Webbläsaren eller operativsystemet kringgår inte kontrollen oväntat |
Om något av dessa tester misslyckas bör man inte omedelbart öppna policyn. Först måste det vara klart om problemet ligger hos DHCP, DNS Request Routes, platsallokering, klientprofil, webbläsar-DoH, VPN-split-tunnel eller domänkategorisering.
7. Planera policyer och domänlistor
DNS Protection kan blockera säkerhetsrelevanta domäner även utan egen policy om SophosLabs klassificerar dem som hot eller säkerhetsrisk. Egna policyer kompletterar denna baslinje med företagsriktlinjer.
Typiska policyfrågor:
- Vilka platser får vilken policy?
- Vilka kategorier ska blockeras?
- Vilka kategorier är bara problematiska för vissa platser?
- Vilka domäner måste uttryckligen tillåtas?
- Vem beslutar om falska positiva?
- Hur länge förblir undantag giltiga?
Domänlistor bör föras noggrant. En bred tillåtelselista kan minska skyddseffekten. En bred blocklista kan störa affärsprocesser. Varje lista behöver syfte, ägare och granskningsdatum.
Filtreringspolicy eller Endpoint DNS Protection Policy?
I Sophos Central finns två policynivåer som man inte bör förväxla.
| Policytyp | Avsedd för | När använda |
|---|---|---|
| Filtreringspolicy | Plats-, brandväggs- eller nätverksbaserad DNS-filtrering | För kontor, brandväggar, DNS-servrar, servernät, gäster, IoT och enheter utan Sophos Endpoint |
| Endpoint DNS Protection policy | Endpoint-baserad DNS-Protection via Sophos Endpoint | För hanterade klienter, bärbara datorer och användare som också ska skyddas utanför företagsnätverket |
En filtreringspolicy skapas under DNS Protection > Policies > Filtering policies och tilldelas en eller flera platser eller brandväggar. Endast en filtreringspolicy kan vara aktiv per plats. I denna policy definierar man kategorier, domänlistor och ytterligare alternativ som Safe Search.
En Endpoint DNS Protection policy använder Sophos Endpoint. Endpoint fångar DNS-trafik på enheten och vidarebefordrar den säkert via HTTPS till DNS Protection. Därmed behöver man inte manuellt konfigurera klienten på DNS-Protection-IP-adresserna. Enheterna tilldelas i Endpoint-policyn en DNS-Protection-plats och styrs sedan av den filtreringspolicy som är kopplad till denna plats.
Praktiskt innebär detta:
- För ett kontor med Sophos Firewall är plats plus filtreringspolicy den normala nätverksvägen.
- För roaming-klienter är Endpoint DNS Protection policy lämplig eftersom skyddet också kan gälla utanför företagsnätverket.
- För blandade miljöer kombinerar man båda tillvägagångssätten: Brandväggsplatser via platser, hanterade endpoints dessutom via Endpoint DNS Protection.
- För interna domäner bör man i Endpoint-policys underhålla domänundantag. Sophos rekommenderar att uttryckligen utesluta interna zoner istället för att bara förlita sig på en NXDOMAIN-återförsök.
- Blockeringssidor på endpoints kräver DNS Protection Root Certificate. Med Sophos Endpoint kan certifikatet distribueras automatiskt.
Vilka kategorier kan man blockera?
DNS Protection erbjuder kategorier som i Sophos Central är organiserade i grupper. Vissa kategorier är mer produktivitetsrelaterade, andra är tydligt säkerhetsrelevanta. Namnen förblir medvetet på engelska eftersom de visas så i Sophos Central.
| Kategorigrupp | Typiska kategorier | Rekommendation |
|---|---|---|
| Productivity-related categories | Advertisements, Auctions & classified ads, Dynamic DNS & ISP sites, Entertainment, Fashion & beauty, Gambling, Games, Hobbies, Hunting & fishing, Kid’s sites, News, Online chat, Online shopping, Personal sites, Photo galleries, Portal sites, Religion & spirituality, Restaurants & dining, Sports, Stocks & trading, Surveillance, Travel, Society & culture, Vehicles | Tillåt, blockera eller begränsa beroende på företagspolicy. |
| Social networking | Blogs & forums, Personals & dating, Social networks | Vanligtvis ingen ren säkerhetsfråga. För produktiva nät, fatta medvetna beslut istället för att blockera generellt. |
| Adult and potentially inappropriate categories | Alcohol & tobacco, Controlled substances, Criminal activity, Download freeware & shareware, Extreme, Intellectual piracy, Intolerance & hate, Legal highs, Marijuana, Militancy & extremist, Nudity, Plagiarism, Pro-suicide & self harm, Sex education, Sexually explicit, Swimwear & lingerie, Weapons | Blockera i många företagsmiljöer. Undantag endast med tydlig motivering. |
| Categories likely to cause excessive bandwidth usage | Live audio, Live video, Peer-to-peer & torrents, Radio & audio hosting, Video hosting, Voice & video calls | Ofta relevant för gäst- och klientnät. Kontrollera samarbetsverktyg i förväg så att legitima samtal inte störs. |
| Business-relevant site categories | General business, Business networking, Educational institutions, Financial services, Government, Health & medicines, Image search, Information technology, Job search, Military, NGOs & non-profits, Political organizations, Professional & workers organizations, Real estate, Reference, Search engines, Software updates, Translators | Tillåt oftast. Enskilda kategorier kan begränsas i högsäkerhetsnät. |
| Infrastructure | Content delivery, CRL and OCSP | Tillåt normalt. Dessa kategorier kan vara viktiga för uppdateringar, certifikatkontroll och många molntjänster. |
| Threats and liabilities | Anonymizers, Hacking, Newly registered websites, Parked domains, Phishing & fraud, Spam URLs, Spyware & malware, Unauthorized software stores | Blockera vanligtvis. Vid falska positiva, arbeta med domänlistor istället för att öppna hela grupper. |
| Data loss | Business cloud apps, Personal cloud apps, Personal network storage, Web E-mail | Stark beroende av DLP-, moln- och efterlevnadskrav. Behandla ofta striktare för server- och adminnät än för vanliga användare. |
| Uncategorized | Uncategorized | Blockera inte blint. Utvärdera först eftersom legitima nya eller interna tjänster kan vara okategoriserade kortvarigt. |
Domänlistor har företräde framför kategorier. En tillåten domän i en domänlista förblir tillåten även om kategorin skulle blockeras. En blockerad domän förblir blockerad även om kategorin skulle tillåtas. Därför bör domänlistor dokumenteras och regelbundet granskas.
8. Blockeringssidor och certifikat
För blockerade domäner kan DNS Protection visa en HTTPS-blockeringssida. För att användare ska se denna blockeringssida korrekt måste DNS Protection Root Certificate vara betrott installerat på de berörda enheterna.
Om dessutom TLS Inspection eller webbfiltrering är aktiv på brandväggen måste certifikat- och undantagsplaneringen matcha. För brandväggs-CA passar Distribuera Sophos Firewall CA-certifikat för TLS Inspection.
Om blockeringssidor inte visas bör man inte omedelbart ändra policyn. Ofta saknas certifikat, klienten använder en annan DNS-väg, eller blockpage.dnsprotection.sophos.com störs av en annan kontroll.
Testa DNS Protection
Sophos Central tillhandahåller en testlänk under DNS Protection > Installers. Om konfigurationen är korrekt visar webbläsaren en bekräftelse.
Dessutom bör man testa praktiskt:
- Klienten använder brandväggen som DNS-server.
- Offentlig domän löses via DNS Protection.
- Intern domän löses korrekt via DNS Request Route.
- Blockerad testdomän blockeras.
- Loggar visas i Sophos Central.
- DNS-förfrågningar visas på rätt plats.
- Alternativa DNS-servrar används inte.
- VPN- eller gästnät beter sig som planerat.
För verklig felsökning bör man inte bara testa webbläsaren. nslookup, dig, brandväggsloggar, DHCP-leaser och Sophos Central-loggar tillsammans ger en bättre bild.
Testkommandon för klienter
På en testklient bör man först kontrollera vilken DNS-server som verkligen används. Ett lyckat webbläsartest räcker inte om klienten parallellt använder en annan upplösare, DoH eller en VPN-profil.
Windows:
ipconfig /all
nslookup example.com
nslookup example.com <firewall-ip>
Resolve-DnsName example.com
macOS:
scutil --dns
dig example.com
dig @<firewall-ip> example.com
Linux:
resolvectl status
dig example.com
dig @<firewall-ip> example.com
Där <firewall-ip> ska ersättas med den interna gränssnittsadressen för Sophos Firewall som ska fungera som DNS-upplösare i det aktuella nätet. Om förfrågan mot brandväggen fungerar men den normala förfrågan använder en annan upplösare, ligger problemet oftast hos DHCP, operativsystemprofil, VPN-klient, webbläsar-DoH eller en lokal DNS-konfiguration.
För interna domäner bör man dessutom göra ett test med en intern zon:
dig @<firewall-ip> interner-host.corp.example.com
Detta test måste landa hos den interna DNS-servern via den lämpliga DNS Request Route. Om offentliga domäner fungerar men interna namn inte gör det, är DNS Protection sällan den egentliga orsaken. Då bör DNS Request Routes, interna DNS-servrar, sökdomäner och klient-DNS-suffix kontrolleras.
Felsökning
Platsen visas inte i Sophos Central
Kontrollera om den offentliga WAN-IP eller DDNS-FQDN i platsen stämmer. Vid flera WAN-linjer måste alla relevanta utgångsadresser beaktas. Vid dynamiska IP-adresser kan det finnas korta fördröjningar innan DNS Protection känner igen ändringen.
Interna namn fungerar inte längre
Då saknas oftast DNS Request Routes eller klienterna frågar inte den förväntade upplösaren. Interna AD-domäner, reverse-zoner och applikationsdomäner bör uttryckligen vidarebefordras till interna DNS-servrar.
DNS Protection blockerar en intern eller legitim domän
Först klargöra om domänen är intern, offentlig, felaktigt kategoriserad eller faktiskt riskabel. Därefter kontrollera domänlista och policy. Sätt ingen bred tillåtelseregel innan orsaken och de berörda användarna är kända.
Loggar förblir tomma
Om inga loggar visas i Sophos Central använder klienten förmodligen inte DNS Protection. Kontrollera: DHCP, klient-DNS, brandväggs-DNS, NAT-omdirigering, alternativa upplösare, VPN-profil och om platsen i Sophos Central känns igen korrekt.
Blockeringssida visas inte
Då är ofta DNS Protection Root Certificate inte installerat, klienten använder en annan DNS-väg, eller en annan säkerhetskontroll påverkar anslutningen. Även TLS Inspection och Web Protection bör kontrolleras.
DoH eller privat DNS kringgår kontrollen
Webbläsare och operativsystem kan använda DNS over HTTPS eller privata DNS-funktioner. Beroende på miljön måste man styra dessa funktioner via webbläsar-, MDM- eller operativsystempolicy. DNS Protection på nätverksvägen hjälper bara om förfrågningarna faktiskt går via den avsedda upplösaren.
VPN-klienter beter sig annorlunda än LAN-klienter
För VPN-klienter beror beteendet starkt på profilen. Full Tunnel, Split Tunnel, DNS-suffix, sökdomäner och klientens lokala upplösare kan påverka namnupplösningen. Om DNS Protection fungerar i LAN men inte över VPN, bör man först kontrollera VPN-profil, tilldelade DNS-servrar, DNS-suffix och brandväggsregler. För fjärråtkomstmiljöer passar dessutom Sophos Connect eller SSL VPN: Vilken fjärråtkomstlösning passar?.
Driftrekommendation
DNS Protection bör drivas som en säkerhetskontroll, inte som ett engångsbyte av DNS-server.
Ur Avanets synvinkel bör man ärligt besluta i förväg om DNS Protection verkligen är rätt verktyg för miljön. För många klassiska brandväggsinstallationer är snabba, redundanta DNS-upplösare plus väl underhållna Threat Feeds på brandväggen den mer robusta driftsvarianten. DNS Protection är särskilt värt det om driften också aktivt vill använda Central-policyer, loggar, kategorier, domänlistor och Endpoint-komponenten.
Regelbundet kontrollera:
- Platser och WAN-IP-adresser stämmer.
- DHCP distribuerar fortfarande rätt DNS-servrar.
- Interna DNS Request Routes är aktuella.
- Policyer och domänlistor har ägare och granskningsdatum.
- Loggar utvärderas.
- Blockerade toppdomäner kontrolleras för falska positiva.
- Nya platser, VPN-nät och gästnät är beaktade i designen.
För detektionsteman kan Driva Sophos Firewall NDR och Active Threat Response komplettera. För kända skadliga IPs, domäner och URL:er på brandväggsnivå förblir Sophos Firewall Threat Feeds relevanta.
Checklista
- Sophos Central DNS Protection-licens kontrollerad.
- Plats skapad som Location.
- Offentlig WAN-IP eller DDNS-FQDN korrekt angiven.
- DNS Protection IP-adresser kopierade från Central.
- Sophos Firewall använder DNS Protection som DNS-forwarder.
- Interna domäner täcks av DNS Request Routes.
- DHCP distribuerar brandväggen som DNS-upplösare.
- Direkt DNS-kringgående kontrollerad och vid behov omdirigerad via NAT.
- DNS Protection Root Certificate för blockeringssidor planerad.
- Testlänk från Sophos Central framgångsrikt kontrollerad.
- Loggar och rapporter i Sophos Central kontrollerade.
- Falska positiva-process och domänlistgranskning definierad.