Sophos DNS Protection, un service central innovant de Sophos, est désormais inclus gratuitement dans le bundle Sophos Firewall avec Xstream Protection. Après une période de tests approfondis, nous partageons nos impressions et notre expérience dans cet article.
Sophos DNS Protection – Dashboard
Fonctionnalité de Sophos DNS Protection
Sophos DNS Protection est une solution de sécurité basée sur le cloud qui bloque l'accès aux domaines non sécurisés et indésirables sur tous les ports, protocoles et applications. Facile à déployer en quelques minutes, ce service complète efficacement les solutions de sécurité réseau existantes.
Avec son intelligence des menaces en temps réel et ses fonctions de reporting détaillées, Sophos DNS Protection protège contre les domaines malveillants et indésirables. Au cœur de ce service de Sophos Central se trouve une couche de protection supplémentaire qui empêche l'accès aux domaines compromis ou malveillants, que les connexions soient chiffrées ou non. Cette approche proactive améliore considérablement le niveau de sécurité dès le niveau DNS, allant bien au-delà des méthodes de sécurité Web traditionnelles.
Configuration en 3 étapes
La configuration de Sophos DNS Protection est très simple et ne prend que quelques minutes.
On commence par configurer les adresses IP des réseaux ou les noms d’hôtes dynamiques afin de s’assurer que DNS Protection détecte l’origine des requêtes DNS. On attribue ensuite ces sites aux politiques correspondantes pour activer la protection.
1. Ajouter un site
Pour que les serveurs DNS Sophos puissent associer les requêtes aux politiques et au compte utilisateur pour les rapports, vous devez d’abord capturer l’emplacement et l’adresse IP publique ou le nom DNS correspondant.
2. Personnaliser le serveur DNS
Pour utiliser Sophos DNS Protection, vous devez enregistrer les serveurs DNS Sophos sur le routeur, le serveur DNS ou le pare-feu. Vous saisissez les adresses IP comme serveurs DNS sur le périphérique réseau afin que toutes les requêtes DNS soient acheminées via Sophos DNS Protection.
Pour s’assurer que les pages de blocage s’affichent correctement, vous téléchargez le certificat fourni et le distribuez sur les appareils en tant qu’autorité de certification racine de confiance.
Nous avons déjà expliqué le processus de distribution du certificat pour Sophos Firewall dans un guide. Pour la protection DNS, seul un autre certificat est désormais utilisé.
3. filtrage par catégorie de sites
La troisième étape consiste à créer les politiques. Ici, vous pouvez définir quelles catégories de sites web doivent être bloquées. La protection DNS filtre toujours les sites Web qui présentent un risque pour la sécurité, mais vous pouvez définir des options de filtrage supplémentaires. Ces politiques peuvent être définies par site, ce qui permet d’adapter plus précisément les politiques de sécurité aux besoins spécifiques de chaque réseau.
Sophos DNS Protection permet de créer des listes de domaines personnalisées. Si un utilisateur doit accéder à une page bloquée, vous pouvez créer une liste d’exceptions spéciale et modifier la politique en conséquence. Par exemple, il est possible de créer une liste d’exceptions spéciales qui autorise certains domaines tout en continuant à en bloquer d’autres.
Test
Sophos DNS Protection bloque immédiatement l’accès aux domaines non sûrs et indésirables. Cela se produit à la fois pour les appareils gérés et non gérés et protège entièrement votre réseau contre les activités de domaine malveillantes. Grâce à l’intelligence des menaces en temps réel des SophosLabs, vous pouvez vous assurer que votre organisation est toujours protégée contre les dernières menaces.
Dans la vidéo de Sophos, les étapes de la configuration sont expliquées à nouveau
Rapports
Avec DNS Protection, vous obtenez des informations détaillées sur les domaines visités par votre réseau. Les fonctions de reporting de Sophos Central vous permettent de surveiller à tout moment l’état de sécurité de votre réseau. Vous obtenez des rapports sur les domaines autorisés et bloqués ainsi que sur le nombre total de requêtes DNS.
Sophos DNS Protection – Erlaubte Domains
Sophos DNS Protection – Policy blocks
L’outil de création de rapports fonctionne de manière similaire à l’outil de création de rapports de pare-feu de Sophos Central. Vous pouvez également définir des filtres, rechercher des entrées spécifiques et créer des modèles pour des requêtes récurrentes. Il est également possible de recevoir des rapports par e-mail.
Plus de données pour XDR et MDR
Les données DNS collectées par Sophos DNS Protection sont transférées vers le Sophos Data Lake. Ainsi, ces données peuvent être utilisées avec les outils XDR ou aider les analystes MDR à détecter les attaquants actifs et les menaces sur le réseau.
Licence
La protection DNS est actuellement disponible pour tous les clients Sophos Firewall qui ont souscrit une licence pour le bundle Xstream Protection.
Cependant, Sophos écrit également que la première version est gratuite. Je peux donc facilement imaginer que, lorsque le produit sera un peu plus mature, des fonctions supplémentaires nécessiteront une licence supplémentaire, tout comme pour le rapport de pare-feu.
Conclusion / opinion
Sophos DNS Protection est une solution simple et efficace qui fonctionne de manière fiable dans sa version 1 et constitue une alternative plus sûre à 8.8.8.8, 1.1.1.1 et 9.9.9.9. Néanmoins, certains domaines pourraient être améliorés :
Vitesse: Les serveurs DNS Sophos ont actuellement une latence plus longue, mais cela est dû au fait que Sophos n’a pas encore fourni beaucoup de POP. Toutefois, il est prévu d’y travailler au cours des prochains mois.
Filtre: Actuellement, il n’y a qu’une seule possibilité de filtrer les domaines. Il n’existe pas de listes prédéfinies pour les applications, les publicités ou les liens de suivi, ce qui limite les possibilités de filtrage.
Mobile: contrairement à « Cisco Umbrella DNS » ou « NextDNS », Sophos DNS Protection ne permet pas de protéger les appareils mobiles.
Sécurité synchronisée: de nombreux administrateurs connaissent le problème des utilisateurs qui signalent que des sites Web légitimes sont bloqués et qu’un déblocage doit être créé. Beaucoup de nos clients utilisent Sophos Firewall et Sophos Endpoint avec le contrôle Web activé, ce qui leur permet de disposer d’un filtrage de contenu même en déplacement ou dans leur bureau à domicile. Toutefois, les paramètres de ces deux systèmes ne sont pas synchronisés. Avec DNS Protection, un troisième service s’ajoute à la liste et doit également être géré.