Ago0620206 Agosto 20207 Agosto 20200Commentidi Ermanno Goletto

Considerazioni sull’utilizzo di Sophos XG come DNS in un’infrastruttura Active Directory

Pubblicato in IT, Security

Nel caso si decida di adottare un firewall come Sophos XG che ha la possibilità di risolvere le query DNS per i client si pone il problema se utilizzare o meno questa funzionalità del firewall nel caso in cui i client siano membri del dominio. I client di dominio potrebbero infatti utilizzare i domain controller come server DNS i quali usano il firewall per query DNS esterne oppure i client di dominio potrebbero utilizzare il firewall come server DNS il quale è configurato per utilizzare i domain controller per le query relative al dominio Active Directory.

Un vantaggio di usare il firewall come server DNS per i client è che eventuali query dns relative a connessioni a server CNC (Command and Control) da parte di client infetti da APT (Advanced Persistent Threat) vengono girate al firewall che potrà così fornire alert con indicazione del cliente infetto. Nel caso invece il client utilizzasse il domain controller come server DNS le query dns relative a connessioni a server CNC (Command and Control) arriverebbero al firewall avendo come sorgente i domain controller e gli alert non potrebbero dare indicazioni circa il client probabilmente infetto da APT (Advanced Persistent Threat).

Uno svantaggio di usare il firewall come server DNS per i client è che le query relative al dominio Active Directory potrebbero risultare più lente a causa del fatto che il firewall esegue un inoltro verso i domain controller, ma molto dipende dall’hardware del firewall e dal suo normale carico di lavoro.

Se si decide di usare il firewall come server DNS per i client è comunque consigliabile impostare sui client i domain controller come server DNS secondari in questo modo nel caso in cui il firewall non fosse raggiungibile le risoluzioni DNS relative al dominio vengono comunque eseguite anche se con latenza maggiore.

Nel caso in cui si decida di usare i domain controller come server DNS per i client è comunque consigliabile usare il server firewall per le query esterne e non configurare inoltri su dns pubblici per proteggersi da attacchi di tipo DNS Poisoning e seguire le indicazioni contenute nella seguente KB Sophos UTM: Best practices for DNS Configuration anche se per Sophos UTM e non per Sophos XG:

  • DNS requests for users are cached both on the AD DNS server and the UTM, improving DNS performance.
  • By pointing your AD DNS server to the UTM, you will protect your internal DNS servers from DNS Poisoning.
  • If you assign the AD DNS server as the Primary DNS and the UTM as the Secondary DNS for your workstations, you provide DNS redundancy for your workstations.
  • Creating an internal DNS Request Route with a PTR will allow the UTM to generate hostnames instead of IP addresses in the Web Proxy and other reports.

Although not required if the above options have been configured, you may want to consider setting your workstations to use your internal DNS server as their DNS server rather than the UTM. Make sure the UTM is configured as a forwarder on your internal DNS server.

The result of this would be internal DNS requests would go directly to the DNS server rather than being relayed via the UTM. The tradeoff is external DNS requests would now have to be relayed via your internal DNS server to the UTM.

Per ulteriori informazioni circa le configurazioni della risoluzione DNS in Sophos XG si vedano:

[Update 01]

Nel caso si utilizzi il firewall come server DNS per i client Active Directory, il servizio DNS sui Domain Controller sia configurato per gli aggiornamenti dinamici in modalità “Secure Only” e venga utilizzato un DHCP Microsoft configurato per eseguire l’aggiornamento dinamico dei record A e PRT sul DNS solo se richiesto dai client (opzione 81) i record DNS dei client Active Directory non verranno aggiornati. In questo caso occorre configurare il DHCP o lo scope DHCP interessato per eseguire sempre aggiornamento dinamico dei record A e PRT sul DNS.