Configurar Sophos Firewall para utilizar DNS Protection
Si utiliza Sophos Firewall como servidor DNS, puede configurar el firewall para que utilice DNS Protection como reenviador DNS.
Pasos clave
Los pasos clave para configurar Sophos Firewall con DNS Protection son los siguientes:
- Añadir Sophos Firewall como ubicación en Sophos Central.
- Copiar de Sophos Central las direcciones IP de DNS Protection.
- Añadir las direcciones IP de DNS Protection en Sophos Firewall.
- Añadir una ruta de solicitud de DNS en Sophos Firewall si utiliza un servidor DNS interno para resolver solicitudes de DNS locales.
- Configurar los dispositivos de red para que utilicen Sophos Firewall como solucionador de DNS.
- (Opcional) Crear una regla NAT para reenviar el tráfico DNS saliente al solucionador de DNS del firewall.
Configuración en Sophos Central
En Sophos Central, añada el firewall como ubicación y copie las direcciones IP de DNS Protection.
Añadir Sophos Firewall como ubicación en Sophos Central
Para añadir Sophos Firewall como ubicación, haga lo siguiente:
- Vaya a Mis productos > DNS Protection > Ubicaciones.
- Haga clic en Añadir.
- Introduzca un nombre y una descripción para la ubicación.
-
En Direcciones IPv4 o FQDN, según la configuración de la red, siga los siguientes pasos:
- Si su firewall tiene una única interfaz WAN, añada la dirección IP de la interfaz WAN.
- Si su firewall tiene varias interfaces WAN, añada todas esas direcciones IP o añada un rango de direcciones IP.
- Si la dirección IP del firewall es dinámica, añada el nombre de host del firewall registrado con el proveedor de DNS dinámico (DDNS). Consulte DNS dinámico.
-
Haga clic en Guardar.
Copiar las direcciones IP de DNS Protection
En Sophos Central, copie las direcciones IP de DNS Protection. Las necesita para configurar Sophos Firewall para que utilice DNS Protection.
Para copiar las direcciones IP de DNS Protection, haga lo siguiente:
- Vaya a Mis productos > DNS Protection > Instaladores.
-
Junto a Direcciones IP, haga clic en Copiar.
Copie dos direcciones IP. Puede utilizarlas como direcciones IP primaria y secundaria de DNS Protection para configurar la redundancia.
Configuración de Sophos Firewall
En el firewall, haga lo siguiente:
- Añadir las direcciones IP de DNS Protection en Sophos Firewall.
- Añadir una ruta de solicitud de DNS si utiliza un servidor DNS local.
- Configurar los dispositivos de red para que utilicen el firewall como solucionador de DNS.
Añadir las direcciones IP de DNS Protection en Sophos Firewall
Para configurar el firewall para que utilice DNS Protection, añada al firewall las direcciones IP de DNS Protection que ha copiado de Sophos Central.
Para añadir las direcciones IP de DNS Protection en Sophos Firewall, haga lo siguiente:
- Vaya a Red > DNS.
- Seleccione DNS estático.
-
En DNS 1, introduzca la dirección IP que desea utilizar como servidor de DNS Protection principal.
Esta debe ser una de las direcciones IP que copió de Sophos Central.
-
En DNS 2, introduzca la dirección IP que desea utilizar como servidor de DNS Protection secundario.
Esta debe ser una de las direcciones que copió de Sophos Central.
Nota
Le recomendamos que no añada ningún otro servidor DNS en DNS 3. Si el firewall cambia al tercer servidor DNS, perderá la protección que ofrece DNS Protection.
-
Compruebe que los servidores DNS IPv6 no están configurados.
En IPv6, haga lo siguiente:
- Seleccione DNS estático.
- Deje DNS 1, DNS 2 y DNS 3 en blanco.
- Marque la opción Seleccione servidor DNS IPv4 sobre IPv6.
-
Haga clic en Aplicar.
Nota
Las direcciones IP que se muestran en la captura son solo ejemplos. Debe usar las direcciones IP que copió de Sophos Central.
Añadir una ruta de solicitud de DNS
DNS Protection no resuelve las solicitudes de DNS locales. Por lo tanto, si está utilizando un servidor DNS interno para resolver las solicitudes de DNS locales, debe añadir una ruta de solicitud de DNS en el firewall.
Al añadir una ruta de solicitud de DNS, el firewall resuelve las solicitudes de DNS de la siguiente manera:
- Todas las solicitudes de los usuarios van al firewall.
- El firewall envía las solicitudes locales a un servidor DNS interno basado en el dominio.
- El firewall envía las solicitudes de DNS públicas a DNS Protection.
- El firewall envía las respuestas de todas las solicitudes de DNS de vuelta a los usuarios.
En la ruta de solicitud de DNS, especifique el dominio local y el servidor DNS interno.
Para añadir una ruta de solicitud de DNS, haga lo siguiente:
- Vaya a Red > DNS.
- En Ruta de solicitud de DNS, haga clic en Añadir.
- En Nombre de dominio/host, introduzca el dominio local.
- En Servidores de destino, seleccione el servidor DNS interno.
- Haga clic en Guardar.
Configurar los dispositivos de red para que utilicen Sophos Firewall como solucionador de DNS
Actualice los servidores DHCP del firewall para que sus dispositivos de red utilicen el firewall como solucionador de DNS.
Para actualizar los servidores DHCP del firewall, haga lo siguiente:
- Vaya a Red > DHCP.
-
En Servidor, seleccione un servidor DHCP configurado y haga clic en Editar
para realizar cambios.
-
En Interfaz, tome nota de la dirección IP de la interfaz DHCP seleccionada.
-
En Servidor DNS, configure el servidor de la siguiente manera:
- No seleccione Usar configuración DNS de dispositivo.
- En DNS primario, introduzca la dirección IP de la interfaz DHCP que anotó en Interfaz.
- En DNS secundario, introduzca la dirección IP pública de DNS Protection. Esta debe ser una de las direcciones IP de DNS Protection que copió de Sophos Central.
-
Haga clic en Guardar.
- Repita estos pasos para todos los servidores DHCP configurados en el firewall.
Crear una regla NAT para reenviar el tráfico DNS saliente al solucionador de DNS del firewall
Incluso después de configurar todos los servidores DHCP, es posible que algunos dispositivos de la red estén configurados para utilizar un solucionador de DNS de terceros, ya sea mediante una configuración legítima o maliciosa. Por lo tanto, puede crear una regla NAT para reenviar todo el tráfico DNS saliente de su red interna al solucionador de DNS del firewall.
Para configurar una regla NAT, haga lo siguiente:
- Vaya a Reglas y políticas > Reglas NAT y seleccione IPv4.
- Haga clic en Añadir regla NAT y, a continuación, seleccione Nueva regla NAT.
- Introduzca un nombre para la regla y establezca Posición de regla en Superior.
- En Origen original, seleccione todas sus redes internas.
- En Destino original, seleccione el grupo de hosts de salida. También puede seleccionar en su lugar el grupo de hosts integrado Grupo IPv4 de Internet.
- En Servicio original, seleccione DNS.
- En Destino traducido (DNAT), seleccione o añada la dirección IP de una de las interfaces internas del firewall.
-
En Interfaz de entrada, seleccione las interfaces de firewall correspondientes a las redes de origen que ha configurado en Origen original.
Nota
No seleccione el puerto WAN ni ninguna interfaz WAN si tiene varias interfaces WAN en el firewall.
-
Haga clic en Guardar.
Más recursos