DNS Verkehr als Sophos Live-Schutz anerkannt
10090
Created On 02/09/21 16:35 PM - Last Modified 07/03/24 04:19 AM
Symptom
Firewall Ist so konfiguriert, dass nur DNS-Datenverkehr auf udp-Port 53
Firewall anderen Datenverkehr auf udp-Port 53 mit Anwendung sophos-live-protection absetzt
Paketerfassung des DNS-Datenverkehrs, der vom FW sophos-live-Traffic kategorisiert wird, zeigt eine DNS Abfrage für sophosxl.net
Environment
FW 8.1.x weiter
Cause
Dies ist ein legitimer Drop und durch Designverhalten, da die Paketerfassung zeigt, dass dies in der Tat SXL sophos-Datenverkehr ist.
Resolution
Lösungen für dieses Problem wären eine der drei aufgeführten Optionen:
- Deaktivieren Sie Sophos-Anwendungen von allen Hosts (in diesem Fall interner DNS Server), wenn das Unternehmen beabsichtigt, keine Endpunkte für diese Anwendung zu verwenden, und stellen Sie sicher, dass die Deinstallation ordnungsgemäß durchgeführt wurde.
- Schließen Sie sophos-live-schutz in die allow dns-Regel ein.
- Wenn der interne Server und Server für die DNS Wiederverwendung derselben Quellports konfiguriert ist, ändern Sie den Server so, dass er für jede Abfrage unterschiedliche Quellports verwendet, sodass der firewall nicht sophos-Datenverkehr nicht fälschlicherweise als sophos-live-schutzentspricht.
Additional Information
https://docs.sophos.com/msg/pmx/help/en-us/msg/pmx/glossentries/sxl.html