DNS tráfico reconocido como sophos protección en vivo

DNS tráfico reconocido como sophos protección en vivo

9962
Created On 02/09/21 16:35 PM - Last Modified 07/03/24 04:19 AM


Symptom


Firewall se configura para permitir solamente el tráfico DNS en el puerto udp 53
Firewall está dejando caer otro tráfico en el puerto udp 53 con la captura de paquetes sophos-live-protection de la aplicación del tráfico dns
categorizado por el as FW sophos-live-traffic muestra una DNS consulta para sophosxl.net
Imagen de usuario añadido

Environment


FW 8.1.x hacia adelante

Cause


Esto es la caída legítima y por el comportamiento del diseño como la captura de paquetes muestra que esto es realmente SXL el tráfico sophos.


 

Resolution


Las resoluciones para este problema serían una de las tres opciones enumeradas:
  1. Deshabilite sophos aplicaciones de todos los hosts (servidor interno DNS en este caso) si la intención de la empresa es no tener puntos de conexión utilizar esta aplicación y asegurarse de que la desinstalación se realizó correctamente.
  2. Incluya sophos-live-protection en la regla allow dns.
  3. Si el uso de servidor y servidor internos DNS está configurado para volver a usar los mismos puertos de origen, cambie el servidor para usar puertos de origen diferentes para cada consulta para que el no coincida con el firewall tráfico no sophos incorrectamente como sophos-live-protection.

Additional Information


https://docs.sophos.com/msg/pmx/help/en-us/msg/pmx/glossentries/sxl.html
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCp7CAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language