DNS trafic reconnu comme une sophos protection en direct

DNS trafic reconnu comme une sophos protection en direct

10040
Created On 02/09/21 16:35 PM - Last Modified 07/03/24 04:19 AM


Symptom


Firewall est configuré pour permettre seulement dns trafic sur udp port 53 est en baisse
Firewall d’autres trafics sur udp port 53 avec l’application sophos-live-protection
Packet capture du trafic dns classé par le FW sophos-live-traffic DNS montre une requête pour sophosxl.net
Image ajoutée par l'utilisateur

Environment


FW 8.1.x en avant

Cause


Il s’agit d’une baisse légitime et par le comportement de conception que la capture de paquets montre que c’est en effet le trafic SXL sophos.


 

Resolution


Les résolutions pour cette question seraient l’une des trois options énumérées :
  1. Désactiver les applications Sophos de tous les hôtes (serveur interne dans ce cas) si DNS l’intention de l’entreprise est de ne pas avoir de points de terminaison utiliser cette application et assurez-vous que la désinstallation a été correctement fait.
  2. Inclure la protection sophos-live dans la règle des dns permis.
  3. Si DNS l’utilisation du serveur et du serveur internes est configurée pour réutiliser les ports sources identiques, modifiez le serveur pour utiliser différents ports source pour chaque requête afin que le firewall trafic non sophos ne corresponde pas incorrectement à la protection sophos-live.

Additional Information


https://docs.sophos.com/msg/pmx/help/en-us/msg/pmx/glossentries/sxl.html
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCp7CAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language