Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=protect-devices-domains-ports

Dominios y puertos que permitir

Debe configurar su firewall o proxy para permitir los dominios y puertos enumerados aquí. Esto le permite proteger sus dispositivos y gestionarlos desde Sophos Central.

Todas las funciones enrutan el tráfico utilizando el mismo proxy.

Algunos de los dominios que necesita permitir son propiedad de Sophos Central Admin. Otros no lo son, pero son necesarios para operaciones esenciales como comprobar que las instalaciones funcionan o reconocer certificados.

Esta página le indica qué dominios y puertos necesita para los siguientes productos:

  • Intercept X, XDR o MDR. Utilice esta sección para sus productos de protección contra amenazas.
  • Sophos AD Sync. Utilice esta sección si también usa Sophos AD Sync para mantener actualizada la lista de usuarios de Sophos Central.

Si está configurando Sophos Email Security, consulte Información de dominio de correo electrónico.

Recomendaciones

  • No utilice reglas regionales de firewall. Esto podría anular su lista permitida e impedir que los productos de Sophos funcionasen correctamente. Por ejemplo, un bloqueo en las regiones no estadounidenses podría detener los servicios que a veces se ejecutan en regiones europeas. Esto puede suceder porque nuestros productos están alojados en Amazon Web Service (AWS), que utiliza direcciones IP no estáticas. Consulte Intervalos de direcciones IP de AWS y Direcciones IP de Amazon.

  • Compruebe si puede utilizar comodines en las reglas de firewall o proxy. Si no puede, hay algunas características que no podrá utilizar.

Intercept X, XDR o MDR

Siga estas instrucciones si tiene alguna de estas licencias:

  • Intercept X Advanced
  • Intercept X Advanced for Server
  • Intercept X Advanced with XDR
  • Intercept X Advanced for Server with XDR
  • Managed Detection and Response
  • Managed Detection and Response Complete
  • Managed Detection and Response Server
  • Managed Detection and Response Complete Server

Puertos

Permita este puerto:

  • 443 (HTTPS)

Dominios

Añada los siguientes dominios. Asegúrese de completar todas las secciones.

Dominios de Sophos Central Admin

  1. Permita estos dominios de Sophos:

    • central.sophos.com
    • cloud-assets.sophos.com
    • sophos.com
    • downloads.sophos.com

    Si su proxy o firewall admite comodines, puede utilizar el comodín *.sophos.com para cubrir estas direcciones.

  2. Permita las siguientes direcciones que no son de Sophos:

    • az416426.vo.msecnd.net
    • dc.services.visualstudio.com

Dominios de Sophos

Los dominios que debe permitir dependen de si su firewall o proxy admite comodines.

Haga clic en la ficha correspondiente para obtener más información.

Permita que los siguientes comodines cubran los dominios de Sophos:

  • *.sophos.com
  • *.sophosupd.com
  • *.sophosupd.net
  • *.sophosxl.net
  • *.analysis.sophos.com
  • *.ctr.sophos.com
  • *.hydra.sophos.com

Restricción

Si su firewall no permite comodines, las funciones de XDR Live Response y Live Discover no funcionarán. Esto se debe a que requieren dominios que solo se pueden permitir mediante el uso de un comodín.

Si su proxy o firewall no admite comodines, debe añadir manualmente los dominios exactos que necesita.

Permita estos dominios de Sophos:

  • central.sophos.com
  • cloud-assets.sophos.com
  • sophos.com
  • downloads.sophos.com

También debe identificar las direcciones del servidor que Sophos Management Communication System y los instaladores del dispositivo utilizan para comunicarse con Sophos Central Admin de forma segura. Haga clic en la ficha correspondiente al sistema operativo de su dispositivo y siga los pasos para identificar y permitir estas direcciones.

En dispositivos Windows, haga lo siguiente:

  1. Abra SophosCloudInstaller.log. Puede encontrarlo en C:\ProgramData\Sophos\CloudInstaller\Logs.

  2. Busque la línea que comience por Opening connection to.

    Habrá al menos dos entradas. La primera se verá así:

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com

    La segunda se verá así:

    • dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
    • api-cloudstation-us-east-2.prod.hydra.sophos.com
    • api.stn100yul.ctr.sophos.com

    Añada ambos dominios a sus reglas.

  3. Añada las siguientes direcciones:

    • t1.sophosupd.com
    • sus.sophosupd.com
    • sdds3.sophosupd.com
    • sdds3.sophosupd.net
    • sdu-auto-upload.sophosupd.com
    • sdu-feedback.sophos.com
    • sophosxl.net
    • 4.sophosxl.net
    • samples.sophosxl.net
    • cloud.sophos.com
    • id.sophos.com
    • central.sophos.com
    • downloads.sophos.com
    • amazonaws.com
    • ssp.sophos.com
    • sdu-auto-upload.sophosupd.com
    • rca-upload-cloudstation-us-west-2.prod.hydra.sophos.com
    • rca-upload-cloudstation-us-east-2.prod.hydra.sophos.com
    • rca-upload-cloudstation-eu-west-1.prod.hydra.sophos.com
    • rca-upload-cloudstation-eu-central-1.prod.hydra.sophos.com
    • rca-upload.stn100bom.ctr.sophos.com
    • rca-upload.stn100yul.ctr.sophos.com
    • rca-upload.stn100hnd.ctr.sophos.com
    • rca-upload.stn100gru.ctr.sophos.com
    • rca-upload.stn100syd.ctr.sophos.com

  4. Añada los dominios necesarios para Sophos Management Communication System:

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
    • mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs.stn100syd.ctr.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs.stn100hnd.ctr.sophos.com
    • mcs2.stn100syd.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • mcs2.stn100hnd.ctr.sophos.com
    • mcs.stn100gru.ctr.sophos.com
    • mcs2.stn100gru.ctr.sophos.com
    • mcs.stn100bom.ctr.sophos.com
    • mcs2.stn100bom.ctr.sophos.com

  5. Añada los dominios necesarios para el servicio de SophosLabs Intelix:

    • us.analysis.sophos.com
    • apac.analysis.sophos.com
    • au.analysis.sophos.com
    • eu.analysis.sophos.com

  6. Es posible que tenga que permitir el acceso a los siguientes sitios de autoridad de certificación si su firewall no los permite:

    • ocsp.globalsign.com
    • ocsp2.globalsign.com
    • crl.globalsign.com
    • crl.globalsign.net
    • ocsp.digicert.com
    • crl3.digicert.com
    • crl4.digicert.com

En los dispositivos de Linux, haga lo siguiente:

  1. Buscar SophosSetup.sh en el dispositivo.

  2. Ejecute el siguiente comando para iniciar el instalador e imprimir el resultado.

    sudo bash -x ./SophosSetup.sh

  3. Busque las siguientes líneas:

    • línea que empieza por + CLOUD_URL=https://
    • línea que empieza por + MCS_URL=https://

    Añada los dominios de ambas líneas a sus reglas.

  4. Añada las siguientes direcciones:

    • dci.sophosupd.com
    • d1.sophosupd.com
    • d2.sophosupd.com
    • d3.sophosupd.com
    • dci.sophosupd.net
    • d1.sophosupd.net
    • d2.sophosupd.net
    • d3.sophosupd.net
    • t1.sophosupd.com
    • sus.sophosupd.com
    • sdds3.sophosupd.com
    • sdds3.sophosupd.net
    • sdu-feedback.sophos.com
    • sophosxl.net
    • 4.sophosxl.net
    • samples.sophosxl.net
    • cloud.sophos.com
    • id.sophos.com
    • central.sophos.com
    • downloads.sophos.com
    • amazonaws.com

  5. Añada los dominios necesarios para Sophos Management Communication System:

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
    • mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs.stn100syd.ctr.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs.stn100hnd.ctr.sophos.com
    • mcs2.stn100syd.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • mcs2.stn100hnd.ctr.sophos.com
    • mcs.stn100gru.ctr.sophos.com
    • mcs2.stn100gru.ctr.sophos.com
    • mcs.stn100bom.ctr.sophos.com
    • mcs2.stn100bom.ctr.sophos.com

  6. Añada los dominios necesarios para el servicio de SophosLabs Intelix:

    • us.analysis.sophos.com
    • apac.analysis.sophos.com
    • au.analysis.sophos.com
    • eu.analysis.sophos.com

  7. Es posible que tenga que permitir el acceso a los siguientes sitios de autoridad de certificación si su firewall no los permite:

    • ocsp.globalsign.com
    • ocsp2.globalsign.com
    • crl.globalsign.com
    • crl.globalsign.net
    • ocsp.digicert.com
    • crl3.digicert.com
    • crl4.digicert.com

Nota

Algunos firewalls o proxies muestran búsquedas inversas con direcciones *.amazonaws.com. Esto es de esperar ya que utilizamos Amazon AWS para alojar varios servidores. Debe añadir estas direcciones URL a su firewall o proxy.

Dominios para XDR

Permita estos dominios si su licencia incluye XDR:

  • live-terminal-eu-west-1.prod.hydra.sophos.com
  • live-terminal-eu-central-1.prod.hydra.sophos.com
  • live-terminal-us-west-2.prod.hydra.sophos.com
  • live-terminal-us-east-2.prod.hydra.sophos.com
  • live-terminal.stn100yul.ctr.sophos.com
  • live-terminal.stn100syd.ctr.sophos.com
  • live-terminal.stn100hnd.ctr.sophos.com
  • live-terminal.stn100gru.ctr.sophos.com
  • live-terminal.stn100bom.ctr.sophos.com

Dominios para MDR

Permita estos dominios si su licencia incluye MDR.

Si utiliza la inspección TLS o tiene un firewall que utiliza el filtrado de aplicaciones, debe añadir estos dominios:

  • prod.endpointintel.darkbytes.io
  • kinesis.us-west-2.amazonaws.com

Para confirmar que necesita añadir esas exclusiones de dominio, o para probar que las exclusiones son efectivas, compruebe su DNS y la conectividad en un dispositivo.

Seleccione la ficha correspondiente a su sistema operativo.

En Windows, haga lo siguiente:

  1. Para comprobar el DNS, abra PowerShell e introduzca los siguientes comandos:

    Resolve-DnsName -Name prod.endpointintel.darkbytes.io

    Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com

    Debería ver un mensaje de respuesta de DNS de cada dominio.

  2. Para comprobar la conectividad, introduzca el siguiente comando:

    Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

    Debería ver la siguiente respuesta: {message: "running..."}.

En Linux, haga lo siguiente:

  1. Para comprobar el DNS, introduzca los siguientes comandos:

    host prod.endpointintel.darkbytes.io

    host kinesis.us-west-2.amazonaws.com

    Debería ver un mensaje de respuesta de DNS de cada dominio.

  2. Para comprobar la conectividad, introduzca el siguiente comando:

    `curl -v https://prod.endpointintel.darkbytes.io/`

    Debería ver la siguiente respuesta: {message: "running..."}.

Sophos AD Sync

Si utiliza Sophos AD Sync para mantener la lista de usuarios de Sophos Central actualizada con Active Directory, también debe permitir los dominios en esta sección.

Restricción

Si el firewall no permite comodines, no podrá utilizar la utilidad Sophos AD Sync.

  1. Si utiliza el servicio de Active Directory, permita los siguientes dominios s3 prefirmados:

    • tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
    • tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
    • tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
    • tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
    • tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
    • tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
    • tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
    • tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
    • tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com

  2. Permita los siguientes comodines:

    • *.s3.eu-west-1.amazonaws.com
    • *.s3.eu-central-1.amazonaws.com
    • *.s3.us-east-2.amazonaws.com
    • *.s3.us-west-2.amazonaws.com
    • *.s3.ca-central-1.amazonaws.com
    • *.s3.ap-southeast-2.amazonaws.com
    • *.s3.ap-northeast-1.amazonaws.com
    • *.s3.ap-south-1.amazonaws.com
    • *.s3.sa-east-1.amazonaws.com

Al usar nombre FQDN comodín, asegúrese de que las solicitudes DNS pasan por su firewall. Para obtener más información, consulte Comportamiento de los FQDN comodín.

Asistencia remota

Sophos Central, Sophos Central Partner y Sophos Central Enterprise le permiten dar acceso remoto al personal de soporte técnico de Sophos para que pueda solucionar problemas.

Para que el acceso remoto funcione, debe permitir el puerto y el dominio que se muestran a continuación.

  • Puerto: 22 TCP
  • Dominio: *.apu.sophos.com