Dominios y puertos que permitir

Debe configurar su firewall o proxy para permitir estos dominios y puertos.

Esto le permite proteger sus dispositivos y comunicarse entre Sophos Central Admin y sus estaciones administradas.

Nota Todas las funciones enrutan el tráfico utilizando el mismo proxy.

Algunos de los dominios que necesita permitir son propiedad de Sophos Central Admin. Otros no lo son, pero son necesarios para operaciones esenciales como comprobar que las instalaciones funcionan o reconocer certificados.

Dominios de Sophos Central Admin

Debe permitir estos dominios y puertos a través de sus firewalls y proxies para que su protección funcione correctamente.

Si es un partner que gestiona cuentas para clientes, debe hacerlo para el firewall o proxy de cada cliente.

  • central.sophos.com
  • cloud-assets.sophos.com
  • sophos.com
  • downloads.sophos.com
Nota Si su proxy o firewall admite comodines, puede utilizar el comodín *.sophos.com para cubrir estas direcciones.

A continuación, introduzca las siguientes direcciones que no son de Sophos.

  • az416426.vo.msecnd.net
  • dc.services.visualstudio.com
  • *.cloudfront.net

También debe revisar las otras secciones de esta página y permitir los dominios y puertos adecuados para todas las licencias.

Si es un partner que gestiona cuentas para clientes, debe hacerlo para el firewall o proxy de cada cliente, de forma que coincida con las licencias de cada cliente.

Dominios de estación de trabajo

Si su proxy o firewall admite comodines, utilice los siguientes comodines para cubrir estos dominios de estación de trabajo de Sophos.

  • *.sophos.com
  • *.sophosupd.com
  • *.sophosupd.net
  • *.sophosxl.net

A continuación, introduzca las siguientes direcciones que no son de Sophos.

  • ocsp2.globalsign.com
  • crl.globalsign.com

Si su proxy o firewall no admite comodines, debe identificar los dominios de estación de trabajo de Sophos exactos que necesita y, a continuación, introducirlos manualmente.

Para identificar la dirección del servidor que utiliza Sophos Management Communication System para comunicarse con Sophos Central Admin de forma segura, haga lo siguiente:

  1. Abra SophosCloudInstaller.log. Lo encontrará en las siguientes ubicaciones:

    Windows 2008 R2 y posteriores: C:\Documents and Settings\All Users\Application Data\Sophos\CloudInstaller\Logs

    Windows 7 y posteriores: C:\ProgramData\Sophos\CloudInstaller\Logs

  2. Busque las siguientes líneas:
    • línea que empieza por Model::server value changed to:
    • línea que empieza por Opening connection to

    Deben tener un valor parecido a dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com.

Debe añadir esa dirección y las siguientes direcciones a la lista de permitidos de su firewall o proxy.

  • dci.sophosupd.com
  • d1.sophosupd.com
  • d2.sophosupd.com
  • d3.sophosupd.com
  • dci.sophosupd.net
  • d1.sophosupd.net
  • d2.sophosupd.net
  • d3.sophosupd.net
  • t1.sophosupd.com
  • sdu-feedback.sophos.com
  • sophosxl.net
  • 4.sophosxl.net
  • samples.sophosxl.net
  • cloud.sophos.com
  • id.sophos.com
  • central.sophos.com
  • downloads.sophos.com
  • amazonaws.com
  • *.hydra.sophos.com

Si desea ser más específico acerca de los dominios que permite para hydra.sophos.com, puede utilizar los siguientes dominios.

  • *.mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
  • *.mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
  • *.mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
  • *.mcs2-cloudstation-us-west-2.prod.hydra.sophos.com

También debe añadir los siguientes dominios que no son de Sophos. No debe utilizar comodines para estos dominios.

  • ocsp.globalsign.com
  • ocsp2.globalsign.com
  • crl.globalsign.com
  • crl.globalsign.net
  • ocsp.digicert.com
  • crl3.digicert.com
  • crl4.digicert.com
Nota Algunos firewalls o proxies muestran búsquedas inversas con direcciones *.amazonaws.com. Esto es de esperar ya que utilizamos Amazon AWS para alojar varios servidores. Debe añadir estas direcciones URL a su firewall o proxy.

Puertos de estación de trabajo

Debe añadir los siguientes puertos.

  • 80 (HTTP)
  • 443 (HTTPS)

Sincronización de AD

Si utiliza el servicio de Active Directory, también debe añadir los siguientes dominios s3 prefirmados:

  • tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
  • tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
  • tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
  • tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com

Si su proxy o firewall admite comodines, puede añadir los siguientes comodines:

  • *.s3.eu-west-1.amazonaws.com
  • *.s3.eu-central-1.amazonaws.com
  • *.s3.us-east-2.amazonaws.com
  • *.s3.us-west-2.amazonaws.com

Intercept X Advanced with EDR

Nota Añada los dominios y puertos que aparecen en Dominios de estación de trabajo y Puertos de estación de trabajo antes de añadir los dominios que se enumeran a continuación.

Si dispone de una licencia de Intercept X Advanced with EDR, también debe añadir los siguientes dominios:

  • tf-edr-message-upload-eu-central-1-prod-bucket.s3.amazonaws.com
  • tf-edr-message-upload-eu-west-1-prod-bucket.s3.amazonaws.com
  • tf-edr-message-upload-us-east-2-prod-bucket.s3.amazonaws.com
  • tf-edr-message-upload-us-west-2-prod-bucket.s3.amazonaws.com
  • live-terminal-eu-west-1.prod.hydra.sophos.com
  • live-terminal-eu-central-1.prod.hydra.sophos.com
  • live-terminal-us-west-2.prod.hydra.sophos.com
  • live-terminal-us-east-2.prod.hydra.sophos.com
  • *.mcs-push-server-eu-west-1.prod.hydra.sophos.com
  • *.mcs-push-server-eu-central-1.prod.hydra.sophos.com
  • *.mcs-push-server-us-west-2.prod.hydra.sophos.com
  • *.mcs-push-server-us-east-2.prod.hydra.sophos.com

Intercept X Advanced with EDR and MTR

Nota Añada los dominios y puertos que aparecen en Dominios de estación de trabajo, Puertos de estación de trabajo e Intercept X Advanced with EDR antes de añadir los dominios que se enumeran en este apartado.

Si tiene una licencia de MTR y utiliza la inspección TLS o tiene un firewall que utiliza el filtrado de aplicaciones, también debe añadir este dominio:

  • prod.endpointintel.darkbytes.io

Para confirmar que necesita añadir esas exclusiones, o para probar que las exclusiones son efectivas, debe comprobar su DNS y la conectividad en un ordenador.

En Windows, haga lo siguiente:

  1. Para comprobar el DNS, abra PowerShell e introduzca el siguiente comando:
    Resolve-DnsName -Name prod.endpointintel.darkbytes.io

    Debería ver un mensaje de respuesta de DNS del dominio.

  2. Para comprobar la conectividad, introduzca el siguiente comando:
    Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

    Debería ver la siguiente respuesta: {message: "running..."}.

En Linux, haga lo siguiente:

  1. Para comprobar el DNS, introduzca el siguiente comando:
    host prod.endpointintel.darkbytes.io

    Debería ver un mensaje de respuesta de DNS del dominio.

  2. Para comprobar la conectividad, introduzca el siguiente comando:
    curl -v https://prod.endpointintel.darkbytes.io/

    Debería ver la siguiente respuesta: {message: "running..."}.