Dominios y puertos que permitir

Debe configurar su firewall o proxy para permitir estos dominios y puertos.

Esto le permite proteger sus dispositivos y comunicarse entre Sophos Central Admin y sus dispositivos administrados.

Nota Todas las funciones enrutan el tráfico utilizando el mismo proxy.

Algunos de los dominios que necesita permitir son propiedad de Sophos Central Admin. Otros no lo son, pero son necesarios para operaciones esenciales como comprobar que las instalaciones funcionan o reconocer certificados.

Dominios de Sophos Central Admin

Debe permitir estos dominios y puertos a través de sus firewalls y proxies para que su protección funcione correctamente.

Si es un partner que gestiona cuentas para clientes, debe hacerlo para el firewall o proxy de cada cliente.

  • central.sophos.com
  • cloud-assets.sophos.com
  • sophos.com
  • downloads.sophos.com
Nota Si su proxy o firewall admite comodines, puede utilizar el comodín *.sophos.com para cubrir estas direcciones.

A continuación, introduzca las siguientes direcciones que no son de Sophos.

  • az416426.vo.msecnd.net
  • dc.services.visualstudio.com
  • *.cloudfront.net

También debe revisar las otras secciones de esta página y permitir los dominios y puertos adecuados para todas las licencias.

Si es un partner que gestiona cuentas para clientes, debe hacerlo para el firewall o proxy de cada cliente, de forma que coincida con las licencias de cada cliente.

Dominios de Sophos

Si su proxy o firewall admite comodines, añada los siguientes comodines para cubrir estos dominios de Sophos.

  • *.sophos.com
  • *.sophosupd.com
  • *.sophosupd.net
  • *.sophosxl.net

Si su proxy o firewall no admite comodines, debe identificar los dominios de Sophos exactos que necesita y, a continuación, introducirlos manualmente.

Debe identificar la dirección del servidor que Sophos Management Communication System y los instaladores del dispositivo utilizan para comunicarse con Sophos Central Admin de forma segura.

En dispositivos Windows, haga lo siguiente:

  1. Abra SophosCloudInstaller.log. Puede encontrarlo en C:\ProgramData\Sophos\CloudInstaller\Logs.
  2. Busque las siguientes líneas:
    • línea que empieza por Model::server value changed to:
    • línea que empieza por Opening connection to

    Debe haber 2 valores que se parezcan a uno de cada uno de los siguientes ejemplos:

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
    • api-cloudstation-us-east-2.prod.hydra.sophos.com
    • api.stn100yul.ctr.sophos.com
  3. Debe añadir esa dirección y las siguientes direcciones a la lista de permitidos de su firewall o proxy.
    • dci.sophosupd.com
    • d1.sophosupd.com
    • d2.sophosupd.com
    • d3.sophosupd.com
    • dci.sophosupd.net
    • d1.sophosupd.net
    • d2.sophosupd.net
    • d3.sophosupd.net
    • t1.sophosupd.com
    • sus.sophosupd.com
    • sus.sophosupd.net
    • sdds3.sophosupd.com
    • sdds3.sophosupd.net
    • sdu-feedback.sophos.com
    • sophosxl.net
    • 4.sophosxl.net
    • samples.sophosxl.net
    • cloud.sophos.com
    • id.sophos.com
    • central.sophos.com
    • downloads.sophos.com
    • amazonaws.com
  4. También debe añadir estas direcciones a la lista de permitidos de su firewall o proxy:
    • *.ctr.sophos.com
    • *.hydra.sophos.com
  5. Si desea ser más específico acerca de los dominios que permite para Sophos Management Communication System, puede utilizar los siguientes dominios.
    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
    • mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs.stn100syd.ctr.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs.stn100hnd.ctr.sophos.com
    • mcs2.stn100syd.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • mcs2.stn100hnd.ctr.sophos.com
  6. Es posible que tenga que permitir el acceso a los siguientes sitios de autoridad de certificación si su firewall no los permite.
    • ocsp.globalsign.com
    • ocsp2.globalsign.com
    • crl.globalsign.com
    • crl.globalsign.net
    • ocsp.digicert.com
    • crl3.digicert.com
    • crl4.digicert.com
Nota Algunos firewalls o proxies muestran búsquedas inversas con direcciones *.amazonaws.com. Esto es de esperar ya que utilizamos Amazon AWS para alojar varios servidores. Debe añadir estas direcciones URL a su firewall o proxy.

Puertos

  1. Debe añadir los siguientes puertos.
    • 80 (HTTP)
    • 443 (HTTPS)

Utilidad Sophos AD Sync

Restricción Si el firewall no permite comodines, no podrá utilizar la utilidad Sophos AD Sync.
  1. Si utiliza el servicio de Active Directory, también debe añadir los siguientes dominios s3 prefirmados:
    • tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
    • tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
    • tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
    • tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
    • tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
    • tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
    • tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
  2. Añada los siguientes comodines:
    • *.s3.eu-west-1.amazonaws.com
    • *.s3.eu-central-1.amazonaws.com
    • *.s3.us-east-2.amazonaws.com
    • *.s3.us-west-2.amazonaws.com
    • *.s3.ca-central-1.amazonaws.com
    • *.s3.ap-southeast-2.amazonaws.com
    • *.s3.ap-northeast-1.amazonaws.com

Intercept X Advanced with XDR

Restricción Solo puede permitir las direcciones mcs-push-server utilizando un comodín. Si su firewall no permite comodines, Live Response y Live Discover no funcionarán.

Si dispone de una licencia de Intercept X Advanced with XDR o Intercept X Advanced for Server with XDR, haga lo siguiente:

  1. Añada los dominios y puertos que aparecen en Dominios de Sophos y Puertos antes de añadir los dominios que se enumeran a continuación.
  2. Añada los siguientes dominios:
    • live-terminal-eu-west-1.prod.hydra.sophos.com
    • live-terminal-eu-central-1.prod.hydra.sophos.com
    • live-terminal-us-west-2.prod.hydra.sophos.com
    • live-terminal-us-east-2.prod.hydra.sophos.com
    • live-terminal.stn100yul.ctr.sophos.com
    • live-terminal.stn100syd.ctr.sophos.com
    • live-terminal.stn100hnd.ctr.sophos.com
    • *.mcs-push-server-eu-west-1.prod.hydra.sophos.com
    • *.mcs-push-server-eu-central-1.prod.hydra.sophos.com
    • *.mcs-push-server-us-west-2.prod.hydra.sophos.com
    • *.mcs-push-server-us-east-2.prod.hydra.sophos.com
    • *.mcs-push-server.stn100yul.ctr.sophos.com
    • *.mcs-push-server.stn100syd.ctr.sophos.com
    • *.mcs-push-server.stn100hnd.ctr.sophos.com

Intercept X Advanced with XDR and MTR Standard

Debe añadir estos dominios si tiene una de las siguientes licencias:

  • Intercept X Advanced with XDR and MTR Standard
  • Intercept X Advanced with XDR and MTR Advanced
  • Intercept X Advanced for Server with XDR and MTR Standard
  • Intercept X Advanced for Server with XDR and MTR Advanced
  • Managed Threat Detection
  • Managed Threat Detection for Server
  1. Añada los dominios y puertos que aparecen en Dominios de Sophos, Puertos e Intercept X Advanced with XDR antes de añadir los dominios que se enumeran en este apartado.
  2. Si tiene una licencia de MTR y utiliza la inspección TLS o tiene un firewall que utiliza el filtrado de aplicaciones, también debe añadir estos dominios:
    • prod.endpointintel.darkbytes.io
    • kinesis.us-west-2.amazonaws.com

Para confirmar que necesita añadir esas exclusiones, o para probar que las exclusiones son efectivas, debe comprobar su DNS y la conectividad en un dispositivo.

En Windows, haga lo siguiente:

  1. Para comprobar el DNS, abra PowerShell e introduzca los siguientes comandos:
    Resolve-DnsName -Name prod.endpointintel.darkbytes.io
    Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com

    Debería ver un mensaje de respuesta de DNS de cada dominio.

  2. Para comprobar la conectividad, introduzca el siguiente comando:
    Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

    Debería ver la siguiente respuesta: {message: "running..."}.

En Linux, haga lo siguiente:

  1. Para comprobar el DNS, introduzca los siguientes comandos:
    host prod.endpointintel.darkbytes.io
    Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com

    Debería ver un mensaje de respuesta de DNS de cada dominio.

  2. Para comprobar la conectividad, introduzca el siguiente comando:
    curl -v https://prod.endpointintel.darkbytes.io/

    Debería ver la siguiente respuesta: {message: "running..."}.

Última actualización: 5 de enero de 2022