Dominios y puertos que permitir
Debe configurar su firewall o proxy para permitir los dominios y puertos enumerados aquí. Esto le permite proteger sus dispositivos y gestionarlos desde Sophos Central.
Todas las funciones enrutan el tráfico utilizando el mismo proxy.
Algunos de los dominios que necesita permitir son propiedad de Sophos Central Admin. Otros no lo son, pero son necesarios para operaciones esenciales como comprobar que las instalaciones funcionan o reconocer certificados.
Esta página le indica qué dominios y puertos necesita para los siguientes productos:
- Intercept X, XDR o MDR. Utilice esta sección para sus productos de protección contra amenazas.
- Sophos AD Sync. Utilice esta sección si también usa Sophos AD Sync para mantener actualizada la lista de usuarios de Sophos Central.
Si está configurando Sophos Email Security, consulte Información de dominio de correo electrónico.
Recomendaciones
-
No utilice reglas regionales de firewall. Esto podría anular su lista permitida e impedir que los productos de Sophos funcionasen correctamente. Por ejemplo, un bloqueo en las regiones no estadounidenses podría detener los servicios que a veces se ejecutan en regiones europeas. Esto puede suceder porque nuestros productos están alojados en Amazon Web Service (AWS), que utiliza direcciones IP no estáticas. Consulte Intervalos de direcciones IP de AWS y Direcciones IP de Amazon.
-
Compruebe si puede utilizar comodines en las reglas de firewall o proxy. Si no puede, hay algunas características que no podrá utilizar.
Intercept X, XDR o MDR
Siga estas instrucciones si tiene alguna de estas licencias:
- Intercept X Advanced
- Intercept X Advanced for Server
- Intercept X Advanced with XDR
- Intercept X Advanced for Server with XDR
- Managed Detection and Response
- Managed Detection and Response Complete
- Managed Detection and Response Server
- Managed Detection and Response Complete Server
Puertos
Permita este puerto:
443 (HTTPS)
Dominios
Añada los siguientes dominios. Asegúrese de completar todas las secciones.
Dominios de Sophos Central Admin
-
Permita estos dominios de Sophos:
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
Si su proxy o firewall admite comodines, puede utilizar el comodín
*.sophos.com
para cubrir estas direcciones. -
Permita las siguientes direcciones que no son de Sophos:
az416426.vo.msecnd.net
dc.services.visualstudio.com
Dominios de Sophos
Los dominios que debe permitir dependen de si su firewall o proxy admite comodines.
Haga clic en la ficha correspondiente para obtener más información.
Permita que los siguientes comodines cubran los dominios de Sophos:
*.sophos.com
*.sophosupd.com
*.sophosupd.net
*.sophosxl.net
*.analysis.sophos.com
*.ctr.sophos.com
*.hydra.sophos.com
Restricción
Si su firewall no permite comodines, las funciones de XDR Live Response y Live Discover no funcionarán. Esto se debe a que requieren dominios que solo se pueden permitir mediante el uso de un comodín.
Si su proxy o firewall no admite comodines, debe añadir manualmente los dominios exactos que necesita.
Permita estos dominios de Sophos:
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
También debe identificar las direcciones del servidor que Sophos Management Communication System y los instaladores del dispositivo utilizan para comunicarse con Sophos Central Admin de forma segura. Haga clic en la ficha correspondiente al sistema operativo de su dispositivo y siga los pasos para identificar y permitir estas direcciones.
En dispositivos Windows, haga lo siguiente:
- Abra
SophosCloudInstaller.log
. Puede encontrarlo enC:\ProgramData\Sophos\CloudInstaller\Logs
. -
Busque la línea que comience por
Opening connection to
.Habrá al menos dos entradas. La primera se verá así:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
La segunda se verá así:
dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
api-cloudstation-us-east-2.prod.hydra.sophos.com
api.stn100yul.ctr.sophos.com
Añada ambos dominios a sus reglas.
-
Añada las siguientes direcciones:
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-auto-upload.sophosupd.com
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
ssp.sophos.com
sdu-auto-upload.sophosupd.com
rca-upload-cloudstation-us-west-2.prod.hydra.sophos.com
rca-upload-cloudstation-us-east-2.prod.hydra.sophos.com
rca-upload-cloudstation-eu-west-1.prod.hydra.sophos.com
rca-upload-cloudstation-eu-central-1.prod.hydra.sophos.com
rca-upload.stn100bom.ctr.sophos.com
rca-upload.stn100yul.ctr.sophos.com
rca-upload.stn100hnd.ctr.sophos.com
rca-upload.stn100gru.ctr.sophos.com
rca-upload.stn100syd.ctr.sophos.com
-
Añada los dominios necesarios para Sophos Management Communication System:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
-
Añada los dominios necesarios para el servicio de SophosLabs Intelix:
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
Es posible que tenga que permitir el acceso a los siguientes sitios de autoridad de certificación si su firewall no los permite:
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
En los dispositivos de Linux, haga lo siguiente:
- Buscar
SophosSetup.sh
en el dispositivo. -
Ejecute el siguiente comando para iniciar el instalador e imprimir el resultado.
sudo bash -x ./SophosSetup.sh
-
Busque las siguientes líneas:
- línea que empieza por
+ CLOUD_URL=https://
- línea que empieza por
+ MCS_URL=https://
Añada los dominios de ambas líneas a sus reglas.
- línea que empieza por
-
Añada las siguientes direcciones:
dci.sophosupd.com
d1.sophosupd.com
d2.sophosupd.com
d3.sophosupd.com
dci.sophosupd.net
d1.sophosupd.net
d2.sophosupd.net
d3.sophosupd.net
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
-
Añada los dominios necesarios para Sophos Management Communication System:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
-
Añada los dominios necesarios para el servicio de SophosLabs Intelix:
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
Es posible que tenga que permitir el acceso a los siguientes sitios de autoridad de certificación si su firewall no los permite:
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
Nota
Algunos firewalls o proxies muestran búsquedas inversas con direcciones *.amazonaws.com
. Esto es de esperar ya que utilizamos Amazon AWS para alojar varios servidores. Debe añadir estas direcciones URL a su firewall o proxy.
Dominios para XDR
Permita estos dominios si su licencia incluye XDR:
live-terminal-eu-west-1.prod.hydra.sophos.com
live-terminal-eu-central-1.prod.hydra.sophos.com
live-terminal-us-west-2.prod.hydra.sophos.com
live-terminal-us-east-2.prod.hydra.sophos.com
live-terminal.stn100yul.ctr.sophos.com
live-terminal.stn100syd.ctr.sophos.com
live-terminal.stn100hnd.ctr.sophos.com
live-terminal.stn100gru.ctr.sophos.com
live-terminal.stn100bom.ctr.sophos.com
Dominios para MDR
Permita estos dominios si su licencia incluye MDR.
Si utiliza la inspección TLS o tiene un firewall que utiliza el filtrado de aplicaciones, debe añadir estos dominios:
prod.endpointintel.darkbytes.io
kinesis.us-west-2.amazonaws.com
Para confirmar que necesita añadir esas exclusiones de dominio, o para probar que las exclusiones son efectivas, compruebe su DNS y la conectividad en un dispositivo.
Seleccione la ficha correspondiente a su sistema operativo.
En Windows, haga lo siguiente:
-
Para comprobar el DNS, abra PowerShell e introduzca los siguientes comandos:
Resolve-DnsName -Name prod.endpointintel.darkbytes.io
Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com
Debería ver un mensaje de respuesta de DNS de cada dominio.
-
Para comprobar la conectividad, introduzca el siguiente comando:
Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io
Debería ver la siguiente respuesta:
{message: "running..."}
.
En Linux, haga lo siguiente:
-
Para comprobar el DNS, introduzca los siguientes comandos:
host prod.endpointintel.darkbytes.io
host kinesis.us-west-2.amazonaws.com
Debería ver un mensaje de respuesta de DNS de cada dominio.
-
Para comprobar la conectividad, introduzca el siguiente comando:
`curl -v https://prod.endpointintel.darkbytes.io/`
Debería ver la siguiente respuesta:
{message: "running..."}
.
Sophos AD Sync
Si utiliza Sophos AD Sync para mantener la lista de usuarios de Sophos Central actualizada con Active Directory, también debe permitir los dominios en esta sección.
Restricción
Si el firewall no permite comodines, no podrá utilizar la utilidad Sophos AD Sync.
-
Si utiliza el servicio de Active Directory, permita los siguientes dominios s3 prefirmados:
tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com
-
Permita los siguientes comodines:
*.s3.eu-west-1.amazonaws.com
*.s3.eu-central-1.amazonaws.com
*.s3.us-east-2.amazonaws.com
*.s3.us-west-2.amazonaws.com
*.s3.ca-central-1.amazonaws.com
*.s3.ap-southeast-2.amazonaws.com
*.s3.ap-northeast-1.amazonaws.com
*.s3.ap-south-1.amazonaws.com
*.s3.sa-east-1.amazonaws.com
Al usar nombre FQDN comodín, asegúrese de que las solicitudes DNS pasan por su firewall. Para obtener más información, consulte Comportamiento de los FQDN comodín.
Asistencia remota
Sophos Central, Sophos Central Partner y Sophos Central Enterprise le permiten dar acceso remoto al personal de soporte técnico de Sophos para que pueda solucionar problemas.
Para que el acceso remoto funcione, debe permitir el puerto y el dominio que se muestran a continuación.
- Puerto:
22 TCP
- Dominio:
*.apu.sophos.com