This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Konfiguration wie in Best Practice beschrieben aber im DNS Log nur IP der Sophos

Hallo Zusammen,

ich habe die DNS Konfiguration wie in KB-000034974 - Sophos UTM: Best practices for DNS Configuration beschrieben eingestellt. 

Das DNS Logging am Windows DC (2016) ist aktiv, jedoch steht bei jedem Eintrag die IP der Sophos. Woran kann das liegen, habe ich etwas übersehen?

Ich habe 1x am Tag eine Bedrohungsmeldung C2/Generic-A - Ziel: ww1.survey-smiles.com . Ist vermutlich nicht wirklich eine Bedrohung, trotzdem würde ich gern den Client herausfinden welcher die Anfrage erzeugt.

MfG

Christoph   



This thread was automatically locked due to age.
Parents
  • Hey,

    deine Clients müssen euren Windows-DNS Server als DNS-Resolver eingetragen haben, dann hast du auch die Zuordnung DNS-Request <-> Clients.

    Der Windows DNS-Server hat als Weiterleitung die Sophos-Firewall hinterlegt und die Sophos Firewall als DNS-Weiterleitung euren Provider-DNS. Bei der Sophos unter zugelassene DNS-Netzwerke natürlich nur eure Windows-DNS Server hinterlegen. Die Sophos Anfragerouten können wie es in der Anleitung steht konfiguriert werden.

    So wäre dann der Ablauf:

    Client DNS-Anfrage -> Windows DNS-Server --> Sophos DNS-Server-> Provider DNS-Server

  • So ist es eingestellt.

    Habe es gefunden, man muss natürlich auch die Logging Parameter richtig einstellen Face palm

    Ist damit erledigt. Danke. 

Reply Children
No Data