This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection lists the dns server instead of the client

When a client tries to connect to a domain which is on the blacklist for command-and-control, he first starts a DNS query to our internal DNS Server. The DNS Server then starts his own query (in our environment directly to the DNS Server from the ISP). So this traffic is between the two DNS Servers, but because the domain name and the IP of the command-and-control server are in the traffic the query and the response the UTM generates the alert and lists our internal DNS server as infected host (a few pictures can be found here, sorry it’s in german)

In my opinion, it would be better to generate the alert and stop the connection in the next step, when the client REALLY tries to connect to the server and not during the DNS request to another DNS Server. Then the client would be the infected host in the logs. I had to enable DNS logs on the server to identify the affected host.  

I am not sure if my considerations are right. If yes it would be a bug (the dns query without connecting to the command-and-control server shouldn’t generate an alert). Thanks for any help.


This thread was automatically locked due to age.
  • Confirming behaviour. Time consumpting analysis.
  • the offending client is listed in the logs as wlel as the potential offending network.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • In which log? In the advanced threat protection log I could only find an entry from the dns server and not from the client. That's why I had to enable DNS logs.
  • normally right in the webadmin it shows it.  I have also found it in the atp logs.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Maybe your clients use the utm as DNS Server. Our clients use an internal windows server for DNS queries. In webadmin and in the atp logs all entries are from the DNS Server and none from the client.
  • Maybe your clients use the utm as DNS Server. Our clients use an internal windows server for DNS queries. In webadmin and in the atp logs all entries are from the DNS Server and none from the client.


    nopers the workstations do not use the utm as their forwarder but the AD server DO.  In order for ATP to be fully effective you need to use the UTM as your dns fowarder.  dns for me works like this:

    client-ad-utm-internet.  I also have the request routing turned on so that any other dns requests that get to the utm are inspected.  Ones for the AD get routed back to the AD server while external dns requests get forwarded on.  In my case i use google public and opendns public so WAN failover works correctly as well as ATP logging.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  •  In order for ATP to be fully effective you need to use the UTM as your dns fowarder.

    Didn't knew that. I will try it. Thanks for your help.
  • Looks like I've done this before. The utm is the first forwarder in the AD server. The two from my ISP are second and third. Looks like that will not solve my problem. I'll try to delete the two other forwarders in the AD server so that the utm is the only one and try again.
  • I've deleted the other entries. At the moment the utm is the only forwarder in our DNS Servers, but it is still the same. Only the IP's from the DNS Servers are logged at Advanced Threat Protection and not the client.
  • Yes, you need to look at the DNS logs in your server.  Probably, like most of us, you will need to activate logging for it first.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA