Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 2 subscribers
  • Views 180924 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection lists the dns server instead of the client

ckruesi
When a client tries to connect to a domain which is on the blacklist for command-and-control, he first starts a DNS query to our internal DNS Server. The DNS Server then starts his own query (in our environment directly to the DNS Server from the ISP). So this traffic is between the two DNS Servers, but because the domain name and the IP of the command-and-control server are in the traffic the query and the response the UTM generates the alert and lists our internal DNS server as infected host (a few pictures can be found here, sorry it’s in german)

In my opinion, it would be better to generate the alert and stop the connection in the next step, when the client REALLY tries to connect to the server and not during the DNS request to another DNS Server. Then the client would be the infected host in the logs. I had to enable DNS logs on the server to identify the affected host.  

I am not sure if my considerations are right. If yes it would be a bug (the dns query without connecting to the command-and-control server shouldn’t generate an alert). Thanks for any help.


This thread was automatically locked due to age.
Parents
  • 0
    William, 

    How would the UTM know who made the DNS call if it is first made to the AD box, who then does the DNS call on behalf of the client? ("Proxied" DNS)

    In my case only the UTM is used for DNS, so it is not an issue. (And I have a SecurityOnion box to capture DNS too.) I am just wondering, as we have a similar issue at my work. (But were not using Sophos)

    Thanks,

    C68
  • 0 in reply to Coder68
    [QUOTE=Coder68;305100]William, 

    How would the UTM know who made the DNS call if it is first made to the AD box, who then does the DNS call on behalf of the client? ("Proxied" DNS)

    In my case only the UTM is used for DNS, so it is not an issue. (And I have a SecurityOnion box to capture DNS too.) I am just wondering, as we have a similar issue at my work. (But were not using Sophos)

    Thanks,

    C68[/QUOT

    first you need to have the utm integrated into your ad environment and then use the request routing as i mentioned.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0 in reply to Coder68
    [QUOTE=Coder68;305100]William, 

    How would the UTM know who made the DNS call if it is first made to the AD box, who then does the DNS call on behalf of the client? ("Proxied" DNS)

    In my case only the UTM is used for DNS, so it is not an issue. (And I have a SecurityOnion box to capture DNS too.) I am just wondering, as we have a similar issue at my work. (But were not using Sophos)

    Thanks,

    C68[/QUOT

    first you need to have the utm integrated into your ad environment and then use the request routing as i mentioned.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
No Data
Unfiltered HTML