ATP C2/Generic-A Meldungen trotz Firewall-Regel

Hallo Community,

seit einigen Tagen bekommen wir über die ATP C2/Generic-A Meldungen. Die betroffenen Host seien die beiden DCs, doch ein Scan hat nichts gefunden. Es scheint mir, das unter den Zielen auch harmlose Anfragen verschickt werden, wie man im Screenshot sehen kann. Ich frage mich nur, wieso plötzlich diese als Gefahr eingestuft werden. 

Im ATP-Dashboard werden mir folgende Host angezeigt, mit denen die DCs versuchen zu kommunizieren:

  • dlg-configs-neu.cloudapp.net
  • dlgconfigs.trafficmanager.net
  • ds02.test-hf.su

Die ersten beiden gehören wohl zu Microsoft, während der letzte tatsächlich suspekt ist. Der Host wurde auch schon mehrfach gemeldet (https://www.abuseipdb.com/check/91.227.17.18). Daher möchte ich ungern irgendwelche Ausnahmen einrichten ohne zu wissen, was die Ursache hierfür ist. Stattdessen habe ich eine Firewall-Regel gebaut, die alle Dienste von DC zum jeweiligen DNS-Host verbieten soll aber so richtig scheint es nicht zu funktionieren, da ich weiterhin ATP-Meldungen bekomme.

Für jede Hilfe und jeden Tipp wäre ich sehr dankbar Slight smile

Infos zur Firewall:

  • Model: SG230
  • Firmware-Version: 9.705-3
  • Pattern-Version: 195690

Parents
  • Hallo,

    es ist normal, dass nur die DNS-Server gemeldet werden.

    Diese müssen ja stellvertretend für die Clients die Namen auflösen.

    Die Meldungen kommen recht häufig. Immer wenn ein klick in eine Mail oder ein Banner oder .... versucht einen als "böse" betrachteten Namen aufzulösen.

    Sicher gibt es hier false positives, aber eine Ausnahme sollte man nicht bauen.

    Die Meldungen sollten beobachtet werden. Wird ein Muster erkennbar (z.B. regelmäßige Wiederholung) sollte DNS-logging aktiviert und geprüft werden, welcher Client dahinter steckt. Dann hat sich u.U. einer wirklich was eingefangen.

    DNS-Anfragen generell zu unterbinden ist meist eher ungünstig.


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

Reply
  • Hallo,

    es ist normal, dass nur die DNS-Server gemeldet werden.

    Diese müssen ja stellvertretend für die Clients die Namen auflösen.

    Die Meldungen kommen recht häufig. Immer wenn ein klick in eine Mail oder ein Banner oder .... versucht einen als "böse" betrachteten Namen aufzulösen.

    Sicher gibt es hier false positives, aber eine Ausnahme sollte man nicht bauen.

    Die Meldungen sollten beobachtet werden. Wird ein Muster erkennbar (z.B. regelmäßige Wiederholung) sollte DNS-logging aktiviert und geprüft werden, welcher Client dahinter steckt. Dann hat sich u.U. einer wirklich was eingefangen.

    DNS-Anfragen generell zu unterbinden ist meist eher ungünstig.


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

Children
  • Hallo dirkkotte,

    die Meldungen kommen jeden Tag. Ich habe dem entsprechend das DNS-Logging angesehen aber daraus werde ich auch nicht schlauer. Hier ein Auszug aus dem Log:

    21.02.2021 00:48:49 11C8 PACKET  000001DA147785A0 UDP Rcv 172.18.135.254  caac   Q [0001   D   NOERROR] A      (4)ds02(7)test-hf(2)su(0)

    Die IP-Adresse die hier angezeigt wird gehört der Firewall. Ich habe dem entsprechend unter Network-Services --> DNS --> Global das Netzwerk des LANs hinzugefügt, welches nicht gelistet war. Ich werde heute abend nochmal schauen, ob weitere Meldungen aufgezeichnet werden.

    Auch bei den anderen beiden DNS-Hosts wird die selbe IP angezeigt im DNS-Logging.

  • Wenn das SG als Verursacher für die DNS-Anfrage drinsteht, ist offensichtlich der interne DNS-Server auf dem SG als Forwarder eingetragen.

    Also irgend etwas, was um 0:48 Uhr kommunizieren will.

    Evtl. eine Anfrage, die das IPS oder der Proxy bearbeitet. Mal in deren Logs schauen. 


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

  • Moin, aufgepasst - bitte prüfen wer jetzt alles in deinem Netzwerk als DNS-Resolver arbeitet. Nach deiner Aussage sind es jetzt schon zwei Geräte (Windows DNS-Server + Sophos Firewall).


    Du solltest es so umstellen, dass ausschließlich dein Windows DNS-Server den DNS Dienst in deinem Netzwerk anbietet, dort hinterlegst du bei der Weiterleitung die Sophos Firewall. Auf der FW unter Global entfernst du das interne Netzwerk und hinterlegst nur den Windows DNS-Server. Unter Forwarding hinterlegst du dann deinen Provider DNS-Server. Request Routing nicht vergessen zu konfigurieren.
    Den betroffenen Client kannst du nun über die Debugprotokollierung auf deinem Windows DNS finden.

    Client --> Windows DNS Server --> Sophos DNS --> ISP DNS

    Quelle:

    Sophos UTM: Best practices for DNS Configuration

    Sophos UTM: DNS Best Practice - Recommended Reads - UTM Firewall - Sophos Community

  • Hallo Baris,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Rather than a picture of the firewall Live Log, please paste the line here from the full log file.  Also check the Intrusion Prevention log at that time for any related lines.

    You might be interested in DNS best practice.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA