URL 評価にドメイン名 sp.cwfservice.net (WebPulse) ではなく IP アドレスを使用している
search cancel

URL 評価にドメイン名 sp.cwfservice.net (WebPulse) ではなく IP アドレスを使用している

book

Article ID: 246224

calendar_today

Updated On:

Products

Endpoint Protection Endpoint Security Endpoint Security Complete

Issue/Introduction

SEP および SES がシマンテック社のサーバーへ接続するために許可する URL に従って sp.cwfservice.net をホワイトリストに登録したが、Symantec Endpoint Protection (SEP) / Symantec Endpoint Security (SES) クライアントが下記の IP アドレスへ直接接続している。

168.149.132.80, ポート 443
168.149.132.96, ポート 443
168.149.132.144, ポート 443

プロキシログ:

2021-06-24 05:53:51 14 10.xxx.xxx.xxx - - - - "None" - authentication_failed DENIED "Web Infrastructure" -  407 TCP_DENIED CONNECT -tcp 168.149.132.96 443 / - - - 10.xxx.xx.xxx xx 95 - "none" "none" "none" unavailable xxxxxxxxxxxxxxxxxxxxxxxx - -
2021-06-24 05:53:51 14 10.xxx.xxx.xxx - - - - "None" - authentication_failed DENIED "Web Infrastructure" -  407 TCP_DENIED CONNECT -tcp 168.149.132.144 443 / - - - 10.xxx.xx.xx 294 97 - "none" "none" "none" unavailable xxxxxxxxxxxxxxxxxxxxxxxxxx 

Environment

SEP 14.3 RU1 以降

Cause

URL 評価 が使用する WebPulse エンジンは sp.cwfservice.net の DNS クエリを実行し、複数の IP アドレスが返されることを想定しています。WebPulse は世界中に多くのサーバーを持っているため、DNS はクライアントに最も地理的位置が近いものを返すことになっています。

地理的に配置された IP のうち、最良の応答時間を提供するものを使用する内部ロジックを持っており、1 つがダウンした場合には、他の IP にフォールバックします。

この動作は設計上のもので、このように動作するよう意図されています。

Resolution

ホワイトリストに登録する IP は Updates to Critical WebPulse Service Endpoint の [New and Existing Service Endpoints]  配下の "WebPulse Service" で確認できます。

また、ドメイン名以外に以下の IP をホワイトリストに登録することができます: 168.149.132.0/24

Additional Information

[英語文書] SEP/SES client using IP address instead of domain name sp.cwfservice.net (WebPulse) for URL reputation

Powered by Wolken Software