Problema
Cisco Umbrella proporciona seguridad a los puntos finales redirigiendo las solicitudes de DNS a su red global de servidores.
Si la inspección de TLS de Cato está habilitada en la cuenta y la opción 'Certificados de Servidor No Confiables' está configurada en Bloquear o Advertencia, los sitios web que requieran redirección por Cisco Umbrella (debido a una acción de seguridad de Cisco) recibirán una página de Bloqueo/Advertencia de Cato.
Entorno
- La inspección de TLS está habilitada
- La opción 'Certificados de Servidor No Confiables' está configurada en Bloquear o Advertencia.
Solución de problemas
- Encuentra los eventos de TLS relacionados con el sitio web bloqueado. El campo de Error del Certificado TLS mostrará 'No se puede obtener el certificado del emisor local'.
- Si la IP de destino mostrada en el evento está dentro de los rangos de IP 146.112.0.0/16, 155.190.0.0/16 y 151.186.0.0/16, eso indica que se ha llevado a cabo una redirección de DNS por parte de Cisco Umbrella.
- La redirección desencadenará un error de TLS de Cato dirigido por una página de bloqueo/advertencia de Cato porque el emisor del certificado del sitio web (Cisco Umbrella Root CA) no es confiable para Cato. La cadena del certificado a continuación se presenta al usuario final al evitar el bloqueo de Cato.
Solución
Los rangos de IP de Cisco Umbrella deben evitarse en la inspección de TLS de Cato. Al hacerlo, Cato no bloqueará la redirección de Umbrella debido a una falla en la verificación del certificado.
Según el sitio web de Cisco, los rangos de IP utilizados por el servicio Umbrella son 146.112.0.0/16, 155.190.0.0/16 y 151.186.0.0/16.
Para obtener información sobre cómo evitar la inspección de TLS, consulte Usar reglas que evitan el tráfico de TLS.
0 comentarios
Inicie sesión para dejar un comentario.