Solución de problemas de accesibilidad del servicio de Internet

Visión general

El acceso a aplicaciones basadas en la nube a través de Internet constituye una gran parte del tráfico empresarial que un sitio o usuario facilita. Si los servicios críticos a los que se accede a través de Internet son inalcanzables, esto puede tener un impacto material en el rendimiento empresarial. Este manual tiene como objetivo ayudar en escenarios como este.

Síntomas

  • El sitio web no carga
    • Esto podría manifestarse de varias maneras, pero generalmente las solicitudes del navegador se agotarán al intentar acceder a un sitio.
  • Desajuste de reglas de firewall
  • Error de certificado
    • Aparece un error de certificado al intentar navegar a un sitio o aplicación a través de HTTPS
  • Página de bloqueo
    • Al intentar acceder a un sitio o aplicación, aparece una página de información que identifica que el tráfico está bloqueado.

Causas posibles

  • Tráfico bloqueado por la regla de firewall de Internet
  • Accesibilidad al servicio, incluidos los IP bloqueados geográficamente
  • Incompatibilidad con inspección TLS
  • Error de TLS
  • Requisitos previos de TLSI no cumplidos - ie instalación de certificado
  • URL mal categorizada
  • Resultados falsos positivos del motor de seguridad
  • Falla del servicio RBI

Valoración inicial

Nota

Nota: Asegúrese de tener Reglas de Cortafuegos de Internet (incluso temporalmente creadas para fines de solución de problemas) configuradas con seguimiento de eventos activado.

Revise el firewall de Internet, IPS y eventos Anti-malware seleccionando el preset respectivo en CMA. Establezca filtros para reducir el tráfico interesante y verifique si el flujo fue bloqueado por el firewall o los motores IPS/AM. El campo regla mostrará la regla respectiva que coincide con el tráfico.

Asegúrese de revisar la sección de solución de problemas adecuada siguiendo estos pasos de valoración inicial:

Solución de problemas del problema

A continuación se enumeran los pasos para solucionar los síntomas que un Administrador puede encontrar. Estos pasos están destinados a identificar posibles causas de los problemas enfrentados. Los pasos para la resolución se destacarán más adelante en el manual.

Revisión de registros de auditoría

Verifique el rastro de auditoría para cualquier registro modificado que pueda haber afectado el acceso a los recursos internos. Esto incluye reglas de firewall de Internet, configuraciones AM/IPS e inspección TLS.

Solución de problemas de sitio web que no carga utilizando eventos

Encontrar flujos relevantes en eventos

Usando la página de Inicio > Eventos en CMA, un administrador puede rápidamente obtener un historial de eventos de conectividad para sitios dentro de una cuenta. Los eventos se pueden filtrar en eventos relevantes seleccionando el preset 'firewall de Internet', o filtrando por tipo de Evento 'Seguridad' y Subtipo 'firewall de Internet'. Puede filtrar además por el nombre del sitio en cuestión con el campo 'Sitio de origen'.

 

Para una aplicación o sitio fallido que no está cargando, intente filtrar en el flujo en cuestión. Para hacer esto puede agregar más campos de filtro en la búsqueda. Por ejemplo, puede querer filtrar basado en 'Dominio' o 'IP de Destino'. De lo contrario, puede querer filtrar basado en la 'IP de Origen' o cualquier flujo en el que la 'Acción' fue Bloquear. 

 

Una vez que ha identificado los eventos que son relevantes para el flujo que se está solucionando, podemos continuar analizando la información vista aquí.

 

Analizando campos de eventos

Los campos de eventos ofrecerán mucha información sobre flujos individuales y ayudarán a un administrador a asegurar que la política y configuración de CMA para un flujo dado sea correcta, o identificar desajustes o problemas en el flujo.

Los campos que pueden indicar causas de inaccesibilidad de una aplicación son los siguientes:

  • Acción
    Si el flujo fue bloqueado, esto indica que el flujo está siendo interceptado basado en las políticas de seguridad configuradas en Seguridad > Firewall de Internet. La regla que bloqueó este tráfico también se listará como un campo en el evento.

    Si esta regla de firewall no es la que esperaría que este tráfico fuera accionado, por favor visite la sección Resolviendo coincidencia de flujo con regla incorrecta

    Si la acción muestra 'RBI', vea Solución de problemas de flujos RBI
     
  • Nombre PoP/ Fuente Pública IP
    Puede ser importante saber en qué forma el tráfico está llegando a la aplicación basada en internet. Particularmente en lo que respecta a la IP de origen. Estos campos ayudan a un administrador a determinar qué IP de origen y región están dejando los paquetes en el PoP, y son impactados por la configuración de salida dentro de la base de reglas de red.
    Monosnap Cato|Liam-lab - Eventos 🔊 2024-03-01 09-26-37.png

    Asegúrese de que la aplicación no incluya en lista negra o bloquee geográficamente las IP de Cato. Si el PoP saliente o la IP de origen no coincide con sus expectativas basadas en sus reglas de red, siga el flujo de solución de problemas de desajuste de reglas para la regla de red en cuestión.
     
  • Inspección TLS
    El campo de inspección TLS identifica si el flujo en cuestión fue interceptado para inspección de datos a través de TLSI. Un valor de 1 sugiere que el flujo fue inspeccionado.

    Algunas aplicaciones no manejan bien ser inspeccionadas, especialmente aquellas que usan técnicas de seguridad como la fijación de certificados. Para los flujos que parecen ser impactados debido a la interceptación de la inspección TLS, vea Resolviendo aplicaciones que fallan debido a TLSI.
     
  • Aceleración TCP
    La aceleración TCP es un método de optimización del tráfico TCP a medida que atraviesa la nube de Cato. Las formas en que funciona la aceleración TCP y cómo puede impactar el tráfico para aplicaciones de Internet se describen aquí.
     

 

Solución de problemas de sitio web que no carga - Sin eventos

Si no se pudieron encontrar eventos para un flujo, y todas las reglas relevantes en Seguridad > Firewall de Internet están establecidas para bloquear o monitorear, entonces es probable que el flujo no esté alcanzando la etapa en la que el flujo sería registrado. Esto puede deberse a un error de configuración o un problema con el éxito del protocolo que precede al flujo, como DNS.

El primer paso para solucionar problemas es confirmar que este problema es específico para el tráfico que atraviesa a Cato. Esto se puede hacer omitendo a Cato conectando un host directamente a la conexión a Internet o utilizando la omisión del socket o dividir el túnel para los sitios de socket y usuarios SDP respectivamente. Si el sitio web aún no se carga al evitar a Cato, esto no es un problema de Cato y debe tratarse con un ISP o los proveedores de la aplicación. Si el problema no se presenta al evitar a Cato, continúe con este flujo de solución de problemas.

 

Solución de problemas de resolución de DNS

Si un flujo no está alcanzando la etapa en la que se puede generar un evento, una causa probable es que la incapacidad de completar el DNS está impidiendo que el flujo hacia la aplicación de Internet sea iniciado desde el cliente.

Para el host al que esta aplicación está fallando, pruebe la resolución de DNS para el nombre de host de la aplicación en cuestión para determinar si DNS está devolviendo una respuesta correctamente.

Para los casos donde el DNS está fallando:

Si sus servidores DNS son servidores DNS basados en Internet externos, considere cambiar los servidores DNS según las mejores prácticas de Cato para DNS.

Si los servidores DNS en uso son los servidores recomendados por Cato (10.254.254.1 y 8.8.8.8), asegúrese de que estos flujos de DNS no estén bloqueados utilizando el flujo de solución de problemas descrito en Encontrar flujos relevantes en eventos.

Si se están utilizando servidores DNS privados, asegúrese de que las solicitudes DNS estén llegando a esos servidores y verifique que la respuesta coincide con las expectativas.

 

Verifique la configuración de omisión para sitios de socket

Los flujos que se saltan en los sitios de socket no aparecerán en la página de Eventos y no estarán sujetos a la optimización del tráfico o motores de seguridad de Cato. Esto puede llevar a problemas de accesibilidad, particularmente en casos donde direcciones IP específicas conocidas necesitan ser origen del tráfico hacia la aplicación de Internet.

Asegúrese de que el flujo en cuestión no esté incluido en una regla de omisión si no es necesario:

 

Verifique el túnel dividido para clientes SDP

Los flujos que están dentro del alcance de una política de túnel dividido para clientes SDP no aparecerán en la página de Eventos y no estarán sujetos a la optimización del tráfico o motores de seguridad de Cato. Esto puede llevar a problemas de accesibilidad, particularmente en casos donde direcciones IP específicas conocidas necesitan ser origen del tráfico hacia la aplicación de Internet.

Asegúrese de que el flujo en cuestión no esté dentro del alcance de una regla de política de túnel dividido si no es necesario:

Verifique la configuración del nivel de confianza para clientes SDP

Los niveles de confianza de seguridad en Internet remoto pueden impactar el tráfico de Internet a usuarios SDP en casos donde la autenticación a Cato haya expirado. El comportamiento de cambio automático para sesiones de usuario que tienen tokens expirados puede causar que el tráfico de Internet no sea dirigido hacia Cato. Esto puede llevar a problemas de accesibilidad, particularmente en casos donde direcciones IP específicas conocidas necesitan ser origen del tráfico hacia la aplicación de Internet.

Para un usuario que tiene una sesión expirada, asegúrese de que el usuario pueda acceder a Internet incluso con baja confianza, o de que renueven su autenticación.

 

Solución de problemas de desajuste de reglas de firewall de Internet

Al configurar una regla de firewall, es posible que el tráfico se evalúe contra la regla incorrecta. Esta sección cubre todos los posibles escenarios de desajuste y cómo solucionar este problema.

Verificación de aplicación personalizada

Si se espera que el tráfico interesante coincida con una aplicación personalizada y el campo Aplicación encontrado en el evento FW no coincide, confirme que la aplicación personalizada está correctamente configurada. Tenga en cuenta que cuando existan aplicaciones personalizadas superpuestas, Cato solo identifica el tráfico como una de las aplicaciones personalizadas

Para prevenir este problema, por favor consulte la sección Resolviendo aplicaciones personalizadas superpuestas.

Verificación de aplicación/servicio integrado

Si se espera que el tráfico interesante coincida con una aplicación o servicio integrado y el tráfico coincide con la regla de firewall incorrecta, verifique lo siguiente:

  • Qué aplicaciones o servicios están configurados en la regla de firewall 'incorrecta'.
  • Si alguna de estas aplicaciones/servicios está listada en el campo Aplicaciones relacionadas del evento FW.

La identificación de la app/servicio es un proceso de varios pasos que comienza con la identificación del protocolo y luego todas las aplicaciones posibles que se pueden coincidir que están incluidas en el campo Aplicaciones relacionadas. Cualquier aplicación 'relacionada' identificada en un flujo independientemente de la decisión de la app final (campo Aplicación) coincidirá con una regla de firewall.

En el ejemplo a continuación, el tráfico de YouTube coincide con la regla #3 en lugar de la regla #4. Esto es porque la regla #3 incluye el servicio TCP (incluido en Aplicaciones relacionadas) aunque la aplicación final (campo Aplicación) es YouTube.

Para resolver este comportamiento esperado, vea Ordenamiento de reglas de firewall. Un desajuste de aplicación integrada también puede solucionarse agregando el nombre de dominio de la aplicación relevante a la regla de firewall, como se ve en el evento CMA, o reportando el desajuste al soporte.

Verificación del nombre de dominio

Si una regla de firewall contiene un objeto de dominio o FQDN, verifique cuál es el campo Nombre de dominio en el evento FW. El objeto de Dominio/FQDN en la regla de firewall debe ser idéntico a este campo.

Tenga en cuenta que un FQDN es una coincidencia exacta del dominio completamente calificado. Por ejemplo, el FQDN example.com solo coincide con example.com.

Por otro lado, un Dominio es un dominio de nivel superior (TLD) o de segundo nivel (SLD) que coincide con todos los subdominios. Por ejemplo, el Dominio example.com coincide con www.example.com y host.example.com.

Podría haber casos donde Cato no puede determinar el Nombre de Dominio correcto de los flujos HTTP, TLS o DNS. Para resolver estos tipos de problemas, consulte Resolución de problemas de Nombre de Dominio

Solución de problemas de errores de certificados

Los errores de certificado son otro síntoma común cuando hay problemas de accesibilidad a aplicaciones de internet. Las páginas de interrupción relacionadas con TLS son comunes y ayudan a los administradores a determinar la causa de la falla de accesibilidad de la aplicación.

Si la página bloqueada sugiere un error de TLS como se indica arriba, el flujo relevante se puede encontrar en los eventos. El sub-tipo de filtro es TLS que se puede usar para ampliar eventos específicos relacionados con errores TLS. 



Aquí se puede identificar el motivo del bloqueo para cualquier flujo que fue bloqueado debido a un error TLS. 

 

Si se muestra el siguiente error, a pesar de que el certificado del sitio sea válido y el sitio sea accesible fuera de Cato, por favor abra un caso con Soporte de Cato.

 Solución de problemas de certificado no confiable para todo el tráfico

Si todo el tráfico dirigido a internet para usuarios o hosts particulares está recibiendo errores de privacidad o confianza y el TLSI está habilitado para el tráfico en cuestión, es probable que el certificado necesario para que TLSI funcione no esté presente en el dispositivo. 

Comprobando si se está usando un certificado personalizado

Al investigar cómo garantizar que el tráfico pueda ser interceptado exitosamente para TLSI sin interrumpir los flujos, primero se necesita determinar si se está usando algún certificado personalizado. Al observar el certificado presentado a través del navegador, podemos identificar si el certificado predeterminado de Cato o uno personalizado está actuando como la autoridad de certificación.

En la captura de pantalla anterior, podemos ver que la CA para el certificado inyectado no es el cert estándar de Cato. Podemos comprobar nuestros certificados personalizados en Cato a través de Seguridad > Gestión de Certificados para identificar si coincide con nuestro certificado activo configurado:

Esto ayuda a un administrador a identificar qué certificado requiere distribución a los clientes finales.

 

Verifique si los certs relevantes están instalados

Una vez que hemos identificado qué certificado necesita ser instalado en los hosts para que estos flujos funcionen, podemos seguir esta guía para asegurar que esos certificados estén instalados en los dispositivos.

 

 

Solución de problemas de página bloqueada errónea

Cuando se presenta una página bloqueada, es importante determinar desde la página bloqueada el tipo de bloqueo que ha tenido lugar y cómo debería avanzar la solución de problemas.

La página de interrupción anterior indica que este bloqueo fue generado por el firewall de internet. Si la regla que bloqueó este flujo está configurada para el seguimiento de Eventos, este flujo se mostrará en la página de eventos y se puede analizar más a fondo:

 

Solución de problemas de flujos RBI

Si una URL está activando una regla de RBI contra expectativas, asegúrese de que la URL se esté clasificando correctamente, como en Resolución de errores de categorización de URL.

Si un usuario experimenta un problema al navegar por una URL determinada, puede generar una sesión de emulación de prueba de RBI para la URL con la Utilidad Admin RBI. Ingrese el URL HTTP o HTTPS válido y luego siga el enlace resultante para ver el sitio en una sesión de RBI. La utilidad envía este tráfico directamente al servicio RBI sin pasar a través de Cato Cloud. Esto puede ayudar a determinar si el problema de un usuario se relaciona con el servicio RBI en sí, o es causado por otros problemas como la configuración de cuentas o la conectividad de la infraestructura de Cato. Por ejemplo, un usuario conectado a Cato no puede navegar hacia un sitio web no categorizado configurado para RBI, pero el administrador puede acceder al sitio usando la utilidad. Esto puede indicar que el servicio RBI está funcionando correctamente y el problema está relacionado con la conectividad entre un PoP y el servicio.

Después de ejecutar una sesión de RBI desde la utilidad, puede enviar los resultados a Soporte para ayudarlos a resolver el problema.


Para resolver con la Utilidad Admin RBI:

  1. Desde el panel de navegación, seleccione Seguridad > RBI.
  2. Bajo Utilidad Admin RBI, ingrese una URL HTTP o HTTPS válida. Por ejemplo: https://maps.google.com
  3. Haga clic en Generar. Se crea una URL para la sesión RBI.
  4. Haga clic en el enlace al lado de la URL. La sesión RBI se abre en tu navegador predeterminado.

 

Solución de problemas de renderizado en China

Para este caso de uso específico, por favor consulte nuestro KB relevante sobre este tema, China | Página web con problemas de renderizado

 

Resolución de problemas descubiertos

Resolución de aplicación personalizada superpuesta

Asegúrese de que la aplicación personalizada incluya las direcciones IP correctas, Dominio, Puerto y Protocolo. No hay lógica sobre qué aplicación personalizada se elige para la identificación, por lo que la aplicación personalizada debe ser definida de manera única para evitar superposiciones con otra aplicación personalizada. Para más información, consulte Trabajando con Aplicaciones Personalizadas

Ordenamiento de reglas de firewall

Tenga en cuenta que las Reglas de Firewall se evalúan según su orden, por lo que es importante definir reglas más específicas sobre reglas más generales. Por ejemplo, las Reglas de Firewall que definen una aplicación personalizada, aplicación incorporada, dominio, FQDN o servicio personalizado deberían estar por encima de las Reglas de Firewall que contienen categorías, categorías personalizadas o servicios.

En la captura de pantalla de abajo, la Regla #1 contiene un servicio personalizado que incluye rangos de IP para twitter.com y está por encima de la Regla #2 que contiene Categorías de Aplicaciones. La Regla #1 es más específica que la Regla #2 y será un mejor match para el tráfico destinado a twitter.com. Esto además deshabilitará la aceleración TCP y resolverá cualquier problema de enrutamiento Off-Cloud o Alt-WAN dado que la Regla #1 es una simple regla.

Resolución de problemas de Nombre de Dominio

Los problemas de coincidencia de Reglas de Firewall basados en Nombre de Dominio/FQDN se pueden resolver de la siguiente manera:

  • Para protocolos como HTTP/S, Cato puede determinar el dominio de destino utilizando las siguientes fuentes:

    • Encabezado de nombre de host HTTP (quando la inspección TLS está habilitada)

    • Campo SNI durante el apretón de manos TLS

    • Resolución DNS, donde el nombre de dominio se aprende a partir de consultas y respuestas DNS

  • Es importante asegurar que el dominio especificado en la Regla de Firewall sea consistente en todas estas fuentes. Tenga en cuenta que solo el nombre de dominio mejor clasificado (evaluado de arriba a abajo) se muestra como Nombre de Dominio en los eventos de Firewall. 

  • Para otros protocolos, como SSH o SMB, que no envían un dominio en texto plano, Cato se basa exclusivamente en la interceptación DNS para asociar el tráfico con un dominio o FQDN. Esto es particularmente crítico cuando se usa un DNS privado, ya que necesitamos asegurarnos de que las consultas/respuestas DNS pasen por Cato. Consulte Prácticas recomendadas para DNS y su cuenta Cato.
  • DoH (DNS sobre HTTPS) y DNS sobre TLS no son compatibles para la coincidencia de Nombre de Dominio/Aplicación, por lo tanto, deben ser bloqueados en las reglas de Firewall para forzar el movimiento de consultas DNS a UDP/53.

Resolviendo aplicaciones fallidas debido a TLSI

Para flujos inspeccionados TLS que son inspeccionados erróneamente, asegúrese de que la base de reglas TLSI ordenadas esté configurada correctamente, teniendo en cuenta la coincidencia de aplicaciones del flujo y la naturaleza ordenada de las reglas, como se describe aquí.

Si un flujo es inspeccionado intencionadamente y esto está causando que la aplicación de internet falle, considere configurar una regla de bypass para la aplicación en cuestión.

 

Resolución de errores de categorización de URL

Para recategorizar dominios, por favor vea nuestra documentación sobre Identificación de la categoría para un dominio.

 

Resolución de falso positivo IPS/Anti-malware bloqueo

Revise los eventos de IPS/Anti-malware seleccionando los preajustes IPS y Anti-malware en CMA. Configure los filtros para reducir el tráfico interesante y verifique si el flujo fue bloqueado por los motores IPS o AM. 

Si el tráfico interesante es bloqueado por IPS/AM, puede agregar listas de permitidos con alcance Internet a las configuraciones de IPS y Anti-malware.

 

 

Iniciando casos para Soporte de Cato

Envíe un ticket de soporte con los resultados de los pasos de resolución de problemas anteriores. Por favor, incluya la siguiente información en el ticket:

  • Detalles del problema experimentado e impacto general en los usuarios.
  • Eventos de Firewall relacionados y configuración de Regla de Firewall.
  • Reproduzca el problema y ejecute el Portal de Autoservicio de Soporte. Incluya el número de ticket generado por la herramienta.
  •  

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios