Problème
Cisco Umbrella fournit la sécurité des terminaux en redirigeant les requêtes DNS vers son réseau mondial de serveurs.
Si l'inspection TLS de Cato est activée dans le compte et si l'option 'Certificats de Serveur Non Fiables' est configurée sur Blocage ou Avertissement, les sites web nécessitant une redirection par Cisco Umbrella (en raison d'une action de sécurité Cisco) recevront une page de Blocage/Avertissement de Cato.
Environnement
- L'inspection TLS est activée
- L'option 'Certificats de Serveur Non Fiables' est configurée sur Blocage ou Avertissement.
Dépannage
- Trouver les événements TLS associés pour le site web bloqué. Le champ d'erreur du certificat TLS affichera 'Impossible d'obtenir le certificat de l'émetteur local'.
- Si l'adresse IP de destination montrée dans l'événement se situe dans les plages d'IP 146.112.0.0/16, 155.190.0.0/16 et 151.186.0.0/16, cela indique qu'une redirection DNS par Cisco Umbrella a eu lieu.
- La redirection déclenchera une erreur TLS de Cato dirigée par une page de blocage/avertissement de Cato car l'émetteur du certificat du site web (Cisco Umbrella Root CA) n'est pas fiable pour Cato. La chaîne de certificats ci-dessous est présentée à l'utilisateur final lors de la contournement de Cato.
Solution
Les plages d'IP de Cisco Umbrella doivent être contournées de l'inspection TLS de Cato. En faisant cela, Cato ne bloquera pas la redirection Umbrella en raison d'une vérification de certificat échouée.
Selon le site web de Cisco, les plages d'IP utilisées par le service Umbrella sont 146.112.0.0/16, 155.190.0.0/16 et 151.186.0.0/16.
Pour obtenir des informations sur la manière de contourner l'inspection TLS, consultez Utilisation des règles qui contournent le trafic TLS.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.