Cisco Umbrella DNSリダイレクトがTLSブロック/警告ページを取得しています

問題

Cisco UmbrellaはDNSリクエストをそのグローバルネットワークのサーバーにリダイレクトすることでエンドポイントセキュリティを提供します。

アカウントでCatoのTLSインスペクションが有効になっており、「信頼されないサーバ証明書」オプションがブロックまたは警告に設定されている場合、CiscoのセキュリティアクションによりCisco Umbrellaによるリダイレクトが必要なウェブサイトは、Catoのブロック/警告ページを受け取ります。

環境

• TLSインスペクションが有効です
• '信頼されないサーバ証明書'オプションは'ブロック'または'警告'に設定されています。

トラブルシューティング

• ブロックされたウェブサイトに関連するTLSイベントを見つけます。 TLS証明書エラーの項目には「ローカルの発行者証明書を取得できません。」と表示されます。
• イベントに表示された宛先IPがIP範囲146.112.0.0/16、155.190.0.0/16、151.186.0.0/16の範囲内であれば、Cisco UmbrellaによるDNSリダイレクトが行われたことを示します。

• リダイレクトは、Catoによってウェブサイトの証明書発行者（Cisco Umbrella Root CA）が信頼されていないため、Catoブロック/警告ページによって誘発されたCato TLSエラーを引き起こします。 Catoをバイパスする際、以下の証明書チェーンがエンドユーザーに提示されます。

解決策

Cisco UmbrellaのIP範囲はCatoのTLSインスペクションからバイパスされなければなりません。 これにより、証明書検査の失敗によりCatoがUmbrellaのリダイレクトをブロックすることはありません。

Ciscoのウェブサイトによると、Umbrellaサービスが使用するIP範囲は146.112.0.0/16、155.190.0.0/16、および151.186.0.0/16です。

TLSインスペクションをバイパスする方法については、「TLSトラフィックをバイパスするルールの使用」を参照してください。