インターネットサービス到達性トラブルシューティング

概要

インターネットを介してクラウドベースのアプリケーションにアクセスすることは、サイトまたはユーザーが促進するビジネストラフィックの大部分を占めています。 インターネット経由で到達する重要なサービスが到達不能な場合、これはビジネスパフォーマンスに大きな影響を与える可能性があります。 このプレイブックは、このようなシナリオでの支援を目的としています。

症状

• ウェブサイトが読み込まれない
  • これはいくつかの方法で現れる可能性がありますが、通常、サイトにアクセスしようとするときにブラウザのリクエストがタイムアウトします。
• ファイアウォールルールの不一致
• 証明書エラー
  • サイトまたはアプリケーションをHTTPS経由でブラウズしようとすると、証明書エラーが表示されます
• ブロックページ
  • サイトまたはアプリケーションにアクセスしようとすると、トラフィックがブロックされていることを示すスプラッシュページが表示されます。

可能性のある原因

• インターネットファイアウォールルールがトラフィックをブロックした
• サービス到達性、地域でブロックされたIPアドレスを含む
• TLSインスペクションと互換性がない
• TLSエラー
• TLSIの事前条件が満たされていない - 例: 証明書のインストール
• 誤分類されたURL
• 誤検知によるセキュリティエンジンの結果
• RBIサービスの失敗

初期評価

CMAで適切なプリセットを選択して、インターネットファイアウォール、IPS、マルウェア対策イベントを確認します。 興味のあるトラフィックを絞り込むためにフィルタを設定し、フローがファイアウォールまたはIPS/AMエンジンによってブロックされたかどうかを確認します。 ルール フィールドには、トラフィックに一致する対応するルールが表示されます。

次の初期評価のステップに従って、適切なトラブルシューティングセクションを確認してください：

• アプリケーションに到達しようとする試みに関する関連FWイベントを見つけた場合は、イベントを使ったウェブサイトがロードされないトラブルシューティングに進んでください
• テストしたフローに対してイベントが生成されていない場合は、イベントなしでのウェブサイトがロードされないトラブルシューティングに進んでください
• もしIPSやアンチマルウェアイベントが、サードパーティエンジンが内部サーバーへのアクセスをブロックしていることを示した場合、またはIPSやアンチマルウェアに関連するスプラッシュページがレプリケーションに表示された場合、偽陽性のIPS/アンチマルウェアブロックの解消に進んでください
• 企業ポリシーに関連したスプラッシュページが報告または再現された場合、誤ったブロックページのトラブルシューティングを訪問してください
• アプリケーションが不信証明書を報告する場合、すべてのトラフィックのための不信証明書のトラブルシューティングに移動してください。
• インターネットアプリケーションに到達しようとするときに、スプラッシュページにTLSエラーが報告された場合、証明書エラーのトラブルシューティングを参照してください
• 中国限定のウェブサイトレンダリング問題に関しては、中国内でのレンダリング問題のトラブルシューティングをご覧ください

問題のトラブルシューティング

管理者が直面する可能性のある症状のトラブルシューティング手順は以下に示されています。 これらのステップは、直面している問題の原因を特定するためのものです。 解決ステップは、後のプレイブックで強調されます。

監査証跡ログの確認

どのような変更済みログでも、内部リソースへのアクセスに影響を与えた可能性があるため、監査証跡を確認してください。 これには、インターネットファイアウォールのルール、AM/IPSの設定、およびTLSインスペクションが含まれます。

イベントを使用してウェブサイトが読み込まれないトラブルシューティング

イベントで関連するフローの特定

CMAのホーム>イベントページを使用すると、管理者はアカウント内のサイトの接続イベントの履歴を迅速に取得できます。 イベントは、「インターネットファイアウォール」プリセットを選択するか、「イベントタイプ」セキュリティ「サブタイプ」インターネットファイアウォールをフィルタリングすることで関連するイベントにフィルタリングできます。 さらに「ソースサイト」フィールドで該当するサイト名でフィルタリングできます。

ロードされないアプリケーションやサイトについては、その該当するフローをフィルタリングすることを試みてください。 これを行うには、検索でさらにフィルタフィールドを追加できます。 例えば、「ドメイン」や「宛先IP」に基づいてフィルタリングしたいと考えるかもしれません。 または、『送信元IP』や『アクション』がブロックされたフローに基づいてフィルタリングすることを望むかもしれません。 

一度、トラブルシューティング中のフローに関連するイベントを特定したら、ここで見える情報の分析を続けることができます。

イベントフィールドの分析

イベントフィールドは個々のフローに関する多くの情報を提供し、管理者が特定のフローに対するCMAポリシーと構成が正しいかを確認したり、フロー内の不一致や問題を特定したりするのに役立ちます。

アプリケーションの到達不能の原因を示すことができる項目は次のとおりです：

• アクション
  フローがブロックされた場合、これはフローがセキュリティ > インターネットファイアウォールで設定済みのセキュリティポリシーに基づいて遮断されていることを示しています。 このトラフィックをブロックしたルールもイベントのフィールドとして表示されます。
  
  このファイアウォールルールが予想していたトラフィックに対するものでない場合は、フローが間違ったルールと一致する問題の解決セクションをご覧ください。 
  
  アクションが「RBI」を示す場合は、RBIフローのトラブルシューティングを表示してください
   
• PoP 名前/ 公開ソース IP
  トラフィックがインターネットベースのアプリケーションにどのような形で到達しているかを知ることが重要かもしれません。 特に送信元IPに関して。 これらのフィールドは、管理者がどの送信元IPアドレスと地域からパケットがPoPを通過しているかを判断するのに役立ち、ネットワークルールの内部での出力設定に影響を受けます。
  
  
  アプリケーションがCatoのIPをブラックリストまたは地域ブロックしないようにしてください。 ネットワークルールに基づいて送信先のPoPまたは送信元IPが期待と一致しない場合は、該当するネットワークルールのルール不一致トラブルシューティングフローに従ってください。
   
• TLSインスペクション
  TLSインスペクションフィールドは、問題のフローがTLSIによるデータのインスペクションのために傍受されたかどうかを識別します。 1の値は、フローが検査されたことを示唆しています。
  
  一部のアプリケーションは、特に証明書ピンニングなどのセキュリティ技術を使用している場合に、検査を正しく処理できません。 TLSインスペクションの傍受のために影響を受けるように見えるフローについては、TLSIによるアプリケーションの失敗の解決を参照してください。
   
• TCPアクセラレーション
  TCPアクセラレーションはCatoクラウドを経由する際のTCPトラフィックを最適化する方法です。 TCPアクセラレーションの仕組みとインターネットアプリケーションのトラフィックへの影響はこちらをご覧ください。
   

ウェブサイトが読み込まれないトラブルシューティング - イベントなし

フローに対するイベントが見つからない場合や、セキュリティ > インターネットファイアウォールのすべての関連ルールがブロックまたはモニターに設定されている場合、フローが登録される段階に達していない可能性があります。 これは、構成エラーや、DNSのようなプロトコルの成功がフローに先立つ問題による可能性があります。

問題解決の第一歩は、この問題がCatoを通過するトラフィックに特有のものであるかを確認することです。 これは、直接インターネット接続にホストを接続するか、それぞれソケットサイトとSDPユーザー向けのSocketバイパスまたはスプリットトンネルを利用してCatoをバイパスすることで行えます。 Catoをバイパスしてもウェブサイトが読み込まれない場合、これはCatoの問題ではなく、ISPまたはアプリケーションのプロバイダーに相談する必要があります。 Catoをバイパスしたときに問題が発生しない場合は、このトラブルシューティングフローを続行してください。

DNS解決のトラブルシューティング

フローがイベントが生成できる段階に達していない場合、考えられる原因としては、DNSを完了できないことがクライアントからインターネットアプリケーションへのフローを開始することを妨げていることです。

このアプリケーションが失敗しているホストについて、問題のアプリケーションのホスト名に対するDNS解決をテストし、DNSが正常に応答を返しているかどうかを確認してください。

DNSが失敗している場合：

DNSサーバーが外部インターネットベースのDNSサーバーの場合、DNS用のCatoベストプラクティスに従ってDNSサーバーを変更することを検討してください。

使用中のDNSサーバーがCatoの推奨サーバー（10.254.254.1および8.8.8.8）である場合、イベントで関連フローを見つけるで説明されるトラブルシューティングフローを使用して、これらのDNSフローがブロックされていないことを確認してください。

プライベートDNSサーバーを使用している場合、DNSリクエストがそれらのサーバーに到達していることを確認し、応答が期待に一致していることを検証してください。

ソケットサイトのバイパス設定を確認

ソケットサイトでバイパスされるフローは、イベントページに表示されず、Catoのトラフィック最適化やセキュリティエンジンの対象にはなりません。 具体的な既知のIPアドレスがインターネットアプリケーションにトラフィックを向ける必要がある場合に、到達性の問題を引き起こす可能性があります。

必要でない場合は、該当するフローがバイパスルールに含まれていないことを確認してください：

SDPクライアントのスプリットトンネルを確認

SDPクライアント用のスプリットトンネルポリシーの範囲内にあるフローは、イベントページに表示されず、Catoのトラフィック最適化やセキュリティエンジンの対象にはなりません。 特定の既知のIPアドレスがインターネットアプリケーションにトラフィックを送る必要がある場合に、到達性の問題を引き起こす可能性があります。

必要でない場合は、該当するフローがスプリットトンネルポリシーのルールのスコープ内に含まれていないことを確認してください：

SDPクライアントの信頼度レベル設定を確認

リモートインターネットセキュリティ信頼度レベルは、Catoへの認証が期限切れの場合に、SDPユーザへのインターネットトラフィックに影響を与える可能性があります。 期限切れのトークンを持つユーザーセッションのフェイルオーバー挙動は、インターネットへのトラフィックがCatoにルーティングされない原因となることがあります。 既知の特定のIPアドレスがインターネットアプリケーションへのトラフィックの発信元になる必要がある場合に、到達性の問題を引き起こす可能性があります。

セッションが期限切れのユーザーに対して、低い信頼度でもインターネットにアクセスできることを確認するか、認証の更新を行わせてください。

インターネットファイアウォールルールの不一致のトラブルシューティング

ファイアウォールルールを設定する際に、トラフィックが誤ったルールに対して評価される可能性があります。 このセクションでは、すべての可能な不一致シナリオとこの問題をトラブルシューティングする方法をカバーしています。

カスタムアプリケーションの確認

該当するトラフィックがカスタムアプリケーションに適合することが期待される場合、FWイベントで見つかったアプリケーションフィールドが一致しない場合は、カスタムアプリが正しく設定されていることを確認してください。 オーバーラップするカスタムアプリケーションが存在する場合、Catoはのみトラフィックをカスタムアプリケーションのうちの1つとして識別することに注意してください。 

この問題を防ぐために、オーバーラップするカスタムアプリケーションの解決セクションを参照してください。

組み込みのアプリケーション/サービスの確認

興味深いトラフィックが組み込みアプリケーションまたはサービスと一致することを期待し、トラフィックが誤ったファイアウォールルールと一致する場合は、以下を確認してください：

• 「誤った」一致ファイアウォールルールに構成されているアプリケーションまたはサービスは何ですか。
• これらのアプリケーション/サービスのいずれかがFWイベントの 関連アプリケーション フィールドにリストされているかどうか。

アプリ/サービスの識別は、プロトコルの識別から始まり、関連アプリケーション フィールドに含まれるすべての一致可能なアプリケーションを識別する複数のステップにわたるプロセスです。 フローで特定された「関連アプリ」は、最終アプリケーション（アプリケーション フィールド）の決定に関係なくファイアウォールルールと一致します。

以下の例では、YouTube トラフィックはルール #4 ではなくルール #3 に一致しています。 これは、ルール #3 が TCP サービス (関連アプリケーション に含まれる) を含んでいるためです。最終アプリケーション (アプリケーション フィールド) が YouTube であっても。

この予想される動作を解決するには、ファイアウォールルール順序を参照してください。 CMA イベントに示されているように、関連するアプリケーションドメイン名をファイアウォールルールに追加することによって、組み込みアプリケーションの不一致も解決できます。または サポート に不一致を報告することもできます。

ドメイン名の確認

ファイアウォールルールにドメインまたはFQDNオブジェクトが含まれている場合は、FWイベントの ドメイン名 フィールドが何であるかを確認してください。 ファイアウォールルール内のドメイン/FQDNオブジェクトは、このフィールドと同じでなければなりません。

FQDN は完全修飾ドメイン名の完全一致です。 例として、FQDN example.com は example.com. のみと一致します。

一方で、ドメインは、すべてのサブドメインと一致するトップレベル（TLD）またはセカンドレベルドメイン（SLD）です。 たとえば、ドメイン example.com は www.example.com および host.example.com に一致します。

Cato が HTTP、TLS、または DNS フローから正しいドメイン名を判断できない場合があります。 この種類の問題を解決するには、ドメイン名問題の解決を参照してください

証明書エラーのトラブルシューティング

インターネットアプリケーションの到達可能性の問題に直面した場合、証明書エラーはもう一つの一般的な症状です。 TLSに関連するスプラッシュページは一般的であり、管理者がアプリケーション到達失敗の原因を特定する手助けをします。

ブロックページが上記のようにTLSエラーを示唆する場合、関連するフローはイベントで見つかります。 フィルター・サブタイプはTLSで、TLSエラーに関連する特定のイベントにズームインするために使用できます。 

ここでは、TLSエラーが原因でブロックされたフローのブロック理由を特定できます。 

ウェブサイトの証明書が有効であり、サイトがCato外でアクセス可能であるにもかかわらず、以下のエラーが表示される場合は、Catoサポートにケースを提起してください。

 すべてのトラフィックにおける信頼されていない証明書のトラブルシューティング

特定のユーザーやホストのインターネット向けトラフィック全てでプライバシーまたは信頼エラーが発生し、そのトラフィックについてTLSIが有効化されている場合、TLSI機能するために必要な証明書がデバイスにない可能性があります。 

カスタム証明書が使用中かチェック

フローを破壊せずにTLSIのためにトラフィックが効果的に傍受できるようにする方法を調査する際、まずカスタム証明書が使用されているかどうかを確認する必要があります。 ブラウザーを介して提示される証明書を確認することで、Catoのデフォルト証明書、またはカスタム証明書が証明書機関として機能しているかどうかを認識できます。

上記のスクリーンショットでは、注入された証明書のCAが標準のCato証明書ではないことがわかります。 セキュリティ > 証明書管理を使用してCatoでカスタム証明書を確認し、これが設定済みのアクティブ証明書と一致するかどうかを特定できます：

これにより、管理者はエンドクライアントに配布する必要がある証明書を特定できます。

関連する証明書がインストールされているかどうかを確認

これらのフローを機能させるためにどの証明書をホストにインストールする必要があるかを特定したら、このガイドを参照して、それらの証明書がデバイスにインストールされていることを確認できます。

 

誤ったブロックページのトラブルシューティング

ブロックページが表示された場合、発生したブロックのタイプとトラブルシューティングをどう進めるべきかをブロックページから特定することが重要です。

上記のスプラッシュページは、このブロックがインターネットファイアウォールによって生成されたことを示しています。 このフローをブロックしたルールがイベントトラッキングに設定されている場合、このフローはイベントページに表示され、詳細分析が可能です：

• このルールが誤ってアクティブになり、このフローが異なるルールに一致することを期待していた場合、インターネットファイアウォールルールの不一致トラブルシューティングのセクションを参照してください。
• このルールがURLカテゴリに基づいて有効化され、誤ってこのURLに適用されていると思われる場合は、URL誤分類の解決セクションを参照してください。
• 該当するイベントに一致するアクションが「RBI」の場合、RBIフローのトラブルシューティングへ移動します

RBIフローのトラブルシューティング

URLが期待に反してRBIルールをトリガーしている場合、URL誤分類の解決のように、URLが正しく分類されていることを確認してください。

ユーザーが特定のURLを閲覧する際に問題を経験した場合、管理者RBIユーティリティを使用してそのURLのテストRBIエミュレーションセッションを生成できます。 有効なHTTPまたはHTTPS URLを入力し、生成されたリンクを辿ってRBIセッションでサイトを表示します。 ユーティリティはこのトラフィックをCatoクラウドを通過することなく直接RBIサービスに送信します。 これにより、ユーザーの問題がRBIサービス自体に関連しているのか、アカウント設定やCatoインフラストラクチャの接続性などの他の問題によって引き起こされているのかを判断できます。 例えば、Catoに接続されたユーザーがRBI用に構成された未分類のウェブサイトを閲覧できないが、管理者はユーティリティを使用してサイトにアクセスできる場合があります。 これは、RBIサービスが正常に機能しており、問題がPoPとサービス間の接続性に関連していることを示している可能性があります。

ユーティリティからRBIセッションを実行した後、結果をサポートに報告して問題解決を支援できます。

管理者RBIユーティリティを使用して問題を解決するには：

1. ナビゲーションパネルから、セキュリティ > RBIを選択します。
2. 管理者RBIユーティリティの下で、有効なHTTPまたはHTTPS URLを入力します。 例えば：https://maps.google.com
3. 生成をクリックします。 RBIセッションのためのURLが生成されます。
4. URLの隣にあるリンクをクリックします。 RBIセッションがデフォルトのブラウザで開きます。

中国内でのレンダリング問題のトラブルシューティング

この特定のユースケースについては、このトピックに関する私たちの関連KBをご覧ください。中国｜ウェブページのレンダリング問題

発見された問題の解決

重複するカスタムアプリケーションの解決

カスタムアプリケーションに正しいIPアドレス、ドメイン、ポート、プロトコルが含まれていることを確認してください。 どのカスタムアプリを識別に選択するかにロジックはないので、他のカスタムアプリと重複しないようにカスタムアプリを一意に定義する必要があります。 詳細については、カスタムアプリケーションの操作を参照してください

ファイアウォールルールの順序

ファイアウォールルールはその順序に従って評価されるため、より一般的なルールの上に、より具体的なルールを定義することが重要です。 例として、カスタムアプリケーション、組み込みアプリケーション、ドメイン、FQDNまたはカスタムサービスを定義するファイアウォールルールは、カテゴリ、カスタムカテゴリ、またはサービスを含むファイアウォールルールの上に配置されるべきです。

以下のスクリーンショットでは、ルール #1 は twitter.com の IP 範囲を含むカスタムサービスを含んでおり、アプリケーションカテゴリを含むルール #2 の上に配置されています。 ルール #1 は ルール #2 よりも具体的であり、twitter.com へのトラフィックに対してはより適切です。これにより、TCP アクセラレーションが無効化され、ルール #1 が単純なルールであるため、オフクラウドまたは ALT-WAN ルーティングの問題も解決します。

ドメイン名の問題を解決する

ドメイン/FQDNに基づくファイアウォールルール一致の問題は以下のように解決できます：

• HTTP/Sのようなプロトコルの場合、Catoは次のソースを使用して宛先ドメインを決定できます。

  • HTTPホスト名ヘッダー （TLSインスペクションが有効な場合）

  • SNI フィールドはTLSハンドシェイク中に使用されます。

  • DNS解決、ドメイン名がDNSクエリと応答から取得されます。

• ファイアウォールルールで指定されたドメインがこれらすべてのソース間で一貫していることを確認することが重要です。 注意: ファイアウォールイベントでドメイン名として表示されるのは、上から下まで評価された中で最も一致したドメイン名のみです。 

• その他のプロトコル、例えばSSHやSMBのように、ドメインを平文で送信しないものに対して、CatoはトラフィックをドメインやFQDNに関連付けるためにDNSインターセプションに完全に依存しています。 プライベート DNS を使用する場合、DNS クエリ/応答が Cato を通過することを保証する必要があるため、これは特に重要です。 DNS と Cato アカウントのベストプラクティスを参照してください。
• ドメイン名アプリケーションの一致には HTTPS を介した DoH（DNS）と TLS 介した DNS はサポートされていないため、DNS クエリを UDP/53 に移行させるために、それらをファイアウォールルールでブロックする必要があります。

TLSIによるアプリケーションの失敗を解決する

誤って検出されている TLS の検査フローについては、注文型 TLSI ルールベースが正しく設定されていることを確認してください。フローのアプリケーションマッチと規則のオーダーされた性質を考慮に入れてください。詳細はこちらを参照してください。

もしフローが意図的に検査されており、これがインターネットアプリケーションの障害を引き起こしている場合は、問題のアプリケーションに対してバイパスルールを設定することを検討してください。

URLの誤分類を解決する

ドメインの再カテゴリ化については、ドメインのカテゴリを特定するに関するドキュメントを参照してください。

偽陽性 IPS/アンチマルウェア ブロックの解決

CMAでIPSとマルウェア対策プリセットを選択して、IPS/マルウェア対策イベントを確認します。 フィルターを設定して興味のあるトラフィックを絞り込み、フローがIPSまたはAMエンジンによってブロックされたかどうかを確認します。 

興味のあるトラフィックがIPS/AMによってブロックされている場合、スコープインターネットの許可リストをIPSおよびマルウェア対策の設定に追加できます。

Catoサポートへケースを提出

上記のトラブルシューティング手順の結果を含めたサポートチケットを提出してください。 チケットには以下の情報を含めてください：

• 発生した問題の詳細とユーザーへの全体的な影響。
• 関連するファイアウォールイベントとファイアウォールルールの設定。
• 問題を再現して、サポートセルフサービスを実行します。 ツールによって生成されたチケット番号を含めてください。