시스코 Umbrella DNS 리다이렉션 TLS 차단/경고 페이지 가져오는 중

문제

Cisco Umbrella는 DNS 요청을 글로벌 네트워크 서버로 리다이렉션하여 엔드포인트 보안을 제공합니다．

만약 Cato의 TLS 검사가 계정에서 활성화되어 있고 '신뢰할 수 없는 서버 인증서' 옵션이 차단 또는 경고로 설정된 경우, Cisco 보안 조치로 인해 Cisco Umbrella에 의해 리다이렉션이 필요한 웹사이트는 Cato 차단/경고 페이지를 받게 됩니다．

환경

• TLS 검사가 활성화됨
• '신뢰할 수 없는 서버 인증서' 옵션이 차단 또는 경고로 설정됨．

문제 해결

• 차단된 웹사이트에 대한 관련 TLS 이벤트를 찾으세요． TLS 인증서 오류 필드에 '로컬 발급자 인증서를 가져올 수 없음'이 표시됩니다
• 이벤트에 표시된 대상 IP가 IP 범위 146.112.0.0/16, 155.190.0.0/16, 151.186.0.0/16 내에 있으면, Cisco Umbrella에 의해 DNS 리다이렉션이 발생한 것입니다．

• 리다이렉션은 Cato가 웹사이트의 인증서 발급자(Cisco Umbrella Root CA)를 신뢰하지 않으므로 Cato 차단/경고 페이지에 의해 발동된 Cato TLS 오류를 유발합니다． Cato를 우회할 때 아래의 인증서 체인이 최종 사용자에게 표시됩니다．

솔루션

Cisco Umbrella의 IP 범위는 Cato TLS 검사에서 우회되어야 합니다． 이렇게 하면, Cato는 인증서 검사 실패로 인해 Umbrella 리다이렉션을 차단하지 않습니다.

시스코의 웹사이트에 따르면, Umbrella 서비스에서 사용하는 IP 범위는 146.112.0.0/16, 155.190.0.0/16, 및 151.186.0.0/16입니다.

TLS 검사를 우회하는 방법에 대한 자세한 내용은 TLS 트래픽을 우회하는 규칙 사용을 참조하세요．