Solução de problemas de alcance de serviço de Internet

Visão Geral

O acesso a aplicações baseadas em nuvem pela internet é uma grande parte do tráfego de negócios que um site ou usuário facilita. Se serviços críticos acessados pela internet estiverem indisponíveis, isso pode ter impacto material no desempenho do negócio. Este playbook visa auxiliar em cenários como este.

Sintomas

• Website não carrega
  • Isso pode se manifestar de algumas maneiras; tipicamente, as solicitações do navegador vão expirar ao tentar acessar um site.
• Incompatibilidade de regra de Firewall
• Erro de certificado
  • Um erro de certificado aparece ao tentar navegar para um site ou aplicação sobre HTTPS
• Página de Bloqueio
  • Ao tentar acessar um site ou aplicação, uma página de introdução identificando que o tráfego está bloqueado aparece.

Possíveis Causas

• Regra de Firewall da Internet bloqueou o tráfego
• Alcance do serviço, incluindo IPs bloqueados por região
• Incompatibilidade com Inspeção TLS
• Erro TLS
• Pré-requisitos do TLSI não cumpridos - por exemplo, instalação de certificado
• URL classificada erroneamente
• Resultados de falso positivo do motor de segurança
• Serviço RBI falhando

Avaliação Inicial

Revise eventos de firewall da Internet, IPS e Anti-malware selecionando o preset respectivo no CMA. Defina filtros para restringir o tráfego interessante e verifique se o fluxo foi bloqueado pelo firewall ou pelos motores IPS/AM. O campo de regra mostrará a regra respectiva que corresponde ao tráfego.

Certifique-se de revisar a seção de solução de problemas apropriada seguindo estas etapas de avaliação inicial:

• Se você pode encontrar eventos FW relevantes para as tentativas de alcançar a aplicação, vá para Solução de problemas do site que não carrega usando eventos
• Se nenhum evento parece ter sido gerado para o fluxo testado, vá para Solução de problemas do site que não carrega - Sem eventos
• Se eventos IPS ou Anti-malware mostram que qualquer um desses motores está bloqueando o acesso ao servidor interno, ou a replicação mostra páginas relacionadas ao IPS ou Anti-Malware, vá para Resolução de Bloqueio de Falso Positivo IPS/Anti-Malware
• Se uma página de introdução relacionada à política de internet corporativa for relatada ou reproduzida, visite Solução de problemas de Página de Bloqueio Errônea
• Se a aplicação relatar certificado não confiável, navegue para Solução de Problemas de Certificado Não Confiável para Todo o Tráfego
• Se erros TLS foram relatados em páginas de introdução ao tentar alcançar a aplicação de internet, consulte Solução de Problemas de Erros de Certificado
• Para problemas de renderização de websites especificamente dentro da China, vá para Solução de Problemas de Renderização Dentro da China

Solução de Problemas da Questão

Os passos para solução de problemas dos sintomas que um Administrador pode encontrar estão listados abaixo. Esses passos têm a intenção de identificar causas possíveis para os problemas enfrentados. As etapas de resolução serão destacadas mais tarde no playbook.

Verificação de Logs de Trilha de Auditoria

Verifique a Trilha de Auditoria para quaisquer logs modificados que possam ter impactado o acesso aos recursos internos. Isso inclui regras de firewall da Internet, configurações AM/IPS e inspeção TLS.

Solução de Problemas do website que não carrega usando Eventos

Encontrando Fluxos Relevantes em Eventos

Usando a página Inicial > Eventos no CMA, um administrador pode rapidamente obter um histórico de eventos de conectividade para sites dentro de uma conta. Os eventos podem ser filtrados em eventos relevantes selecionando o preset 'Firewall de Internet', ou filtrando pelo Tipo de Evento 'Segurança' e Sub-tipo 'Firewall de Internet'. Você pode ainda filtrar pelo nome do site em questão com o campo 'Site de origem'.

Para um aplicativo ou site com falha que não está carregando, tente e filtre para o fluxo em questão. Para fazer isso, você pode adicionar mais campos de filtro na pesquisa. Por exemplo, você pode querer filtrar com base em 'Domínio' ou 'IP de Destino'. De outra forma, você pode querer filtrar com base na 'IP de Origem' ou em qualquer fluxo em que a 'Ação' foi Bloquear. 

Assim que você identificar os eventos que são relevantes para o fluxo sendo solucionado, podemos continuar a analisar as informações vistas aqui.

Analisando Campos de Evento

Os campos de evento oferecerão muita informação sobre fluxos individuais e ajudarão um administrador a assegurar que a política e configuração do CMA para um fluxo dado estão corretas, ou a identificar incompatibilidades ou problemas no fluxo.

Campos que podem indicar causas de inacessibilidade de aplicação são os seguintes:

• Ação
  Se o fluxo foi bloqueado, isso indica que o fluxo está sendo interceptado com base nas políticas de segurança configuradas em Segurança > Firewall de Internet. A regra que bloqueou este tráfego também será listada como um campo no evento.
  
  Se esta regra de firewall não for a que você esperava que este tráfego fosse executado, visite a seção Resolvendo Correspondência de Fluxo com Regra Errada. 
  
  Se a ação mostrar 'RBI', visualize Solução de Problemas de Fluxos RBI
   
• Nome do PoP/ IP de Fonte Público
  Pode ser importante saber em que forma o tráfego está alcançando a aplicação baseada na internet. Particularmente em relação ao IP de origem. Esses campos ajudam um administrador a determinar qual IP de origem e região os pacotes estão saindo do PoP e são impactados pela configuração de saída na base de regras de rede.
  
  
  Certifique-se de que a aplicação não inclua na lista negra ou bloqueie geograficamente os IPs da Cato. Se o PoP de saída ou o IP de origem não corresponderem às suas expectativas com base nas suas regras de rede, siga o fluxo de solução de problemas de incompatibilidade de regra para a regra de rede em questão.
   
• Inspeção TLS
  O campo de inspeção TLS identifica se o fluxo em questão foi interceptado para inspeção de dados via TLSI. Um valor de 1 sugere que o fluxo foi inspecionado.
  
  Algumas aplicações não lidam bem com a inspeção, especialmente aquelas que usam técnicas de segurança, como fixação de certificado. Para fluxos que parecem ser impactados devido à interceptação de inspeção TLS, veja Resolvendo Aplicações que Falham Devido ao TLSI.
   
• Aceleração TCP
  A aceleração TCP é um método de otimização do tráfego TCP ao atravessar a nuvem Cato. As maneiras pelas quais a aceleração TCP funciona e como pode impactar o tráfego para aplicações de Internet são descritas aqui.
   

Solução de Problemas de Website Não Carregando - Sem Eventos

Se não houver eventos encontrados para um fluxo, e todas as regras relevantes em Segurança > Firewall de Internet forem configuradas para bloquear ou monitorar, então provavelmente o fluxo não está alcançando a etapa em que seria registrado. Isso pode ser devido a um erro de configuração ou a um problema com o sucesso do protocolo que precede o fluxo, como DNS.

O primeiro passo para resolver problemas é confirmar que este problema é específico para o tráfego que atravessa a Cato. Isso pode ser feito ignorando a Cato conectando um host diretamente à conexão de internet ou utilizando Ignorar Socket ou Túnel Dividido para sites de socket e usuários SDP, respectivamente. Se o website ainda não carregar ao ignorar a Cato, isso não é um problema da Cato e deve ser resolvido com um ISP ou os provedores da aplicação. Se o problema não se manifestar ao ignorar a Cato, continue este fluxo de solução de problemas.

Solução de Problemas de Resolução de DNS

Se um fluxo não estiver chegando ao estágio no qual um evento pode ser gerado, uma causa provável é que a incapacidade de completar o DNS está impedindo que o fluxo para a aplicação internet seja iniciado a partir do cliente.

Para o host para o qual esta aplicação está falhando, teste a resolução DNS para o nome do host da aplicação em questão para determinar se o DNS está retornando uma resposta com sucesso.

Para instâncias onde o DNS está falhando:

Se seus servidores DNS são servidores DNS externos baseados na Internet, considere mudar os servidores DNS conforme a melhor prática Cato para DNS.

Se os servidores DNS em uso são os servidores recomendados pela Cato (10.254.254.1 e 8.8.8.8), certifique-se de que esses fluxos DNS não estejam bloqueados usando o fluxo de solução de problemas descrito em Encontrando Fluxos Relevantes em Eventos.

Se servidores DNS privados estão em uso, assegure-se de que as solicitações DNS estão alcançando esses servidores e verifique se a resposta atende às expectativas.

Verifique a Configuração de Ignorar para Sites de Socket

Fluxos que são ignorados em sites de socket não aparecerão na página de eventos e não estarão sujeitos à otimização de tráfego ou motores de segurança da Cato. Isso pode levar a problemas de conectividade, especialmente em casos onde endereços IP específicos conhecidos precisam ser a origem do tráfego para a aplicação de internet.

Certifique-se de que o fluxo em questão não está incluído em uma regra de ignorar se não for necessário:

Verifique o Túnel Dividido para Clientes SDP

Fluxos que estão dentro do escopo de uma política de túnel dividido para clientes SDP não aparecerão na página de eventos e não estarão sujeitos à otimização de tráfego ou motores de segurança da Cato. Isso pode levar a problemas de conectividade, especialmente em casos onde endereços IP específicos conhecidos precisam ser a origem do tráfego para a aplicação de internet.

Certifique-se de que o fluxo em questão não esteja no escopo de uma regra de política de túnel dividido se não for necessário:

Verifique a configuração do nível de confiança para clientes SDP

Os níveis de confiança de segurança remota na Internet podem impactar o tráfego para a internet para usuários SDP em casos onde a autenticação para Cato tenha expirado. O comportamento de failover para sessões de usuários que têm tokens expirados pode causar que o tráfego para a internet não seja roteado para Cato. Isso pode levar a problemas de acessibilidade, principalmente em casos onde endereços IP específicos e conhecidos precisam ser a origem do tráfego para a aplicação de internet.

Para um usuário que possui uma sessão expirada, certifique-se de que o usuário possa acessar a internet mesmo com baixa confiança, ou garanta que renovem sua autenticação.

Solução de problemas de desajuste de regras de firewall da Internet

Ao configurar uma regra de firewall, pode ser que o tráfego seja avaliado contra a regra errada. Esta seção cobre todos os possíveis cenários de incompatibilidade e como solucionar esse problema.

Verificando aplicativo personalizado

Se o tráfego relevante deve corresponder a uma aplicação personalizada e o campo Aplicação encontrado no evento FW não for correspondente, confirme se a aplicação personalizada está configurada corretamente. Atente-se que, quando existem aplicativos personalizados sobrepostos, a Cato somente identifica o tráfego como um dos aplicativos personalizados. 

Para evitar esse problema, consulte a seção Resolvendo Aplicação Personalizada Sobreposta.

Verificando aplicação/serviço embutido

Se o tráfego relevante deve corresponder a uma aplicação ou serviço embutido e o tráfego estiver correspondendo à regra de firewall errada, verifique o seguinte:

• Quais aplicativos ou serviços estão configurados na 'regra de firewall errada'.
• Se algum desses aplicativos/serviços está listado no campo Aplicativos Relacionados do evento FW.

A identificação de Aplicação/Serviço é um processo de múltiplos passos que começa com a identificação do protocolo e então todas as possíveis Aplicações que podem ser correspondidas que estão incluídas no campo Aplicativos Relacionados. Qualquer aplicação 'relacionada' identificada em um fluxo, independentemente da decisão da aplicação final (campo Aplicação), corresponderá a uma regra de firewall.

No exemplo abaixo, o tráfego do YouTube corresponde à Regra #3 em vez da Regra #4. Isso ocorre porque a Regra #3 inclui o serviço TCP (incluído em Aplicativos Relacionados) mesmo que o aplicativo final (campo Aplicação) seja o YouTube.

Para resolver este comportamento esperado, veja Ordenação da Regra de Firewall. Uma incompatibilidade de aplicação integrada também pode ser resolvida adicionando o nome do domínio da aplicação relevante na regra de firewall, como visto no evento CMA, ou relatando a incompatibilidade ao Suporte.

Verificando o nome de domínio

Se uma regra de firewall contém um objeto de domínio ou FQDN, verifique qual é o campo Nome do Domínio no evento FW. O objeto de domínio/FQDN na regra de firewall deve ser o mesmo que este campo.

Tenha em mente que um FQDN é uma correspondência exata do nome de domínio totalmente qualificado. Por exemplo, o Nome de domínio totalmente qualificado (FQDN) example.com corresponde apenas a example.com.

Por outro lado, um Domínio é um domínio de nível superior (TLD) ou de segundo nível (SLD) que corresponde a todos os subdomínios. Por exemplo, o domínio example.com corresponde a www.example.com e host.example.com.

Pode haver casos onde Cato não consegue determinar o Nome do Domínio correto a partir de fluxos HTTP, TLS ou DNS. Para resolver esses tipos de problemas, consulte Resolução de Problemas de Nome de Domínio

Solução de problemas de erros de certificado

Erros de certificado são outro sintoma comum ao encontrar problemas de acessibilidade em aplicações de internet. Páginas de bloqueio relacionadas ao TLS são comuns e ajudam os administradores a determinar a causa da falha de acessibilidade da aplicação.

Se a página de bloqueio sugerir um erro de TLS como acima, o fluxo relevante pode ser encontrado em eventos. O subtipo de filtro é TLS pode ser usado para focar em eventos específicos relacionados a erros de TLS. 

Aqui o motivo do bloqueio pode ser identificado para qualquer fluxo que foi bloqueado devido a erro de TLS. 

Se for mostrado o seguinte erro, apesar do certificado do site ser válido, e o site ser acessível fora da Cato, por favor, levante um caso com o Suporte da Cato.

 Solução de problemas de certificado não confiável para todo o tráfego

Se todo o tráfego destinado à internet de usuários ou hosts específicos estiver recebendo erros de privacidade ou confiança e o TLSI estiver ativado para o tráfego em questão, é provável que o certificado necessário para o funcionamento do TLSI não esteja presente no dispositivo. 

Verificando se Certificado Personalizado está em Uso

Ao investigar como garantir que o tráfego possa ser interceptado com sucesso para o TLSI sem interromper os fluxos, primeiro é necessário determinar se algum certificado personalizado está em uso. Olhando para o certificado apresentado por meio do navegador, podemos identificar se o certificado padrão da Cato ou um personalizado está atuando como a autoridade certificadora.

Na captura de tela acima, podemos ver que a CA para o certificado injetado não é o certificado padrão da Cato. Podemos verificar nossos certificados personalizados na Cato via Segurança > Gerenciamento de Certificados para identificar se isso corresponde ao nosso certificado ativo configurado:

Isso ajuda um administrador a identificar qual certificado requer distribuição para os clientes finais.

Verifique se os certificados relevantes estão instalados

Uma vez que identificamos qual certificado precisa ser instalado nos hosts para que esses fluxos funcionem, podemos seguir este guia para garantir que esses certificados estejam instalados nos dispositivos.

 

Solução de Problemas de Página de Bloqueio Errônea

Ao se deparar com uma página de bloqueio, é importante determinar a partir da página de bloqueio o tipo de bloqueio que ocorreu e como o diagnóstico deve prosseguir.

A página de aviso acima indica que este bloqueio foi gerado pelo Firewall de Internet. Se a regra que bloqueou este fluxo estiver configurada para Rastreamento de Eventos, este fluxo aparecerá na página de eventos e poderá ser analisado mais a fundo:

• Se esta regra foi ativada erroneamente, e você esperava que este fluxo correspondesse a outra regra, consulte a seção Solução de Problemas de Incompatibilidade de Regras de Firewall de Internet.
• Se esta regra foi ativada com base na Categoria de URL, e você acredita que esta categoria foi aplicada a esta URL por engano, consulte a seção Resolução de Erros de Categorização de URL.
• Se a ação que corresponde ao evento relevante for 'RBI', navegue para Solução de Problemas com Fluxos RBI

Solução de Problemas com Fluxos RBI

Se um URL está acionando uma regra RBI contra as expectativas, certifique-se de que o URL está sendo classificado corretamente, como em Resolução de Erros de Categorização de URL.

Se um Usuário tiver um Problema ao navegar por um determinado URL, você pode Gerar uma sessão de emulação de Teste RBI para o URL com a Utilidade Admin RBI. Insira o URL HTTP ou HTTPS válido e siga o link resultante para visualizar o site em uma sessão RBI. A utilidade envia este tráfego diretamente para o serviço RBI sem passar pela Nuvem Cato. Isso pode ajudar a determinar se o problema do usuário está relacionado ao próprio serviço RBI ou é causado por outros problemas, como configuração de conta ou conectividade da infraestrutura Cato. Por exemplo, um usuário conectado à Cato não consegue acessar um site Não Categorizado configurado para RBI, mas o administrador consegue acessar o site usando a utilidade. Isso pode indicar que o serviço RBI está funcionando corretamente e o problema está relacionado à conectividade entre um PoP e o serviço.

Depois de executar uma sessão RBI pela utilidade, você pode relatar os resultados ao Suporte para ajudá-los a resolver o problema.

Para solucionar problemas com a Utilidade Admin RBI:

1. No painel de navegação, selecione Segurança > RBI.
2. Em Admin RBI Utility, insira um URL HTTP ou HTTPS válido. Por exemplo: https://maps.google.com
3. Clique em Gerar. Um URL é criado para a sessão RBI.
4. Clique no link ao lado do URL. A sessão RBI é aberta em seu navegador padrão.

Solução de Problemas de Renderização na China

Para este caso de uso específico, por favor consulte nosso KB relevante sobre este tema, China | Página Web com Problemas de Renderização

Resolução dos Problemas Detectados

Resolução de Aplicações Personalizadas Sobrepostas

Certifique-se de que a aplicação personalizada inclua os endereços IP corretos, Domínio, Porta e Protocolo. Não há lógica sobre qual aplicação personalizada é escolhida para identificação, portanto, a aplicação personalizada deve ser definida de forma única para evitar a sobreposição com outra aplicação personalizada. Para mais informações, consulte Trabalhando com Aplicações Personalizadas

Ordenação das Regras de Firewall

Lembre-se de que as Regras de Firewall são avaliadas de acordo com sua ordem, portanto, é importante definir regras mais específicas acima das regras mais gerais. Por exemplo, Regras de Firewall que definem uma aplicação personalizada, aplicação embutida, domínio, FQDN, ou serviço personalizado devem ser colocadas acima das Regras de Firewall que contêm categorias, categorias personalizadas, ou serviços.

Na captura de tela abaixo, a Regra #1 contém um serviço personalizado que inclui Faixas de IP para twitter.com e está colocada acima da Regra #2, que contém Categorias de Aplicações. A Regra #1 é mais específica do que a Regra #2 e será uma melhor correspondência para o tráfego destinado a twitter.com. Isso também desabilitará a aceleração TCP e resolverá quaisquer problemas de Roteamento Fora da Nuvem ou Alt-WAN, dado que a Regra #1 é uma regra simples.

Resolução de Problemas de Nome de Domínio

Os problemas de correspondência de Regras de Firewall baseadas em Domínio/FQDN podem ser resolvidos da seguinte forma:

• Para protocolos como HTTP/S, Cato pode determinar o domínio de destino usando as seguintes fontes:

  • Cabeçalho de Nome do Host HTTP (quando a inspeção TLS está ativada)

  • Campo SNI durante o handshake TLS

  • Resolução DNS, onde o nome do domínio é aprendido a partir de consultas e respostas DNS

• É importante garantir que o domínio especificado na Regra de Firewall seja consistente em todas essas fontes. Note que apenas o nome de domínio melhor correspondido (avaliado de cima para baixo) é exibido como Nome do Domínio em eventos de Firewall. 

• Para outros protocolos, como SSH ou SMB, que não enviam um domínio em texto claro, Cato confia exclusivamente na interceptação DNS para associar tráfego a um domínio ou nome de domínio totalmente qualificado (FQDN). Isso é particularmente crítico ao usar um DNS privado, pois precisamos garantir que as consultas/respostas DNS passem pelo Cato. Consulte Melhores Práticas para DNS e sua Conta Cato.
• DoH (DNS sobre HTTPS) e DNS sobre TLS não são suportados para correspondência de Nome de Domínio/Aplicação, por isso, devem ser bloqueados nas regras de Firewall para forçar a movimentação de consultas DNS para UDP/53.

Resolução de Aplicações Falhando Devido a TLSI

Para fluxos TLS inspecionados que são erroneamente inspecionados, certifique-se de que a base de regras TLSI ordenada está configurada corretamente, levando em consideração a correspondência de aplicações do fluxo e a natureza ordenada das regras, conforme descrito aqui.

Se um fluxo for inspecionado por intenção, e isso estiver fazendo com que a Aplicações de Internet falhe, considere configurar uma regra de ignorar para a aplicação em questão.

Resolução de Falsos Positivos de IPS/Anti-Malware

Para recategorizar domínios, por favor visualize nossa documentação sobre Identificar Categoria para um Domínio.

Resolução de Bloqueio Falso Positivo de IPS/Anti-Malware

Revise eventos de IPS/Anti-malware selecionando os predefinidos IPS e Anti-malware no CMA. Defina filtros para limitar o tráfego interessante e verifique se o fluxo foi bloqueado pelos motores IPS ou AM. 

Se o tráfego interessante for bloqueado por IPS/AM, você pode adicionar listas de permissão com escopo Internet para ambas as configurações de IPS e Anti-malware.

Levantando casos para Suporte Cato

Enviar um ticket de Suporte com os resultados das etapas de solução de problemas acima. Por favor, inclua as seguintes informações no ticket:

• Detalhes do problema experimentado e impacto geral nos usuários.
• Eventos de Firewall relacionados e configuração de Regra de Firewall.
• Reproduza o problema e execute o Suporte Autoatendimento. Inclua o número do ticket gerado pela ferramenta.