Проблема
Cisco Umbrella предоставляет безопасность конечных точек, перенаправляя запросы DNS на свою глобальную сеть серверов.
Если инспекция TLS Cato включена в учетной записи, а опция 'Недоверенные сертификаты сервера' установлена на Блокировать или Предупреждение, веб-сайты, требующие перенаправления Cisco Umbrella (из-за действия безопасности Cisco), получат страницу блокировки/предупреждения Cato.
Окружающая среда
- Инспекция TLS включена
- Опция 'Недоверенные сертификаты сервера' установлена на Блокировать или Предупреждение.
Поиск и устранение неисправностей
- Найдите связанные с этим TLS события для заблокированного веб-сайта. Поле Ошибка сертификата TLS покажет 'Невозможно получить сертификат местного издателя'.
- Если IP-адрес назначения, показанный в событии, находится в пределах диапазонов IP 146.112.0.0/16, 155.190.0.0/16 и 151.186.0.0/16, это указывает на то, что произошло перенаправление DNS с помощью Cisco Umbrella.
- Перенаправление вызовет ошибку TLS Cato, вызванную страницей блокировки/предупреждения Cato, поскольку издатель сертификата веб-сайта (Cisco Umbrella Root CA) не доверен Cato. Цепочка сертификатов ниже представляется конечному пользователю при обходе Cato.
Решение
Диапазоны IP Cisco Umbrella должны быть обойдены инспекцией TLS Cato. При этом Cato не будет блокировать перенаправление Umbrella из-за сбоя проверки сертификата.
Согласно веб-сайту Cisco, диапазоны IP, используемые сервисом Umbrella, составляют 146.112.0.0/16, 155.190.0.0/16 и 151.186.0.0/16.
Для получения информации о том, как обойти инспекцию TLS, см. Использование правил, которые обходят трафик TLS.
0 комментариев
Войдите в службу, чтобы оставить комментарий.