思科Umbrella DNS重定向获取TLS阻止/警告页面

问题

思科Umbrella通过将DNS请求重定向到其全球网络服务器来提供端点安全。

如果在账户中启用了Cato的TLS检查，并且'不受信任的服务器证书'选项设置为阻止或警告，那么需要由Cisco Umbrella重定向的网站（由于Cisco的安全操作）将收到Cato的阻止/警告页面。

环境

• TLS检查已启用
• '不受信任的服务器证书'选项设置为阻止或警告。

故障排除

• 查找被阻止网站的相关TLS事件。 TLS证书错误字段将显示'无法获取本地颁发者证书'。
• 如果事件中显示的目的IP在IP范围146.112.0.0/16, 155.190.0.0/16和151.186.0.0/16内，则表示已发生由Cisco Umbrella的DNS重定向。

• 重定向将触发一个Cato TLS错误，并由Cato的阻止/警告页面引导，因为网站的证书发行人（Cisco Umbrella Root CA）不被Cato信任。 绕过Cato时，下面的证书链将呈现给终端用户。

解决方案

思科Umbrella的IP范围必须绕过Cato TLS检查。 这样做时，Cato不会因证书检查失败而阻止Umbrella重定向。

根据Cisco的网站，Umbrella服务使用的IP范围是146.112.0.0/16, 155.190.0.0/16, 和151.186.0.0/16。

有关如何绕过TLS检查的信息，请参阅使用绕过TLS流量的规则。