Problema
I tentativi di accesso a un sito Web specifico tramite Cisco Secure Access (SSE) generano un messaggio di blocco in cui viene visualizzato il messaggio "Ci scusiamo per il blocco effettuato".
Il sito è accessibile quando si utilizza una normale connessione Wi-Fi domestica. La causa sospetta è che il sito Web remoto consente l'accesso solo da intervalli di indirizzi IP specifici, mentre l'indirizzo IP in uscita SSE sembra essere al di fuori dell'intervallo consentito.
Dalle indagini tecniche è emerso che il web application firewall (Cloudflare) del sito sta bloccando l'intero intervallo di indirizzi IP in uscita NATaaS per l'accesso sicuro, indipendentemente dal paese. Il problema è riproducibile e si verifica in modo costante quando si utilizzano IP in uscita SSE.
Ambiente
- Tecnologia: Cisco Secure Access (SSE) con criteri unificati (criteri Internet, criteri privati, criteri di prevenzione della perdita dei dati, RBI, profili di sicurezza)
- Percorso di accesso: qualsiasi centro dati di SSE
- Siti Web con restrizioni geografiche
- Controllo di sicurezza: Web Application Firewall (Cloudflare) sul sito Web di destinazione
- Accesso a Internet dalla rete remota (SSE) e dalla rete locale (Wi-Fi domestica)
- Nessuna modifica alla distribuzione di Secure Access al momento del problema
- Messaggio di errore osservato: "mi dispiace che tu sia stato bloccato"
Risoluzione
Per risolvere i problemi di accesso causati dal blocco di siti remoti da parte di Cisco Secure Access NATaaS in uscita IP, è consigliabile utilizzare questo flusso di lavoro. Questi passaggi assicurano un approccio metodico per l'identificazione della natura del blocco e l'esplorazione di possibili soluzioni o soluzioni alternative.
Passaggio 1: Conferma messaggio di errore e comportamento di blocco
Osservare questo messaggio quando si accede al sito tramite SSE:
sorry you have been blocked
Passaggio 2: Convalidare l'accessibilità del sito Web da diverse reti
Accedi al sito Web da:
- Qualsiasi centro dati SSE (bloccato)
- Una connessione Wi-Fi domestica standard (accessibile)
Passaggio 3: Identificare il controllo di sicurezza responsabile del blocco
Osservazioni tecniche: Cloudflare Web Application Firewall (WAF) blocca l'intero intervallo IP in uscita NATaaS di Secure Access.
Passaggio 4: Confermare il percorso di accesso utilizzato dagli utenti finali
Determinare il metodo utilizzato per inviare il traffico ad Accesso sicuro:
- Modulo di sicurezza roaming
- Tunnel RAVPN
- Tunnel VPN da sito a sito
- Distribuzione PAC
Passaggio 5: Esplora le opzioni Ignora o Consenti inserzione
Verificare se è possibile utilizzare una delle opzioni seguenti:
- Relazione commerciale o contatto con gli amministratori del sito Web di destinazione per richiedere l'elenco degli IP SSE in uscita.
- Gli IP SSE in uscita sono elencati nel documento:
- Percorsi di accesso alternativi che possono utilizzare IP in uscita diversi non bloccati dal WAF.
- Ignora sito Web con problemi dal proxy SSE (i passaggi esatti dipendono dal metodo utilizzato per inviare il traffico a Secure Access)
Fase 6: Documentazione delle osservazioni e fasi successive
Documentare le seguenti osservazioni:
Il messaggio di errore
Il percorso di accesso e i risultati corrispondenti
Comunicazioni con l'amministratore del sito remoto, se consentito.
Causa
La causa principale di questo problema è che il web application firewall (Cloudflare) del sito di destinazione sta bloccando attivamente l'intervallo di indirizzi IP in uscita NATaaS di Cisco Secure Access (SSE). Questo blocco non è limitato agli indirizzi IP non israeliani o al filtro di geolocalizzazione, ma riguarda l'intero intervallo di indirizzi IP in uscita conosciuto associato a Cisco Secure Access, probabilmente per motivi di criteri o di configurazione della sicurezza nel sito Web remoto. Di conseguenza, qualsiasi traffico proveniente da questi indirizzi IP viene rifiutato, indipendentemente dal paese di origine effettivo o dalla posizione dell'utente finale.
Contenuto correlato
Feedback