문제
Cisco SSE(Secure Access)를 통해 특정 웹 사이트에 액세스하려고 하면 "죄송합니다. 차단되었습니다."라는 차단 메시지가 표시됩니다.
일반 홈 Wi-Fi 연결을 사용할 때 사이트에 액세스할 수 있습니다. 원격 웹 사이트는 특정 IP 주소 범위에서만 액세스를 허용하고 SSE 이그레스 IP는 허용 범위를 벗어난 것으로 보이기 때문에 의심됩니다.
기술 조사에 따르면 웹 사이트의 웹 응용 프로그램 방화벽(Cloudflare)이 국가에 관계없이 전체 Secure Access NATaaS 이그레스 IP 범위를 차단하고 있습니다. 이 문제는 재현이 가능하며 SSE 이그레스 IP를 사용할 때 일관되게 발생합니다.
환경
- 기술: 통합 정책(인터넷 정책, 개인 정책, DLP 정책, RBI, 보안 프로파일)을 사용하는 Cisco SSE(Secure Access)
- 액세스 경로: SSE의 모든 데이터 센터
- 지리적 제한 웹 사이트
- 보안 제어: 대상 웹 사이트의 웹 애플리케이션 방화벽(Cloudflare)
- 원격 네트워크(SSE 이그레스 IP)와 로컬 네트워크(홈 Wi-Fi)의 인터넷 액세스
- 문제 발생 시 보안 액세스 구축에 대한 변경 사항 없음
- "죄송합니다. 차단되었습니다."라는 오류 메시지가 표시되었습니다.
해결
원격 사이트가 Cisco Secure Access NATaaS 이그레스 IP를 차단하는 데 따른 액세스 문제를 해결하려면 이 워크플로를 사용하는 것이 좋습니다. 이러한 단계에서는 블록의 특성을 식별하고 잠재적인 해결 방법 또는 해결 방법을 탐색하는 체계적인 접근 방식을 보장합니다.
1단계: 오류 메시지 확인 및 동작 차단
SSE를 통해 사이트에 액세스할 때 다음 메시지를 확인합니다.
sorry you have been blocked
2단계: 다른 네트워크에서 웹 사이트 액세스 가능성 확인
웹 사이트 액세스 위치:
- 모든 SSE 데이터 센터(차단됨)
- 일반 홈 Wi-Fi 연결(액세스 가능)
3단계: 차단을 담당하는 보안 제어 식별
기술적 관찰: Cloudflare WAF(Web Application Firewall)가 전체 Secure Access NATaaS 이그레스(egress) IP 범위를 차단하고 있습니다.
4단계: 최종 사용자가 사용하는 액세스 경로 확인
Secure Access에 트래픽을 전송하는 데 사용되는 방법을 결정합니다.
- 로밍 보안 모듈
- RAVPN 터널
- 사이트 대 사이트 VPN 터널
- PAC 구축
5단계: Bypass 또는 Allowlisting 옵션 탐색
다음 옵션 중 하나가 가능한지 확인합니다.
- SSE 이그레스 IP의 허용 목록을 요청하려면 비즈니스 관계 또는 대상 웹 사이트 관리자에게 문의하십시오.
- SSE 이그레스 IP는 문서에 나열되어 있습니다.
- WAF에 의해 차단되지 않은 다른 이그레스 IP를 사용할 수 있는 대체 액세스 경로입니다.
- SSE 프록시에서 문제가 있는 웹 사이트 우회(Secure Access로 트래픽을 전송하는 데 사용되는 방법에 따라 정확한 단계 다름)
6단계: 관찰 기록 및 다음 단계
이러한 관찰 결과를 기록합니다.
오류 메시지
액세스 경로 및 해당 결과
목록을 허용하는 경우 원격 사이트 관리자와의 통신
원인
이 문제의 근본 원인은 대상 웹 사이트의 Web Application Firewall(Cloudflare)이 Cisco Secure Access(SSE) NATaaS 이그레스 IP 범위를 능동적으로 차단하고 있기 때문입니다. 이 차단은 비이스라엘 IP 또는 지오로케이션 필터링에만 국한되지 않습니다. 오히려 원격 웹 사이트의 정책 또는 보안 구성의 문제로서 Cisco Secure Access와 관련된 알려진 이그레스 IP 범위 전체를 대상으로 합니다. 그 결과, 이러한 IP에서 시작되는 모든 트래픽은 실제 소스 국가 또는 최종 사용자 위치에 관계없이 거부됩니다.
관련 콘텐츠