소개

이 문서에서는 Secure Access의 IPS 암호 해독에서 Microsoft 365 도메인을 우회하도록 Do Not Decrypt 목록을 만드는 효과적인 방법에 대해 설명합니다.

문제

Microsoft 365 트래픽은 SSL 검사 엔진, 프록시 또는 IPS를 통과할 때 문제가 발생하는 것으로 알려져 있습니다.
Microsoft는 KB 문서를 기반으로 허용 및 최적화로 분류된 도메인 및 IP를 우회하도록 제안합니다.

https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide

Secure Access의 현재 Microsoft 365 호환성 기능은 트래픽에만 적용됩니다 프록시를 통과합니다.
따라서 이 기능이 활성화된 경우 프록시 수준에서 이 트래픽에 암호 해독 또는 검사가 적용되지 않지만 전역 IPS 암호 해독 설정은 계속 적용됩니다.

IPS 암호 해독 및 Microsoft 365 호환성 기능이 활성화된 경우에도 인터넷으로 향하는 트래픽은 다음 시나리오에서 암호 해독됩니다.

• 전체 터널 RAVPN
• VPN 터널을 통한 보안 인터넷 액세스

Microsoft 365 트래픽의 암호 해독으로 인해 발생하는 문제의 일반적인 증상:

• Outlook을 통한 느린 전자 메일 배달
• Sharepoint의 성능 문제
• Teams 사용 시 사용자 경험 부족

임시 해결 방법

고객은 IPS 암호 해독에서 Allow(허용) 및 Optimize(최적화)로 분류된 도메인으로 향하는 트래픽을 우회해야 합니다.

이러한 목록을 수동으로 작성하는 작업은 번거롭기 때문에 Python 스크립트를 사용하여 Microsoft API에서 목록을 동적으로 가져올 수 있습니다. 
https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed1-bad1-445f-b386-b919946339a7

import requests

def get_fqdns(url):
    try:
        response = requests.get(url)
        response.raise_for_status()
        data = response.json()

        fqdns = []
        for item in data:
            if item.get('category') in ['Allow', 'Optimize']:
                for fqdn in item.get('urls', []):
                    fqdns.append(fqdn)

        return fqdns

    except requests.exceptions.RequestException as e:
        print(f"Error fetching data: {e}")
        return []

# URL to fetch the endpoint data
url = "https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed1-bad1-445f-b386-b919946339a7"

# Get FQDNs and print them
fqdns = get_fqdns(url)
for fqdn in fqdns:
    print(fqdn)

2024년 10월 31일 기준 이 스크립트의 출력 예:

outlook.cloud.microsoft
outlook.office.com
outlook.office365.com
outlook.office365.com
smtp.office365.com
*.protection.outlook.com
*.mail.protection.outlook.com
*.mx.microsoft
*.lync.com
*.teams.cloud.microsoft
*.teams.microsoft.com
teams.cloud.microsoft
teams.microsoft.com
*.sharepoint.com
*.officeapps.live.com
*.online.office.com
office.live.com
*.auth.microsoft.com
*.msftidentity.com
*.msidentity.com
account.activedirectory.windowsazure.com
accounts.accesscontrol.windows.net
adminwebservice.microsoftonline.com
api.passwordreset.microsoftonline.com
autologon.microsoftazuread-sso.com
becws.microsoftonline.com
ccs.login.microsoftonline.com
clientconfig.microsoftonline-p.net
companymanager.microsoftonline.com
device.login.microsoftonline.com
graph.microsoft.com
graph.windows.net
login.microsoft.com
login.microsoftonline.com
login.microsoftonline-p.com
login.windows.net
logincert.microsoftonline.com
loginex.microsoftonline.com
login-us.microsoftonline.com
nexus.microsoftonline-p.com
passwordreset.microsoftonline.com
provisioningapi.microsoftonline.com
*.protection.office.com
*.security.microsoft.com
compliance.microsoft.com
defender.microsoft.com
protection.office.com
purview.microsoft.com
security.microsoft.com

목록 목록의 도메인을 시스템 제공 Do Not Decrypt 목록에 추가할 수 있습니다.

FQDN을 추가해야 합니다. IPS에 대한 암호 해독을 우회하기 위해 시스템에서 제공하는 Do Not Decrypt List입니다.
사용자 지정 Do Not Decrypt 목록은 보안 프로필에만 적용할 수 있습니다.

솔루션

Cisco 엔지니어링 팀은 이 목록을 자동으로 가져오고 관리자가 Secure Access Dashboard에서 우회 기능을 활성화할 수 있도록 하는 Microsoft 365 호환성 기능 향상을 위해 노력하고 있습니다.

관련 정보

• Secure Access 사용 설명서
  
• 기술 지원 및 다운로드 - Cisco Systems

• Secure Access Decryption and Intrusion Prevention System(IPS) 워크플로 문제 해결