Trabajando con Redes Gestionadas

Este artículo explica cómo definir Redes Gestionadas en Cato Networks. Las redes gestionadas se pueden utilizar como un parámetro en el cual basar sus Reglas de Acceso.

Visión general

Cato le da control granular sobre cómo se enruta el tráfico de los usuarios y cuándo se aplica Siempre Activo, según el tipo de red a la que el usuario está conectado.

Esta clasificación de red le permite integrarse con arquitecturas de seguridad existentes mientras asegura un manejo de tráfico consistente a través de entornos confiables, gestionados y no gestionados.

El Cliente Cato determina su configuración en tiempo de ejecución usando criterios específicos, tales como:

  • Si identifica que está detrás de un sitio de Cato (Socket, IPsec, vSocket)

  • Si puede recibir exitosamente una respuesta de una sonda predefinida hacia un destino dado

Basado en estas condiciones, el Cliente aplica uno de los siguientes comportamientos:

  • Detrás de un Socket de Cato (Modo Oficina) - Si el Cliente identifica que está detrás de un Socket de Cato, el Modo Oficina se habilita y todo el tráfico se enruta a través de Cato.

  • Detrás de una Red Gestionada - Si el Cliente no está detrás de un Socket, verifica si la red está definida como Gestionada. Si es así:

    • Red Gestionada (no confiable) - Se mantiene el túnel a Cato, y se aplica la Política de Túnel Dividido. Solo cierto tráfico se enruta a través de Cato (por ejemplo, tráfico con destino a Internet), mientras que otro tráfico se enruta a través del firewall de terceros.

    • Red Gestionada Confiable - Si la red también está marcada como Confiable, Siempre Activo se suspende, el Cliente se desconecta del túnel Cato, y todo el tráfico se enruta a través del firewall de terceros.

  • Red No Gestionada - Si la red no está ni detrás de un Socket ni definida como Gestionada (por ejemplo, su WiFi en casa, aeropuerto, hotel, cafetería), se considera una red pública y se trata como No Gestionada. Todo el tráfico se enruta a través de Cato.

Caso de Uso - Incorporación Gradual a Cato

La empresa ABC tiene 70 oficinas y más de 10,000 empleados. Son un nuevo cliente de Cato que usará el Cliente Cato para soluciones de redes y seguridad con Siempre Activo para proporcionar seguridad en Internet (en línea con las mejores prácticas de UZTNA de la empresa). Durante el proceso de incorporación a Cato, la empresa desplegará los Clientes durante unas semanas, mientras que SD-WAN se desplegará gradualmente en 20 oficinas durante los próximos meses. Las oficinas están protegidas por un proveedor externo hasta ese momento.

La empresa designa los rangos de red para las oficinas físicas como redes gestionadas. El administrador crea una regla en la Política de Túnel Dividido para enrutar el tráfico basado en la fuente de la red:

  • Red gestionada - Los usuarios están conectados detrás de un sitio que no ha sido incorporado a Cato. Solo el tráfico de Internet se enruta a la Nube Cato para mayor seguridad.

  • Red No Gestionada - Usuarios remotos, todo el tráfico se enruta a la Nube Cato

Requisitos Previos

  • Compatibilidad desde Windows Client v5.17 y superior

  • Compatibilidad desde macOS Client v5.11 y superior (EA)

Cómo detectamos una Red Gestionada

Puede configurar comprobaciones de Red para definir qué es una red gestionada. El Cliente utiliza sondas predefinidas para identificar si la red a la que se conecta el Cliente es una red Gestionada. Esta verificación ocurre cada vez que el Cliente se conecta, después de cada cambio de red y cada 30 segundos mientras está conectado.

El Cliente envía sondas para verificar la conectividad a diferentes tipos de recursos internos:

  • Solicitud de recurso HTTPS: Defina una URL que solo sea accesible cuando esté conectado a la red gestionada. Después de acceder a la URL, el Cliente verifica que la respuesta sea HTTP 200 o HTTP 300 y luego verifica que el certificado sea confiable basado en el almacén de certificados de la máquina local.

  • Consulta DNS: Defina un nombre de host para que el Cliente envíe una solicitud DNS, y la dirección IP que se espera como respuesta

  • Ping a una dirección IP o URL: Defina una dirección IP o URL para que el Cliente haga ping. El Cliente verifica si hay una respuesta con el protocolo ICMP

Managed_Network.png

Si alguna de las comprobaciones está satisfecha, la red Fuente se considera Gestionada. Si todas las comprobaciones fallan, la red se considera No Gestionada.

Unmanaged_Network2.png

Cuando está detrás de un Sitio Cato, el Cliente transiciona sin problemas a Modo Oficina como antes.

Por ejemplo, el servidor DNS de la empresa interna utiliza el nombre de host companyabc.local, y se resuelve a 10.10.10.26. Así definiría la red Gestionada como una consulta DNS que se resuelve al host companyabc.local con esa dirección IP.

Configurando Redes Gestionadas

Para designar una red como gestionada, primero cree un objeto de Red Gestionada en la Aplicación de Gestión de Cato. Este objeto representa una red como una oficina o ubicación corporativa conocida. El cliente también debe definir la sonda que utiliza el Cliente Cato para identificar cuándo está operando dentro de esta red. Estas sondas pueden incluir DNS, HTTP o Ping (paquetes ICMP). Cuando el Cliente detecta una coincidencia basada en las sondas definidas, clasifica la red como gestionada y aplica las políticas relevantes en consecuencia.

Trusted_Networks.png

Para configurar redes gestionadas:

  1. Desde el menú de navegación, haz clic en Acceso > Redes Gestionadas.

  2. Haz clic en Nuevo y configura lo siguiente:

    • Nombre de la sonda

    • (Opcional) Una descripción de la sonda

    • Tipo de sonda, es decir, consulta HTTPs, DNS o ping

    • Nombre de host o dirección IP de la sonda

  3. Haz clic en Guardar.

  4. Repite el paso 2 para cada Red Gestionada.

  5. Habilitar Redes Gestionadas y haz clic en Guardar.

    El control deslizante está verde cuando Redes Gestionadas está habilitado, y gris cuando Redes de Confianza está deshabilitado.

Configurar Redes de Confianza

Para escenarios donde está enrutando todo el tráfico al destino, y no a la Nube Cato, puede definir todas sus Redes Gestionadas como Confiables. Cuando un dispositivo host se conecta a una Red Confiable:

  • El Cliente identifica la red como una Red Confiable, Connect on Boot está desactivado, Siempre Activo se omite, y el Cliente no intenta conectarse (o reconectarse) a la Nube Cato

  • Mientras el dispositivo host esté conectado a la Red Confiable, el Cliente permanece desconectado, y la Política de Túnel Dividido no se aplica

  • Los usuarios aún tienen la opción de hacer clic en Conectar en el Cliente, y el dispositivo se conecta a la Nube Cato

    Por ejemplo, desarrolladores que necesitan acceder a un entorno de desarrollo protegido por la Nube Cato

Para configurar todas las redes gestionadas como confiables:

  1. Desde el menú de navegación, haz clic en Acceso > Redes Gestionadas.

  2. Navega a la pestaña Configuración.

  3. Seleccione la casilla de verificación Definir todas las redes gestionadas como Redes de Confianza.

  4. Haz clic en Guardar.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 2

0 comentarios