Enrutamiento con el Cliente Cato (Política de Túnel Dividido)

Este artículo explica cómo gestionar centralmente las reglas de enrutamiento de tráfico del Cliente Cato con la política de Túnel Dividido.

Resumen

El Cliente Cato asegura el tráfico de usuarios al establecer un túnel DTLS hacia la nube de Cato. La política de Túnel Dividido controla qué tráfico se envía a través de este túnel seguro y qué tráfico lo omite y se enruta directamente a través de la Interfaz de Red local. La política admite una gestión flexible y centralizada del comportamiento de enrutamiento.

El tráfico enrutado a través de la nube de Cato se beneficia de una inspección y aplicación de seguridad completa y optimización de ruta sobre el respaldo de Cato. Sin embargo, puede haber situaciones que requieran un enrutamiento adaptativo, por ejemplo, para optimizar el rendimiento de servicios de medios en tiempo real o al trabajar junto a proveedores de terceros.

Las reglas se corresponden según múltiples criterios, incluyendo identidad del usuario, geolocalización, sistema operativo y Red de Fuente. Puede definir reglas inclusivas o basadas en excepciones. Por ejemplo:

  • Identidad: Aplicar reglas de enrutamiento selectivamente a usuarios específicos o grupos de usuarios
  • Dispositivo: Seleccionar a qué Sistemas Operativos y países se aplican las reglas de enrutamiento
  • Fuente de Red: Elegir política de enrutamiento basada en redes gestionadas o no gestionadas

La Configuración de Enrutamiento admite:

  • Tráfico del Usuario:

    • Enviar todo el tráfico a la nube de Cato, con exclusiones específicas para aplicaciones internas o recursos alojados por proveedores
    • Enrutar solo el tráfico seleccionado como parte del desplazamiento de soluciones VPN antiguas
    • Enrutar solo tráfico web a través de la Nube Cato mientras se permite que otro tráfico salga localmente

  • Tráfico DNS:

    • Soporte de resolución DNS por un servidor DNS local para dominios específicos
    • Soporte de resolución DNS local para dominios requeridos por un VPN de terceros para prevenir conflictos DNS

Este nivel de control le permite optimizar la cobertura de seguridad mientras minimiza la latencia y preserva el acceso directo a recursos de confianza.

Requisitos Previos

Las siguientes características están disponibles actualmente solo en Windows Client v5.16 y versiones posteriores

  • Exclusiones DNS

    • Asegúrese de que los siguientes tengan acceso permitido en su firewall local:

      • la dirección IP 127.0.0.253
      • el servicio DNS de Cato Networks
      • el proceso de retransmisión DNS, dns-relay.exe

  • Enrutamiento solo para web

    • Asegúrese de que el Cliente Cato tenga permisos de escritura en el archivo PAC del sistema

Revisiones de la Política y Edición Concurrente por Múltiples Administradores

La política de Túnel Dividido permite que diferentes administradores editen la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en su propia revisión privada, y luego publicarlos en la política de cuenta (la revisión publicada). Para más información sobre cómo gestionar las revisiones de políticas, ver Trabajando con Revisions de Políticas.

Casos de Uso

Seguridad de Internet Cato con Acceso Privado Remoto

La compañía ABC provisiona el Cliente Cato para sus usuarios con la funcionalidad Siempre Activo activada. Esto significa que están conectados incluso cuando están en la oficina detrás de su proveedor de terceros. Como administrador, está seguro de que el tráfico de sus aplicaciones internas está asegurado por el proveedor de terceros y está excluido de la Nube Cato para los usuarios en la oficina. Todo el otro tráfico se envía a la Nube Cato para seguridad.

split_tunnel.png

Usted configura dos reglas en la Política de Túnel Dividido para implementar este comportamiento:

managed_network_exclude.png
  • La Regla 1 es para el tráfico de usuarios que se origina desde detrás de Cualquier Red Gestionada, para todos los puertos y protocolos. DNS y Destinos Excluidos están definidos. Esto excluye el tráfico de ser enrutado a la Nube Cato.
  • La Regla 2 es para el tráfico de usuarios que se origina desde detrás de Cualquier Red No Gestionada, para todos los puertos y protocolos. No hay exclusiones, este tráfico es enrutado a la Nube Cato.

Seguridad de Internet Ligera

La compañía ABC busca que Cato solo asegure el tráfico web hacia aplicaciones SaaS y el Internet público. Esto requiere que Cato coexista con los proveedores de terceros cuando los usuarios se conectan desde redes gestionadas y no gestionadas. Este es un modo ligero que es apropiado para incorporar gradualmente desde una arquitectura basada en proxy a Cato.

Nota: VPNs de terceros que cumplan con los requisitos previos de Cato no deben ser interrumpidos por el Cliente Cato para Windows en modo solo web.

Diagram2.png

Usted crea una regla en la Política de Túnel Dividido que envía todo el tráfico web a la Nube Cato, y todo el otro tráfico se envía a través de la red gestionada.

Configurar la Política de Túnel Dividido

La Política de Túnel Dividido es una base de reglas ordenada que verifica secuencialmente si se cumple una regla. Una vez que se coincide con una regla, se ignoran las reglas de menor prioridad. Cuando un usuario cumple una regla, se aplican las configuraciones de enrutamiento de tráfico basadas en esa regla. Si no se cumple ninguna regla, el tráfico se enruta a través de la Nube Cato, y el acceso LAN está permitido.

Para incluir rangos de IP que sean excepciones a los ajustes de Túnel Dividido, agrega los rangos de IP a una entidad Rango de IP Global.

Split_Tunnel_Policy.png

Resumen de alto nivel de la Política de Túnel Dividido

Estos son los ajustes que puede definir para las reglas en la política de Túnel Dividido:

  1. Configuraciones generales (por ejemplo, Nombre, Descripción).
  2. A quién se aplica la regla (Usuarios y Grupos, Plataformas, Países y Red de Fuente).
  3. El alcance del tráfico al que se aplica la regla, por ejemplo, todo el tráfico o solo web
  4. La política de enrutamiento para el alcance del tráfico.

Creando una regla básica de Túnel Dividido

Esta sección explica cómo configurar una regla básica en la política de Túnel Dividido. Se asume que desea enrutar casi todo el tráfico a la Nube Cato.

Para información sobre personalizar las reglas de Túnel Dividido, ver

Para configurar la Política de Túnel Dividido:

  1. Desde el menú de navegación, haz clic en Acceso > Política de Túnel Dividido.

  2. Haz clic en Nuevo.

    Se abre el panel Regla Nueva de Política de Túnel Dividido.

  3. Configure la siguiente General configuración:

    • Nombre
    • Descripción
    • Posición

    Asegúrese de Habilitar la regla para que se aplique

  4. Defina a quién se aplica la regla al definir el:

    • Usuarios y Grupos de Usuarios
    • Plataformas
    • Países

  5. En Configuración, configure lo siguiente:

    • En la sección Seleccionar Modo de Conexión, seleccione el alcance del tráfico a incluir en esta regla.

    • En Política de enrutamiento, determine cómo se enruta el alcance. Las opciones incluyen

      • Enrutar todo el tráfico a Cato: El tráfico se enruta a través del Cato Cloud. Puedes definir excepciones para ser enrutadas directamente a Internet.

        Nota: Si Bloquea el acceso LAN saliente, esta opción solo es compatible desde Windows Client v5.6 y versiones posteriores.

      • Solo enrutar seleccionados a Cato: El tráfico accede directamente a Internet y omite la Nube Cato. Puedes definir excepciones para ser enrutadas a través del Cato Cloud. Bloquear el acceso LAN saliente entra en conflicto con esta opción y no se puede seleccionar.
      • Definido por el usuario final: Los usuarios pueden cargar un archivo de texto al Cliente para configurar qué tráfico se enruta a través de la Nube Cato y cuál está excluido de la Nube Cato. No se puede seleccionar el bloqueo del acceso LAN saliente con esta opción.
    • En Exclusiones de destino, configure una aplicación o rango de IP al cual no se aplica la política de enrutamiento

  6. Determine si permitir o bloquear el Acceso LAN

    Para evitar conflictos de enrutamiento de tráfico entre subredes con la misma dirección IP, en caso de un conflicto, puedes bloquear el acceso LAN saliente. Con esta opción, todo el tráfico se enruta al Cato Cloud, proporcionando mayor seguridad. El Cliente está bloqueado para conectarse a un host LAN en la red doméstica del usuario remoto.

  7. Haz clic en aplicar.
  8. Repita los pasos 2-5 para cada regla en la Política de Túnel Dividido.

  9. Habilita la Política de Túnel Dividido y luego haz clic en Guardar.

    El deslizador está en verde cuando la regla está habilitada, y gris cuando la regla está deshabilitada.

Personalizar la Fuente de Red

Al crear una regla de Túnel Dividido, puede determinar diferentes políticas de enrutamiento basadas en la fuente de red, es decir, si es gestionada o no gestionada.

Cuando el tráfico está en una red no gestionada, siempre irá primero a través de Cato. Para el tráfico en redes gestionadas, puede determinar si el tráfico se enruta a través de Cato o directamente al destino.

Nota: Debe habilitar y configurar redes gestionadas para aplicar las reglas en consecuencia.

Para personalizar la red de fuente:

  1. Desde el menú de navegación, haga clic en Acceso > Política de Túnel Dividido.
  2. Cree una nueva regla y configure los ajustes en los pasos 2-4 arriba.

  3. En la sección Red de Fuente, determine si esta regla se aplica a:

    • Todas las redes
    • Todas las redes no gestionadas
    • Todas las redes gestionadas
  4. Defina el modo de conexión, la política de enrutamiento y los destinos que están excluidos en los pasos 5-7 arriba.

Personalizar qué Tráfico es Excluido de Cato

Cuando se crea una regla de Túnel Dividido, puede determinar la política de enrutamiento para que todo el tráfico sea enrutado a Cato para beneficios adicionales de seguridad, con la excepción de un tráfico específico. Por ejemplo, no es necesario inspeccionar el tráfico que va a un servidor DNS local.

Nota: Al crear una regla con exclusión, debe especificar explícitamente el sistema operativo como Windows

El siguiente procedimiento describe cómo configurar una regla para enviar todo su tráfico a Cato mientras excluye el tráfico DNS local.

Nota: También puede aplicar la personalización para una red de fuente en esta regla.

off-ramp_cato.png

Para personalizar el tráfico que está excluido de la Nube Cato:

  1. Desde el menú de navegación, haga clic en Acceso > Política de Túnel Dividido.
  2. Cree una nueva regla y configure los ajustes en los pasos 2-4 arriba.
  3. En la sección Configuración, bajo Seleccionar Modo de Conexión, seleccione Todos los Puertos y Protocolos.
  4. En Política de Enrutamiento, seleccionar Enrutar todo a Cato.

  5. En la sección de Definir Excepciones de Enrutamiento, debajo de Exclusiones de DNS, ingrese los dominios a ser resueltos por su servidor DNS local.

    El tráfico hacia estos dominios irá directamente a su destino y no a través de Cato

  6. Haz clic en Aplicar y, a continuación, haz clic en Guardar.

Asegurar Solo Destinos Específicos (Incluidos)

Cuando se crea una regla de Túnel Dividido, puede determinar la política de enrutamiento para que solo tráfico específico sea enrutado a Cato para inspección. Por ejemplo, cuando la mayor parte de su tráfico de red va a una solución de terceros, pero desea enrutarse tráfico específico a un centro de datos remoto a través de Cato.

Nota: Al crear una regla con una exclusión, debe especificar explícitamente el sistema operativo como Windows.

El siguiente procedimiento describe cómo configurar una regla para enviar solo destinos de tráfico específicos a la nube de Cato, y el resto se enruta a su solución de terceros.

Nota: Puede aplicar la personalización para una red de origen en esta regla también.

on-ramp_cato.png

Para personalizar qué tráfico se enruta a Cato:

  1. Desde el menú de navegación, haz clic en Acceso > Política de Túnel Dividido.
  2. Crear una nueva regla y configurar los ajustes en pasos 2-4 arriba.
  3. En la sección de Configuración, debajo de Seleccionar Modo de Conexión, seleccionar Todos los Puertos & Protocolos.
  4. En la Política de Enrutamiento, seleccionar Enrutar solo seleccionados a Cato.

  5. En la sección Definir Excepciones de Enrutamiento, debajo de Exclusiones de Destino:

    • Seleccionar ya sea Aplicaciones o rangos IP.
    • Seleccionar los elementos para agregar como exclusiones

    Estos elementos serán enrutados a Cato para comprobaciones de seguridad adicionales

  6. Haz clic en Aplicar y, a continuación, haz clic en Guardar.

Usando el Cliente de Cato con Microsoft Defender

La función de 'Aislar' de Microsoft Defender requiere que envíes el tráfico directamente a las direcciones IP de Windows Defender Cloud. Por defecto, el Cliente de Cato envía tráfico a través del adaptador de red de Cato. Sin embargo, Microsoft Defender espera que el tráfico se origine del Adaptador de Microsoft Defender, lo que causa una falla de comunicación entre Microsoft Defender y Windows Defender Cloud.

Para configurar Microsoft Defender para trabajar con el Cliente Cato, defina una regla en la política de Túnel Dividido para enviar tráfico a las direcciones de Microsoft Defender.

Configuración de Túnel Dividido Definido por el Usuario

Puede permitir que los usuarios configuren ajustes de Túnel Dividido en el Cliente. Los usuarios pueden subir archivos con los rangos IP que están incluidos o excluidos del túnel.

Nota: Esta opción no se recomienda para entornos de producción y solo debería usarse en casos excepcionales donde no se requiera control centralizado de políticas.

Para definir los rangos IP para Ajustes de Túnel Dividido en el Cliente:

  1. Crea un archivo de texto con las direcciones IP para enrutar a través del túnel cifrado o excluidas del mismo.

    Puedes configurar las siguientes reglas dentro del archivo de texto:

    • Incluir: El tráfico al rango de IP se enruta a través del túnel cifrado. Todo el tráfico restante se enruta directamente a Internet. En el archivo de texto, agrega la lista de dirección IP y máscara de red para enrutar a través del túnel cifrado de la siguiente manera:

      /comentario
incluir
<IP>,<máscara>
<IP>,<máscara>

      Por ejemplo:

      /túneldividido
incluir
198.51.100.0,255.255.255.255

    • Excluir: El tráfico al rango de IP se enruta directamente a Internet. Todo el tráfico restante se enruta a través del túnel cifrado. En el archivo de texto, agrega la lista de dirección IP y máscara de red para enrutar directamente a Internet de la siguiente manera:

      ;comentario
excluir
<IP>,<máscara>
<IP>,<máscara>

      Por ejemplo:

      /túneldividido
excluir
198.51.100.0,255.255.255.255

    Puedes usar una barra (/) o un punto y coma (;) para comentarios.

  2. En el Cliente de Windows, en la pantalla de Ajustes, haz clic en Cargar Archivo y sube el archivo de texto.

    En el Cliente de macOS, en la pantalla de Ajustes, selecciona Túnel Dividido Habilitado.

  3. En el Cliente de Windows, en la pantalla de Ajustes, selecciona Habilitar túnel dividido.

    En el Cliente de macOS, haz clic en Cargar Configuración de Túnel Dividido y sube el archivo de texto.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 3 de 3

0 comentarios