Comprendiendo el Flujo de Conexión del Cato Client

Este artículo explica el flujo de conexión del Windows Client al PoP de Cato.

Descripción

Antes de que el Client se conecte al PoP de Cato, realiza varias verificaciones basadas en la configuración de las políticas de Client. Esto asegura que solo los usuarios y dispositivos que cumplan con sus requisitos de seguridad puedan conectarse a la red. Los siguientes diagramas de flujo detallan el orden de estas verificaciones y el comportamiento del Client si una verificación falla o no está habilitada.

Flujo de Conexión del Cliente de Windows

Los siguientes diagramas de flujo muestran cómo el Windows Client se conecta al PoP de Cato, si Pre Login está habilitado o deshabilitado.

Flujo de Conexión - Inicio de Sesión Previo Habilitado

Pre Login proporciona acceso a los destinos permitidos, antes de que un usuario sea autenticado. Por ejemplo, tan pronto como un dispositivo pueda conectarse a Internet, podrá acceder a su AD para que las credenciales del usuario puedan guardarse en el dispositivo. Todo el acceso a Internet restante está bloqueado.

Nota

Nota: Cualquier dominio asociado con cualquiera de los IdPs soportados puede estar accesible en un estado no autenticado cuando se use el navegador externo con Siempre Activo habilitado. Por ejemplo, los usuarios podrán acceder a google.com para asegurarse de que pueden autenticar si Google es su IdP.

Frame_1000002917.jpg

Flujo de Conexión - Inicio de Sesión Previo Deshabilitado

Si Pre Login está deshabilitado, este es el flujo de conexión del Client:

Frame_1000002918.jpg

Notas

  1. En el Estado de Pre Login, el dispositivo está preconfigurado con el Cliente Cato, un certificado de confianza, y el registro de Windows está configurado con el nombre de la cuenta. El usuario no está autenticado, sin embargo el Cliente puede conectarse al PoP para validar el certificado. Si el certificado es válido, esto establece suficiente confianza para permitir al Cliente acceder a destinos permitidos a través del PoP, aunque el usuario no esté autenticado.
  2. Siempre Activo asegura que el Cliente siempre esté conectado al PoP y todo el tráfico sea inspeccionado por los motores de seguridad de Cato. El Cliente intenta automáticamente autenticarse y conectarse con las credenciales del último usuario que se conectó con el Cliente. El Cliente verifica si Siempre Activo está habilitado después de que el dispositivo se inicia (si las credenciales del usuario están guardadas en el dispositivo) y después de que el usuario inicie sesión en el dispositivo. Una vez que el usuario está autenticado y el Cliente está conectado, el Cliente no puede ser desconectado.
  3. Con Conectar al Iniciar habilitado, durante la fase de arranque del dispositivo, el Cliente intenta autenticarse automáticamente y conectarse con las credenciales del último usuario que se conectó con el Cliente. Una vez que el Cliente se conecta, el usuario puede desconectar el Cliente. El Cliente verifica si Conectar al iniciar está habilitado después de que el dispositivo se inicia (solo si las credenciales del usuario están guardadas en el dispositivo) y después de que el usuario inicie sesión en el dispositivo.
  4. La Política de Conectividad del Cliente define qué verificaciones de dispositivo ejecutar en el dispositivo antes de que se conecte a la red. Esto asegura que solo los dispositivos que cumplan con sus requisitos de seguridad puedan conectarse. También puede configurar un usuario para que tenga solo acceso seguro a Internet o acceso seguro a Internet y a una red privada (WAN).

  5. Estas verificaciones incluyen:

    • Verificaciones de Dispositivo que definen los requisitos mínimos que un dispositivo debe cumplir para poder conectarse a su red. El Client realiza verificaciones para validar la postura de seguridad del dispositivo.
    • La geolocalización del dispositivo
    • El sistema operativo del dispositivo
    • El estado de autenticación del usuario
  6. Los usuarios pueden autenticarse con SSO, MFA o con un nombre de usuario y contraseña. Una vez autenticado, el PoP genera un Token de Cato para verificar que el usuario ha sido autenticado, de modo que el Cliente pueda mantener una conexión con la nube de Cato. Puede configurar cuánto tiempo es válido el token de autenticación de Cato. El Cliente puede autenticarse automáticamente con las credenciales de Windows, haciendo que este paso sea transparente para el usuario.

Comprender Permisos del Cliente

El Client tiene los siguientes permisos en un dispositivo:

Windows

  • Servicio Cato Client SDP (CatoNetworksVPNService): Cuenta del Sistema Local
  • Procesos de UI del Client: Usuario Estándar

macOS

  • Demonio del Cato Client (com.catonetworks.mac.CatoClient.helper): Usuario Root
  • Extensión del sistema: Usuario Root (con menos permisos que el demonio)
  • Agente de usuario: Usuario Estándar

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 11 de 12

0 comentarios