Protegiendo a los Usuarios con Seguridad Siempre Activa

Este artículo discute cómo configurar su política Siempre Activa para incrementar la seguridad en Internet para los usuarios en su cuenta.

Resumen

La Política Siempre Activa mejora la seguridad en Internet al definir reglas para cuando los usuarios o grupos de usuarios siempre se conectan al Cato Cloud. Esto asegura que todo el tráfico pase a través de un PoP y los motores de seguridad de Cato inspeccionen el tráfico para garantizar que cumpla con sus políticas de seguridad.

Caso de Uso - Personalizar la Política Siempre Activa para Empleados y Contratistas de Terceros

La red de la empresa ABC es utilizada por sus propios empleados, quienes tienen acceso a los recursos corporativos, y por contratistas externos, quienes no pueden acceder a los recursos corporativos. Crean una regla para habilitar Siempre Activa para sus empleados mientras los contratistas externos pueden acceder directamente a Internet. Esto asegura que todo el tráfico de los empleados de la empresa pase por el Cato Cloud y esté protegido por políticas de seguridad.

Trabajando con la Política Siempre Activa Ordenada

La Política Siempre Activa es una base de reglas ordenada. Las reglas de su política se aplican a un Usuario o Grupo de la siguiente manera:

  • Cuando cumplen con una regla, el Cliente sigue la configuración establecida en la regla

  • Si no cumplen con ninguna regla, pueden desconectarse de la red

Requisitos Previos de la Política Siempre Activa

  • Siempre Activa no es compatible con Clientes Linux

  • Siempre Activa con autenticación SSO es compatible para las siguientes versiones y superiores:

    • Cliente Windows v5.3

    • Cliente macOS v5.0

    • Cliente iOS v5.0

    • Cliente Android v5.0

Proporcionando Acceso a Internet con la Política Siempre Activa

Con la Política Siempre Activa habilitada, todavía puedes proporcionar a los usuarios acceso directo a Internet mediante:

  • Usando un método de contorneo temporal

  • Creando una regla con un estado de conexión A Demanda

  • Permitiendo acceso a Internet en modo Recuperación

Omitir Temporalmente el Acceso Seguro a Internet

Puede haber algunas situaciones donde los usuarios necesiten temporalmente evitar el Cato Cloud y acceder directamente a Internet. Por ejemplo, para acceder temporalmente a un sitio web que está bloqueado por una regla de Cortafuegos de Internet. Para cada regla, puedes configurar cómo los usuarios omiten temporalmente la Cato Cloud.

En Windows v5.9 y superior, también puede configurar cuánto tiempo los usuarios pueden evitar el Cato Cloud. Durante este período, el tráfico de Internet no fluye a través del Cato Cloud y no es seguro.

Cuando el Cliente se desconecta temporalmente, se generan eventos que muestran los detalles del usuario y la duración por la que el Cliente estuvo desconectado. Para ver estos eventos, en la página Eventos aplique un filtro para el sub-tipo VPN Never-Off Bypass. El Método de Contorneamiento en el evento muestra el método usado para evitar el Cliente. Para más información sobre eventos en tu cuenta, consulta Analizando Eventos en Tu Red.

Los usuarios pueden evitar temporalmente el Cato Cloud usando ya sea:

  • El contorno controlado por el Admin con un código de contorneo

  • El contorno controlado por el Usuario

Omision Controlada por el Administrador con un Código de Omisión

Nota

Nota: Soportado en Windows, Android, Clientes iOS y Cliente macOS v5.4 y superior

Use esta opción para generar una contraseña de un solo uso (OTP) en la Aplicación de Gestión de Cato que puede dar a cualquier usuario y permitirles temporalmente desconectar el Cliente. En las versiones del Cliente Windows inferiores a 5.9 y otros sistemas operativos compatibles, el Cliente es evitado hasta por 15 minutos por vez. Cada código puede ser válido hasta por 15 minutos.

Además, puede utilizar una aplicación de autenticación (como Google Authenticator) para escanear el código QR en esta pantalla. Luego, siempre puede obtener un OTP para los usuarios desde la aplicación de autenticación. La aplicación de autenticación actualiza el código cada 30 segundos, por lo que cada código solo es válido por 30 segundos.

Puede utilizar el mismo código de contorneo para múltiples usuarios, siempre que el código siga siendo válido.

Omisión Controlada por el Usuario

Nota

Nota: Compatible a partir de:

  • Cliente Windows v5.9 y superior

  • Cliente macOS v5.5 y superior

Esta opción permite a los usuarios desconectar temporalmente el Cliente bajo demanda. En el Cliente, el usuario debe proporcionar una razón para desconectar el Cliente en un campo de texto libre. y después puede acceder inmediatamente y directamente a Internet. Esta razón se incluye en el evento.

Al Cliente se le permite desconectarse por la duración que se configure en la Duración de la Desconexión.

Caso de Uso - Acceso a Internet Pre-aprobado para Equipos Específicos

El equipo de ingeniería de una empresa minorista es responsable de garantizar que su sitio web tenga un 100% de disponibilidad para recibir pedidos en línea. Esto significa que siempre necesitan acceso a una aplicación SaaS en línea necesaria para solucionar problemas. Se requiere acceso a la aplicación fuera del horario laboral y cuando se trabaja de forma remota. La política de seguridad de la empresa establece que todo acceso a Internet debe ser seguro.

Para cumplir con la política de seguridad, el TI habilita Siempre Activo. Como medida de precaución, para evitar una situación en la que durante un posible corte el Cliente no pueda conectarse a Cato Cloud, el equipo de TI proporciona a los ingenieros una forma de acceder inmediatamente a Internet. El equipo de TI creó una regla en su política Siempre Activa para el grupo de Usuarios de ingenieros, donde el Modo de Omisión está configurado para permitir a los usuarios desconectarse temporalmente a pedido.

Si un ingeniero necesita solucionar problemas del sitio web en medio de la noche, el equipo de IT puede asegurarse de que pueden acceder a la aplicación SaaS de solución de problemas incluso si hay un problema con el Cliente. El ingeniero no necesita esperar la aprobación de IT para evitar el Cato Cloud y comenzar a solucionar los problemas del sitio web.

Crear una Regla con un Estado Conectado a Pedido

Si hay usuarios que necesitan regularmente acceso directo a Internet, puedes agregarlos a una regla con el estado del conector Ignorar. Esta configuración permite a los usuarios conectar o desconectar el Cliente según sea necesario.

Modo de Recuperación del Cliente

Nota

Nota: Compatible a partir de:

  • Cliente Windows v5.9 y superior

  • Cliente macOS v5.5 y superior

También puede elegir el comportamiento del Cliente en un escenario donde no se puede establecer una conexión con el Cato Cloud. El Cliente se puede configurar para:

  • Permitir Internet (Configuración Predeterminada): Los usuarios pueden acceder a Internet. El tráfico no fluye a través del Cato Cloud y no es seguro hasta que se establezca una conexión con el Cato Cloud.

  • Restringir el acceso a Internet: Los usuarios no pueden acceder a Internet hasta que se establezca una conexión con Cato Cloud e Internet seguro.

Caso de Uso - Conexión a Internet al Viajar

La empresa ABC ha habilitado Siempre Activa para todos los usuarios. Sus ejecutivos de nivel C a menudo viajan y se conectan a Internet desde aeropuertos y hoteles. Ocasionalmente el Cliente no detecta el portal cautivo y no puede establecer un túnel cifrado. Para asegurar que el equipo ejecutivo pueda continuar trabajando cuando está de viaje, el equipo de TI configura Modo de Recuperación en la regla Siempre Activa para el grupo de Usuario C-suite para permitir acceso a Internet.

Si el Cliente no detecta un portal cautivo, los usuarios de la C-suite pueden continuar trabajando, ya que el Cliente permite el acceso a Internet según la política Siempre-Activado. Tan pronto como el Cliente restablece un túnel, el tráfico fluye a través de Cato Cloud como se esperaba.

Preparando la Implementación de la Política Siempre Activa

Antes de activar su Política Siempre-Activado, considere cómo Siempre-Activado interactúa con otras funciones y versiones del Cliente en su entorno. Esta sección ofrece recomendaciones sobre cómo usar SSO, Conectividad del Cliente, Autenticación de Dispositivos y el Cliente Windows con su Política Siempre-Activado.

Trabajando con Siempre Activo y SSO

Para cuentas que usan la autenticación de Single Sign-On para usuarios, también puede configurar los Clientes compatibles para que siempre permanezcan conectados a la Nube Cato (Siempre-Activado). Esta configuración ofrece a los usuarios la simplicidad del SSO y la seguridad de Siempre-Activado. El Cliente puede acceder al proveedor IdP y el acceso a otros recursos es conforme a su política de seguridad.

Nota

Nota: Para ayudar a los usuarios que no pueden autenticarse en el Cliente, recomendamos que actives un método de omisión de la Cato Cloud y revises los eventos de omisión. De lo contrario, el dispositivo no autenticado no puede conectarse a Internet o a la nube Cato).

Implementando Siempre Activo y SSO

Esta sección contiene mejores prácticas y recomendaciones para implementar Siempre-Activado con SSO en su cuenta.

  • Comience habilitando Siempre-Activado y SSO para un pequeño número de usuarios para minimizar el impacto en su cuenta

  • Revise los eventos de omisión para monitorear el uso de códigos de omisión en su organización

  • Dado que los usuarios no autenticados no tienen conectividad a Internet, asegúrese de que los usuarios puedan iniciar sesión en el dispositivo sin depender de Internet

  • Asegúrese de que todos los Clientes estén actualizados a la versión mínima compatible para el sistema operativo relevante. Si se utiliza un Cliente de una versión no compatible, el Cliente no puede volver a autenticarse y el tráfico a Internet está bloqueado.

  • Para implementaciones que utilizan un proxy de terceros, solo la Autenticación de Navegador Externo en Cliente está soportada para Siempre Activo e Inicio de sesión único (para más sobre Autenticación de Navegador Externo, consulta Configurar la Política de Autenticación para Clientes de Cato)

Usando la Política de Acceso de Cliente y Autenticación de Dispositivos con Siempre Activo

Tu Política de Acceso de Cliente y configuraciones de Autenticación de Dispositivos aplican Posturas del Dispositivo y Chequeos realizados en dispositivos para usuarios. Si el dispositivo no cumple con la política establecida para el perfil, entonces el usuario no puede conectarse a la Nube Cato. Su Política de Conectividad del Cliente y los ajustes de Autenticación de Dispositivos tienen prioridad sobre su Política Siempre-Activado.

Instalando Cliente Windows y Siempre Activo

Para equipos de IT, entregando o enviando dispositivos completamente nuevos a usuarios de todo el mundo, podemos proporcionar Seguridad Siempre-Activado lista para usar.

A partir del Cliente Windows v5.6, puede mejorar la seguridad de Internet incluso antes de que un usuario se autentique en Cato. La política Siempre-Activado está disponible lista para usar, y el acceso a Internet solo se permite después de que el usuario se autentique en su cuenta Cato.

Para habilitar esta función, simplemente agregue una clave de registro al dispositivo Windows para habilitar Siempre-Activado. Una vez que el usuario se agrega al Cliente, los ajustes de Siempre-Activado definidos en la Aplicación de Gestión Cato se aplican a ese usuario.

Para cuentas que usan la función Pre login, el dispositivo solo tiene permitido acceder a los Destinos Permitidos antes de que el usuario sea añadido al Cliente. Todo otro acceso a Internet está bloqueado.

También recomendamos agregar la clave de registro que lanza el cliente al inicio. Para más información, consulta Instalando el Cliente de Cato.

Nota

Nota: Antes de que los usuarios se añadan al Cliente, no es posible omitir la Nube Cato.

Para configurar el registro de Windows para aplicar Siempre-Activado:

  1. Vaya a la clave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN

  2. Defina esta clave:

    • InitialAlwaysOn=1 (DWORD)

Configurando la Política Siempre Activa

Esta sección explica cómo crear la Política Siempre-Activado.

Creando la Política Siempre Activa

La Política Siempre Activa le permite definir los usuarios o Grupos de Usuarios para los Clientes que deben conectarse siempre a la red.

Always-On_Policy.png

Para crear la Política Siempre-Activado:

  1. Desde el menú de navegación, haga clic en Acceso > Política Siempre-Activado.

  2. Haga clic en Nuevo.

    El panel Nueva Regla se abre.

  3. Ingrese un Nombre y establezca el Orden de la Regla.

  4. Defina los Usuarios & Grupos, Plataformas.

  5. Defina el estado Conectado, el Modo de Omisión, la Duración de Desconexión, y el Modo de Recuperación.

    Bypass.png

  6. Haga clic en Aplicar.

  7. Repita los pasos 2-5 para cada regla en la Política Siempre-Activado.

  8. Habilite la Política Siempre-Activado y luego haga clic en Guardar.

    La barra deslizante enable.png está verde cuando la regla está habilitada, y gris cuando la regla está deshabilitada.

Configurando la Configuración Predeterminada

Nota

Nota: Compatible desde:

  • Todos los Clientes de Windows

  • Cliente Linux v5.2 y superior

Puede proporcionar a los usuarios un estado conectado A demanda con seguridad adicional configurando el Cliente para que se conecte automáticamente durante la fase de inicio. Una vez conectados, los usuarios pueden elegir desconectar y reconectar el Cliente cuando lo necesiten. Para los usuarios con un estado conectado Siempre-Activado, el Cliente se conecta automáticamente, sin esta configuración.

  • Si las opciones Conectar al iniciar o Iniciar minimizado están seleccionadas en la Aplicación de Gestión Cato:

    • Esto se aplica a todos los Clientes en su entorno

    • Los usuarios no pueden deshabilitar este ajuste desde el Cliente

  • Si las opciones Conectar al iniciar o Iniciar minimizado no están seleccionadas en la Aplicación de Gestión Cato:

    • Los usuarios pueden elegir habilitar estas funciones en la pestaña Ajustes en el Cliente

Nota: Con Conectar al iniciar habilitado, si un usuario cierra sesión en su sesión de Windows, el Cliente se conecta a la Nube Cato. Esto es para proporcionar acceso a un Controlador de Dominio para permitir que el usuario vuelva a iniciar sesión.

Para configurar los ajustes predeterminados para los Clientes:

  1. Desde el menú de navegación, haga clic en Acceso > Política Siempre-Activo.

  2. Abra la Configuración pestaña.

  3. En la sección Conectar al encender, defina la configuración predeterminada para los clientes de Windows.

    Connect_On_boot.png

  4. Haga clic en Guardar.

Aplicar Autenticación Detrás de un Sitio Cato

Nota

Nota: Compatible desde:

  • Windows Client v5.8 y superior

  • Linux Client v5.2 y superior

Cuando un usuario se conecta detrás de un Socket Cato o un sitio IPsec, el Cliente se conecta automáticamente a ese sitio en Modo Oficina. Para más información sobre Modo de Oficina, consulta Configuración del Modo de Oficina.

Puede configurar si los usuarios con siempre activado deben autenticarse ante Cato cuando el Cliente está conectado en Modo Oficina. Esta configuración no tiene impacto en las políticas de seguridad.

Authentication_in_Office.jpg

Para imponer autenticación en un sitio Cato

  1. Desde el menú de navegación, haga clic en Acceso > Política Siempre-Activo.

  2. Abra la Configuración pestaña.

  3. En la sección Aplicar Siempre-Activo en Oficina, seleccione Requerir autenticación en una oficina.

  4. Haga clic en Guardar.

Generar un Código de Omisión

Un código de omisión es un código de 6 dígitos que se ingresa en el Cliente para permitir a los usuarios desconectarse temporalmente del Cato Cloud.

Para generar un código de omisión:

  1. Desde el menú de navegación, haga clic en Acceso > Política Siempre-Activo.

  2. Abra la Configuración pestaña.

  3. Expanda la sección Mostrar código de omisión o Mostrar código QR para la aplicación de autenticación

  4. Ahora puede enviar el código de omisión o el código QR a un usuario.

Entendiendo la Experiencia del Usuario

Dependiendo del Modo de Omisión configurado en la Aplicación de Gestión Cato, los usuarios pueden desconectar temporalmente el Cliente usando un código de omisión o ingresando una razón para omitir.

Ingresar un Código de Omisión

El código de omisión es generado por los administradores y enviado a un usuario para ser ingresado en el Cliente. Después de ingresar un código válido, el Cliente omite temporalmente el túnel encriptado y el usuario puede acceder a Internet. Los Clientes Windows por debajo de la v5.9, macOS, iOS y Android pueden ser desconectados temporalmente por un máximo de 15 minutos. Los Clientes de Windows v5.9 y superior pueden ser desconectados por la duración configurada en la Duración de Desconexión.

Los usuarios que se autentican con SSO o MFA necesitan volver a autenticarse en el Cliente Cato al reconectar.

Bypass_code.png

Para ingresar un código de omisión:

  • En el Cliente de Windows, los usuarios pueden hacer clic derecho en el ícono del Cliente en la bandeja del sistema y seleccionar Omisión Temporal

  • En el Cliente de macOS, los usuarios pueden hacer clic derecho en el ícono del Cliente en la bandeja del sistema y seleccionar Desconexión Temporal

  • En el Cliente de iOS, en la pantalla de inicio del Cliente, seleccione Omisión Siempre-Activa

  • En el Cliente de Android, desde el menú lateral, seleccione Omisión Temporal

Ingresar una Razón para Omitir

Nota

Nota: Compatible desde: Windows Client v5.9 y superior

  • Windows Client v5.9 y superior

  • macOS Client v5.5 y superior

Los usuarios son capaces de desconectar temporalmente el Cliente después de proporcionar una razón. Después de que el usuario ingrese la razón, el Cliente omite temporalmente el Cato Cloud y el usuario puede acceder a Internet. El Cliente está desconectado por el tiempo configurado en la Aplicación de Gestión Cato.

Los usuarios que se autentican con SSO o MFA necesitan volver a autenticarse en el Cliente Cato al reconectar.

Bypass_reason.png

Para ingresar una razón de omisión:

  1. En el Cliente de Windows, los usuarios pueden hacer clic derecho en el ícono del Cliente en la bandeja del sistema y seleccionar Omisión Temporal.

  2. Proporcione una razón para desconectar temporalmente el Cliente.

  3. Haga clic en Entrar.

    El Cliente está desconectado.

Personalizar Siempre Activo para Usuarios Específicos

Puede personalizar la Política Siempre-Activo para un usuario individual.

Para configurar la Política Siempre-Activo para un usuario específico:

  1. Desde el menú de navegación, haga clic en Acceso > Política Siempre-Activo.

  2. Haga clic en Nuevo.

    El panel Nueva Regla se abre.

  3. Ingrese un Nombre y defina el Orden de la Regla.

  4. En la sección Usuarios & Grupos, seleccione SDP Usuario.

  5. Elija el usuario específico.

  6. Defina las Plataformas y el estado Conectado.

  7. Haga clic en Aplicar.

  8. Active la Política Siempre-Activo y luego haga clic en Guardar.

    La barra deslizante enable.png está verde cuando la regla está habilitada, y gris cuando la regla está deshabilitada.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 7 de 10

0 comentarios