Travailler avec les réseaux gérés

Cet article explique comment définir les réseaux gérés dans Cato Networks. Les réseaux gérés peuvent être utilisés comme un paramètre sur lequel baser vos règles d'accès.

Vue d'ensemble

Cato vous offre un contrôle granulaire sur la façon dont le trafic utilisateur est routé et quand "Toujours actif" est appliqué, en fonction du type de réseau auquel l'utilisateur est connecté.

Cette classification de réseau vous permet de vous intégrer avec les architectures de sécurité existantes tout en assurant un traitement cohérent du trafic à travers des environnements sécurisés, gérés et non gérés.

Le client Cato détermine sa configuration à l'exécution en utilisant des critères spécifiques, tels que :

  • Pour savoir s'il identifie qu'il est derrière un site Cato (Socket, IPsec, vSocket)

  • Pour savoir s'il peut recevoir avec succès une réponse d'une sonde prédéfinie vers une destination donnée

Sur la base de ces conditions, le client applique l'un des comportements suivants :

  • Derrière une prise Cato (Mode Bureau) - Si le client identifie qu'il est derrière une prise Cato, le mode Bureau est activé et tout le trafic est routé via Cato.

  • Derrière un réseau géré - Si le client n'est pas derrière une prise, il vérifie si le réseau est défini comme géré. Si c'est le cas :

    • Réseau géré (non sécurisé) - Le tunnel vers Cato est maintenu, et la politique de tunnel fractionné est appliquée. Seul un certain trafic est routé par Cato (par exemple, le trafic vers Internet), tandis que l'autre trafic est routé via le pare-feu tiers.

    • Réseau géré de confiance - Si le réseau est également marqué comme sécurisé, Toujours actif est suspendu, le client se déconnecte du tunnel Cato, et tout le trafic est routé via le pare-feu tiers.

  • Réseau non géré - Si le réseau n'est ni derrière une prise ni défini comme géré (par exemple, votre WiFi domestique, aéroport, hôtel, café), il est considéré comme un réseau public et traité comme non géré. Tout le trafic est routé via Cato.

Cas d'utilisation - Onboarding progressif vers Cato

L'entreprise ABC compte 70 bureaux et plus de 10 000 employés. Ils sont un nouveau client de Cato qui utilisera le client Cato pour des solutions de réseautage et de sécurité avec Toujours actif pour fournir une sécurité Internet (en ligne avec les meilleures pratiques UZTNA de l'entreprise). Au cours du processus d'onboarding de Cato, l'entreprise déploiera les clients sur quelques semaines, tandis que le SD-WAN sera déployé progressivement dans 20 bureaux au cours des plusieurs mois à venir. Les bureaux sont protégés par un fournisseur tiers jusqu'à cette date.

L'entreprise désigne les plages de réseau pour les bureaux physiques comme réseaux gérés. L'administrateur crée une règle dans la politique de tunnel fractionné pour router le trafic en fonction de la source du réseau :

  • Réseau géré - Les utilisateurs sont connectés derrière un site qui n’a pas été intégré à Cato. Seul le trafic Internet est routé vers le Cato Cloud pour une sécurité accrue.

  • Réseau non géré - Utilisateurs distants, tout le trafic est routé vers le Cato Cloud

Prérequis

  • Pris en charge à partir du client Windows v5.17 et supérieur

  • Pris en charge à partir du client macOS v5.11 et supérieur (EA)

Comment détectons-nous un réseau géré

Vous pouvez configurer des vérifications de réseau pour définir ce qu'est un réseau géré. Le client utilise des sondes prédéfinies pour identifier si le réseau auquel le client est connecté est un réseau géré. Cette vérification a lieu chaque fois que le Client se connecte, après chaque changement de réseau, et toutes les 30 secondes pendant qu'il est connecté.

Le client envoie des sondes pour vérifier la connectivité à différents types de ressources internes :

  • Requête de ressource HTTPS : définissez une URL qui n'est accessible que lorsqu'elle est connectée au réseau géré. Après avoir accédé à l'URL, le client vérifie que la réponse est soit HTTP 200 soit HTTP 300, puis vérifie que le certificat est de confiance basé sur le magasin de certificats de la machine locale.

  • Requête DNS : Définir un nom d'hôte pour que le Client envoie une requête DNS, et l'adresse IP qui est la réponse attendue

  • Ping à une adresse IP ou une URL : Définissez une adresse IP ou une URL pour que le Client envoie un ping. Le Client vérifie s'il y a une réponse avec le protocole ICMP

Managed_Network.png

Si l'une des vérifications est satisfaite, le réseau source est considéré comme géré. Si toutes les vérifications échouent, le réseau est considéré comme non géré.

Unmanaged_Network2.png

Lorsqu'il est derrière un site Cato, le client passe en douceur en mode Bureau comme avant.

Par exemple, le serveur DNS interne de l'entreprise utilise le nom d'hôte companyabc.local, et il se résout à 10.10.10.26. Ainsi, vous définirez le réseau géré comme une requête DNS qui se résout au hôte companyabc.local avec cette adresse IP.

Configuration des réseaux gérés

Pour désigner un réseau comme géré, commencez par créer un objet réseau géré dans l'Application de gestion Cato (CMA). Cet objet représente un réseau tel qu'un bureau ou un emplacement d'entreprise connu. Le client doit également définir la sonde que le client Cato utilise pour identifier quand il fonctionne dans ce réseau. Ces sondes peuvent inclure DNS, HTTP ou Ping (paquets ICMP). Lorsque le client détecte une correspondance basée sur les sondes définies, il classe le réseau comme géré et applique les politiques pertinentes en conséquence.

Trusted_Networks.png

Pour configurer des réseaux gérés :

  1. Dans le menu de navigation, cliquez sur Accès > Réseaux gérés.

  2. Cliquez sur Nouveau et configurez les éléments suivants :

    • Nom de la sonde

    • (Facultatif) Une description de la sonde

    • Type de sonde, c'est-à-dire requête HTTPs, DNS ou ping

    • Nom d'hôte ou adresse IP de la sonde

  3. Cliquez sur Sauvegarder.

  4. Répétez l'étape 2 pour chaque réseau géré.

  5. Activez les réseaux gérés et cliquez sur Sauvegarder.

    Le curseur est vert lorsque les réseaux gérés sont activés, et gris lorsque les réseaux de confiance sont désactivés.

Configuration des réseaux de confiance

Pour les scénarios où vous routez tout le trafic vers la destination, et non vers le Cato Cloud, vous pouvez définir tous vos réseaux gérés comme de confiance. Lorsqu'un appareil hôte se connecte à un réseau de confiance :

  • Le client identifie le réseau comme un réseau de confiance, Connexion au démarrage est désactivée, Toujours actif est contourné et le client n'essaie pas de se connecter (ou de se reconnecter) au Cato Cloud

  • Tant que l'appareil hôte est connecté au réseau de confiance, le client reste déconnecté et la politique de tunnel fractionné n'est pas appliquée

  • Les utilisateurs ont toujours la possibilité de cliquer sur Connecter dans le client, et l'appareil est connecté au Cato Cloud

    Par exemple, les développeurs qui ont besoin d'accéder à un environnement de développement protégé par le Cato Cloud

Pour configurer tous les réseaux gérés comme de confiance :

  1. Dans le menu de navigation, cliquez sur Accès > Réseaux gérés.

  2. Naviguez vers l'onglet Paramètres.

  3. Sélectionnez la case à cocher Définir tous les réseaux gérés comme Réseaux de Confiance.

  4. Cliquez sur Sauvegarder.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 2

0 commentaire