Routage avec le Client Cato (Politique de tunnel fractionné)

Cet article explique comment gérer centralement les règles de routage du trafic du Client Cato avec la politique de tunnel fractionné.

Vue d'ensemble

Le Client Cato sécurise le trafic utilisateur en établissant un tunnel DTLS vers le Cato Cloud. La politique de Tunnel fractionné contrôle quel trafic est envoyé par ce tunnel sécurisé et quel trafic le contourne pour être routé directement via l'interface réseau locale. La politique prend en charge une gestion centralisée flexible du comportement de routage.

Le trafic routé via le Cato Cloud bénéficie d'une inspection et d'une application complètes de sécurité, ainsi que d'une optimisation du chemin sur le backbone Cato. Cependant, il peut y avoir des situations qui nécessitent un routage adaptatif, par exemple, pour optimiser les performances des services de médias en temps réel ou lors de l'utilisation avec des fournisseurs tiers.

Les règles sont appariées en fonction de multiples critères, y compris l'identité de l'utilisateur, la géolocalisation, le système d'exploitation et le Réseau Source. Vous pouvez définir soit des règles inclusives, soit basées sur des exceptions. Par exemple :

  • Identité - Appliquer les règles de routage sélectivement à des utilisateurs ou des groupes d'utilisateurs spécifiques
  • Appareil - Sélectionner les OS et les pays sur lesquels les règles de routage s'appliquent
  • Réseau source - Choisir la politique de routage en fonction des réseaux gérés ou non

La Configuration de Routage prend en charge :

  • Trafic utilisateur :

    • Acheminer tout le trafic vers le Cato Cloud, avec des exclusions spécifiques pour les applications internes ou les ressources hébergées par un fournisseur
    • Acheminer uniquement le trafic sélectionné dans le cadre du remplacement des solutions VPN héritées
    • Acheminer uniquement le trafic internet à travers le Cato Cloud tout en permettant à l'autre trafic de sortir localement

  • Trafic DNS :

    • Supporter la résolution DNS par un serveur DNS local pour les domaines spécifiés
    • Supporter la résolution DNS locale pour les domaines requis par un VPN tiers pour éviter les conflits DNS

Ce niveau de contrôle vous permet d'optimiser la couverture de sécurité tout en minimisant la latence et en préservant l'accès direct aux ressources de confiance.

Prérequis

Les fonctionnalités suivantes sont actuellement disponibles uniquement avec Client Windows v5.16 et supérieur

  • Exclusions DNS

    • Assurez-vous que ce qui suit est autorisé dans votre pare-feu local :

      • l'adresse IP 127.0.0.253
      • le service DNS de Cato Networks
      • le processus de relais DNS, dns-relay.exe

  • Routage uniquement web

    • Assurez-vous que le Client Cato dispose des autorisations d'écriture sur le fichier PAC du système

Révisions de politiques et édition concurrente par plusieurs administrateurs

La politique de tunnel fractionné permet à différents administrateurs de modifier la politique en parallèle. Chaque administrateur peut modifier les règles et sauvegarder les modifications dans une révision privée, puis les publier dans la politique de compte (la révision publiée). Pour plus d'informations sur la gestion des révisions de politique, voir Travailler avec les révisions de politique.

Cas d'utilisation

Sécurité Internet de Cato avec Accès Privé à Distance

L'entreprise ABC provisionne le Client Cato pour ses utilisateurs avec Toujours Actif activé. Cela signifie qu'ils sont connectés même lorsqu'ils sont au bureau derrière leur fournisseur tiers. En tant qu'administrateur, vous êtes confiant que le trafic pour vos applications internes est sécurisé par le fournisseur tiers et est exclu du Cato Cloud pour les utilisateurs au bureau. Tout autre trafic est envoyé au Cato Cloud pour la sécurité.

split_tunnel.png

Vous configurez deux règles dans la Politique de tunnel fractionné pour implémenter ce comportement :

managed_network_exclude.png
  • La Règle 1 concerne le trafic utilisateur qui provient de derrière N'importe quel Réseau Géré, pour tous les ports et protocoles. Les DNS exclus et les Destinations sont définis. Cela exclut le trafic d'être routé vers le Cato Cloud.
  • La Règle 2 concerne le trafic utilisateur qui provient de derrière N'importe quel Réseau Non Géré, pour tous les ports et protocoles. Il n'y a aucune exclusion, ce trafic est routé vers le Cato Cloud.

Sécurité Internet Légère

L'entreprise ABC souhaite que Cato sécurise uniquement le trafic web vers les applications SaaS et l'Internet public. Cela nécessite que Cato coexiste avec les fournisseurs tiers lorsque les utilisateurs se connectent depuis des réseaux gérés et non gérés. C'est un mode léger qui convient pour intégrer progressivement à partir d'une architecture basée sur un proxy à Cato.

Note : Les VPN de tiers qui respectent les prérequis de Cato ne doivent pas être interrompus par le Client Cato pour Windows en mode uniquement web.

Diagram2.png

Vous créez une règle dans la Politique de tunnel fractionné qui envoie tout le trafic web au Cato Cloud, et tout autre trafic est envoyé à travers le réseau géré.

Configurer la Politique de tunnel fractionné

La Politique de tunnel fractionné est une base de règles ordonnée qui vérifie séquentiellement si une règle est respectée. Une fois qu'une règle est assortie, les règles de priorité inférieure sont ignorées. Lorsqu'un utilisateur satisfait une règle, les paramètres de routage du trafic basés sur cette règle sont appliqués. Si aucune règle n'est respectée, le trafic est routé via le Cato Cloud, et l'accès LAN est autorisé.

Pour inclure des plages IP qui sont des exceptions aux paramètres de tunnel fractionné, ajoutez les plages IP à une Plage d'IP Globale.

Split_Tunnel_Policy.png

Vue d'ensemble de haut niveau de la Politique de tunnel fractionné

Voici les paramètres que vous pouvez définir pour les règles dans la politique de tunnel fractionné :

  1. Paramètres généraux (c'est-à-dire Nom, Description).
  2. À qui la règle s'applique ( Utilisateurs & Groupes, Plateformes, Pays et Réseau Source).
  3. La portée du trafic auquel la règle s'applique, par exemple, tout le trafic ou uniquement le web
  4. La politique de routage pour la portée du trafic.

Créer une Règle de Tunnel Fractionné de Base

Cette section explique comment configurer une règle de base dans la politique de tunnel fractionné. Cela suppose que vous souhaitez acheminer presque tout le trafic vers le Cato Cloud.

Pour des informations sur la personnalisation des règles de tunnel fractionné, voir

Pour configurer la politique de tunnel partagé :

  1. Dans le menu de navigation, cliquez sur Accès > Politique de tunnel partagé.

  2. Cliquez sur Nouveau.

    Le panneau Nouvelle règle de politique de tunnel partagé s'ouvre.

  3. Configurer les paramètres Généraux suivants :

    • Nom
    • Description
    • Position

    Assurez-vous d' Activer la règle pour qu'elle soit appliquée

  4. Définir à qui la règle s'applique en définissant le :

    • Utilisateurs et Groupes d'Utilisateurs
    • Plateformes
    • Pays

  5. Sous Configuration, configurer ce qui suit :

    • Dans la section Sélectionner le Mode de Connexion, sélectionnez la portée du trafic à inclure dans cette règle.

    • Sous Politique de Routage, détermine comment la portée est routée. Les options incluent

      • Router tout le trafic vers Cato : Le trafic est routé via le Cato Cloud. Vous pouvez définir des exceptions à router directement vers Internet.

        Note : Si vous Bloquez l'accès LAN sortant, cette option n'est prise en charge que depuis le Client Windows v5.6 et supérieur.

      • Routage uniquement vers Cato : Le trafic accède directement à Internet et contourne le Cato Cloud. Vous pouvez définir des exceptions à router via le Cato Cloud. Bloquer l'accès LAN sortant est en conflit avec cette option et ne peut pas être sélectionné.
      • Défini par l'utilisateur final : Les utilisateurs peuvent télécharger un fichier texte dans le Client pour configurer quel trafic est routé à travers le Cato Cloud et quel trafic est exclu du Cato Cloud. Le blocage de l'accès LAN sortant ne peut pas être sélectionné avec cette option.
    • Sous Exclusions des Destinations, configurer une application ou une plage IP à laquelle la politique de routage ne s'applique pas

  6. Déterminez s'il faut autoriser ou bloquer l'Accès LAN

    Pour éviter les conflits de routage de trafic entre sous-réseaux ayant la même adresse IP, en cas de conflit, vous pouvez bloquer l'accès LAN sortant. Avec cette option, tout le trafic est routé vers le Cato Cloud, offrant une sécurité accrue. Le Client est bloqué pour se connecter à un hôte LAN dans le réseau domestique de l'utilisateur distant.

  7. Cliquez sur Appliquer.
  8. Répétez les étapes 2-5 pour chaque règle dans la Politique de tunnel fractionné.

  9. Activez la politique de tunnel partagé puis cliquez sur Enregistrer.

    Le curseur est vert lorsque la règle est activée et gris lorsqu'elle est désactivée.

Personnaliser le Réseau source

Lors de la création d'une règle de Tunnel fractionné, vous pouvez déterminer différentes politiques de routage en fonction du réseau source, c'est-à-dire s'il est géré ou non.

Lorsque le trafic est sur un réseau non géré, il passera toujours d'abord par Cato. Pour le trafic sur les réseaux gérés, vous pouvez déterminer si le trafic est routé par Cato ou directement vers la destination.

Note : Vous devez activer et configurer les réseaux gérés pour appliquer les règles en conséquence.

Pour personnaliser le réseau source :

  1. Dans le menu de navigation, cliquez sur Accès > Politique de tunnel fractionné.
  2. Créez une nouvelle règle et configurez les paramètres aux étapes 2-4 ci-dessus.

  3. Sous la section Réseau Source, déterminer si cette règle s'applique à :

    • Tous les réseaux
    • Tous les réseaux non gérés
    • Tous les réseaux gérés
  4. Définissez le mode de connexion, la politique de routage et les destinations qui sont exclues aux étapes 5-7 ci-dessus.

Personnaliser quel Trafic est Exclu de Cato

En créant une règle de Tunnel fractionné, vous pouvez déterminer la politique de routage pour que tout le trafic soit routé à Cato pour des avantages supplémentaires de sécurité, à l'exception d'un trafic spécifique. Par exemple, il n'est pas nécessaire d'inspecter le trafic qui se dirige vers un serveur DNS local.

Note : En créant une règle avec une exclusion, vous devez explicitement spécifier le système d'exploitation comme Windows

La procédure suivante décrit comment configurer une règle pour envoyer tout votre trafic vers Cato tout en excluant le trafic DNS local.

Note : Vous pouvez appliquer la personnalisation pour un réseau source dans cette règle également.

off-ramp_cato.png

Pour personnaliser le trafic qui est exclu du Cato Cloud :

  1. Dans le menu de navigation, cliquez sur Accès > Politique de tunnel fractionné.
  2. Créez une nouvelle règle et configurez les paramètres aux étapes 2-4 ci-dessus.
  3. Dans la section Configuration, sous Sélectionner le Mode de Connexion, sélectionnez Tous les Ports & Protocoles.
  4. Sous Politique de déploiement de routage, sélectionnez Routage Tous vers le haut vers Cato.

  5. Dans la section Définir les exceptions de routage, sous Exclusions DNS, entrez le(s) domaine(s) à résoudre par votre serveur DNS local.

    Le trafic vers ces domaines ira directement à leur destination et non via Cato.

  6. Cliquez sur Appliquer, puis sur Enregistrer.

Sécuriser uniquement des Destinations Spécifiques (Incluses)

Lorsque vous créez une règle de tunnel fractionné, vous pouvez déterminer la politique de routage afin que seul le trafic spécifique soit routé vers Cato pour inspection. Par exemple, lorsque la majorité de votre trafic réseau va vers une solution tierce, mais que vous voulez router un trafic spécifique vers un centre de données distant via Cato.

Note : Lors de la création d'une règle avec une exclusion, vous devez spécifier explicitement le système d'exploitation comme étant Windows.

La procédure suivante décrit comment configurer une règle pour n'envoyer que certains trafics spécifiques vers le Cato Cloud, tandis que le reste est routé vers votre solution tierce.

Note : Vous pouvez également appliquer la personnalisation pour un réseau source dans cette règle.

on-ramp_cato.png

Pour personnaliser quel trafic est routé vers Cato :

  1. Dans le menu de navigation, cliquez sur Accès au cloud > Politique de tunnel fractionné.
  2. Créez une nouvelle règle et configurez les paramètres aux étapes 2-4 ci-dessus.
  3. Dans la section Configuration, sous Sélectionner le mode de connexion, sélectionnez Tous les ports et protocoles.
  4. Sous Politique de déploiement de routage, sélectionnez Route seulement les sélectionnés vers Cato.

  5. Dans la section Définir les exceptions de routage, sous Exclusions de destination :

    • Sélectionnez soit Applications ou plages IP.
    • Sélectionnez les éléments à ajouter en tant qu'exclusions.

    Ces éléments seront routés vers Cato pour des contrôles de sécurité supplémentaires.

  6. Cliquez sur Appliquer, puis sur Enregistrer.

Utiliser le Client Cato avec Microsoft Defender

La fonctionnalité 'Isolate' de Microsoft Defender vous oblige à envoyer directement le trafic aux adresses IP du Cloud Windows Defender. Par défaut, le Client Cato envoie le trafic via l'adaptateur réseau Cato. Cependant, Microsoft Defender s'attend à ce que le trafic provienne de l'adaptateur Microsoft Defender, ce qui provoque une défaillance de communication entre Microsoft Defender et Windows Defender Cloud.

Pour configurer Microsoft Defender pour fonctionner avec le Client Cato, définir une règle dans la politique de Tunnel fractionné pour envoyer le trafic aux adresses Microsoft Defender.

Paramètres du tunnel fractionné défini par l'utilisateur

Vous pouvez laisser les utilisateurs configurer les paramètres du Tunnel fractionné dans le Client. Les utilisateurs peuvent téléverser des fichiers avec les plages IP qui sont incluses ou exclues du tunnel.

Note : Cette option n'est pas recommandée pour les environnements de production et ne doit être utilisée que dans des cas exceptionnels où le contrôle centralisé des politiques n'est pas requis.

Pour définir les plages IP pour les paramètres du tunnel fractionné dans le Client :

  1. Créez un fichier texte avec les adresses IP à router via ou exclues du tunnel chiffré.

    Vous pouvez configurer les règles suivantes dans le fichier texte :

    • Inclure : Le trafic vers la plage IP est acheminé via le tunnel crypté. Tout autre trafic est routé directement vers Internet. Dans le fichier texte, ajoutez la liste des adresses IP et du masque réseau à acheminer via le tunnel crypté comme suit :

      /commentaire
inclure
<IP>,<masque>
<IP>,<masque>

      Par exemple :

      /tunneldécomposé
inclure
198.51.100.0,255.255.255.255

    • Exclure : Le trafic vers la plage IP est acheminé directement vers Internet. Tout autre trafic est acheminé via le tunnel crypté. Dans le fichier texte, ajoutez la liste des adresses IP et du masque réseau pour acheminer directement vers Internet comme suit :

      ;commentaire
exclure
<IP>,<masque>
<IP>,<masque>

      Par exemple :

      /tunneldécomposé
exclure
198.51.100.0,255.255.255.255

    Vous pouvez utiliser une barre oblique (/) ou un point-virgule (;) pour des commentaires.

  2. Sur le client Windows, sur l écran Paramètres, cliquez sur Télécharger le fichier et téléchargez le fichier texte.

    Sur le client macOS, sur l écran Paramètres, sélectionnez Tunnel fractionné activé.

  3. Sur le client Windows, sur l écran Paramètres, sélectionnez Activer le tunnel fractionné.

    Sur le client macOS, cliquez sur Télécharger la configuration du tunnel fractionné et téléchargez le fichier texte.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 3 sur 3

0 commentaire