Le Client Cato est un logiciel propriétaire qui étend les capacités de réseau et de sécurité de Cato aux utilisateurs à distance, où qu'ils se trouvent. Cet article répertorie les prérequis et explique comment installer le Client.
Le Client Cato peut identifier et authentifier les utilisateurs, appliquer vos règles réseau et inspecter le trafic distant selon les politiques de sécurité. Pour garantir que vos utilisateurs bénéficient de ces fonctionnalités, le Client Cato doit être installé sur leur appareil. Avant d'installer le Client sur un appareil, assurez-vous que les prérequis sont satisfaits et que les processus et URL requis sont ajoutés aux listes blanches de votre logiciel de sécurité. Vous pouvez ensuite télécharger le Client et l'installer sur un appareil individuel ou le distribuer avec un MDM.
Après avoir installé le Client sur un appareil, vous pouvez configurer des fonctionnalités et des politiques pour répondre à vos besoins. Les utilisateurs peuvent s'authentifier et se connecter en toute sécurité à votre réseau. Pour plus d'informations sur le processus de Connexion du Client, consultez Comprendre le flux de connexion du Client Cato.
Avant d'installer le Client sur un appareil, assurez-vous que les prérequis suivants sont satisfaits :
-
Installez le Client sur un appareil exécutant un système d'exploitation pris en charge.
- Le routage IP doit être désactivé avant d'installer le Client Cato et activé après l'installation terminée.
- Le certificat CA de Cato est installé sur l'appareil ou l'ordinateur
-
-
Pour les Clients Windows, le certificat Cato est automatiquement ajouté au magasin de certificats Windows et supporte les navigateurs Chrome et Edge
Vous pouvez installer manuellement le certificat Cato pour d'autres navigateurs (tels que Firefox) ou utiliser un MDM pour l'installer avec le navigateur, consultez Installer le certificat Cato sur les appareils Windows
-
Pour les Clients macOS, pour les organisations qui utilisent un MDM, le certificat Cato est automatiquement installé dans la trousse à clés de l'AC
Sinon, l'utilisateur SDP installe manuellement le certificat Cato. Pour plus d'informations, voir Installation du certificat Cato sur les appareils macOS.
-
Pour les Clients iOS et Android, l'utilisateur SDP installe manuellement le Client ou utilise un MDM pour installer le certificat avec le Client. Pour plus d'informations, voir Installation du certificat Cato sur les appareils iOS ou Installation du certificat Cato sur les appareils Android.
-
Les fichiers d'installation du certificat et du Client Cato peuvent être téléchargés depuis :
-
Le portail de téléchargement du Client au format CER
- La Sécurité > Gestion des certificats d'inspection TLS page au format PEM et DER
-
-
-
Exigences du navigateur Internet :
-
Utilisez un navigateur Internet qui prend en charge SSL (tel que Chrome ou Edge)
-
Pour l'authentification externe, assurez-vous qu'un navigateur par défaut est configuré dans les paramètres du système d'exploitation de l'appareil
-
-
Une connexion PPPoE n'est pas utilisée. PPPoE n'est pas pris en charge
-
Pour les Clients iOS, Android et Linux, nous recommandons de désactiver IPv6 sur tous les adaptateurs physiques
-
IPv6 est pris en charge pour les connexions Last Mile sur Windows Client v5.11 et supérieur et macOS Client v5.7 et supérieur
-
-
Assurez-vous que les adresses IP des PoP dans le Cato Cloud sont autorisées pour tout pare-feu ou dispositif similaire
Pour une liste des plages d'IP PoP, voir : Guide de production PoP
-
Le Client utilise des suites de chiffrement pour établir une poignée de main DTLS avec le Cato Cloud. Assurez-vous que l'appareil utilise l'une des suites de chiffrement supportées par Cato.
-
Sur les appareils Windows, le transfert IP est désactivé. Pour plus d'informations, voir Le routage IP empêche l'authentification du Client Windows
-
Sur les appareils macOS, aucun autre VPN d'entreprise n'est en cours d'exécution sur l'appareil
-
Si la gestion de la Bande passante est utilisée dans votre compte, nous recommandons que l'adresse IP 10.254.254.1 soit attribuée au moins à la même priorité que toute autre adresse que vous avez ajoutée
-
Pour recevoir les notifications utilisateur, les notifications doivent être activées sur l'appareil. Pour plus d'informations, consultez Créer la politique de contrôle des données et Gérer la politique de contrôle des applications
-
Examinez les limitations connues de la version du Client. Pour plus d'informations, voir Résumé des versions du Client Cato
Nous vous recommandons d'autoriser les processus et URL suivants pour tous les logiciels et solutions de sécurité des points de terminaison en fonction du système d'exploitation spécifié.
-
Tous les appareils
-
vpn.catonetworks.net
-
vpn.us1.catonetworks.com
-
c-me.catonetworks.net
-
v-me.catonetworks.net
-
sso.catonetworks.com
-
sso.via.catonetworks.com
-
auth.catonetworks.com
-
auth.us1.catonetworks.com
-
sso.ias.catonetworks.com
-
localhost - 127.0.0.1 (pour le jeton SSO)
-
client-telemetry.main.prod.k8s.catonet.works
-
https://sso.catonetworks.com/login
-
https://sso.via.catonetworks.com/auth_results
-
https://auth.catonetworks.com/oauth1/broker/code/onelogin
-
https://auth.us1.catonetworks.com/oauth1/broker/code/onelogin
-
https://sso.ias.catonetworks.com/auth_results (pour les nouveaux utilisateurs SDP avec Windows Client v5.1 et supérieur)
-
https://clients.catonetworks.com/
-
https://ip2location.catonetworks.com/pub/getMyLocation
-
https://tunnel-api.catonetworks.com
-
ipv4only.arpa
-
Plages d'IP de localisation PoP, pour plus d'informations consultez le Guide de production PoP
-
-
Système d'exploitation Windows
-
CatoClient.exe
-
winvpnclient.cli.exe
-
login.microsoftonline.com
-
CatoUpgradeHelper.exe
-
CatoLogCollector.exe
-
LogLevelSetup.exe
-
CatoClient.exe.config
-
wa_3rd_party_host_32.exe
-
wa_3rd_party_host_64.exe
-
Pour les comptes utilisant un proxy tiers (pour HTTP et HTTPS) :
-
IP - 85.255.31.1
-
URL - sso.ias.catonetworks.com
Remarque
Note : Ceci est uniquement requis lors de l'utilisation du navigateur intégré.
-
-
https://network-segmentation.catonetworks.com
-
msftconnecttest.com
-
-
macOS
-
Pour les comptes utilisant un proxy tiers (pour HTTP et HTTPS) :
-
IP - 85.255.31.1
-
URL - sso.ias.catonetworks.com
-
appleiphonecell.com
-
-
Pour les comptes ayant CrowdStrike installé sur les appareils :
-
/Applications/CatoClient.app/Contents/MacOS/CatoClient
-
/Library/SystemExtensions/*/com.catonetworks.mac.CatoClient.CatoClientSysExtension.systemextension/Contents/MacOS/com.catonetworks.mac.CatoClient.CatoClientSysExtension
Remarque : Remplacez le "*" par l'ID d'extension unique qui fait partie de cet emplacement de fichier
-
-
Pour détection du Portail captif :
-
1.1.1.1
-
-
Le tableau suivant répertorie les versions minimales du système d'exploitation (OS) pour chaque appareil prenant en charge le Client Cato :
|
Appareil Client |
OS Minimal Prise en Charge |
|
Windows |
|
|
macOS |
|
|
iOS |
iPhone 6 et supérieur, iOS 15,0 |
|
iPadOS |
iPadOS 15,0 |
|
Android (v5.0 et supérieur) |
Version Android 8,1 |
|
Linux Les Clients Linux sont pris en charge pour le système d'exploitation 64 bits (X86_64) (Il y a un Client différent pour chaque version du système d'exploitation Ubuntu) |
|
Remarque
Remarque: Le Client ne prend pas en charge les systèmes d'exploitation qui ont été déclarés en fin de vie par les fournisseurs.
Le Client peut être installé sur tout appareil pris en charge. Pour des informations de dépannage, voir Scénarios de dépannage pour les problèmes avec le Client Cato.
Le Client Windows peut être téléchargé à partir du portail de téléchargement Client et installé sur des appareils individuels en suivant l'assistant d'installation. Vous pouvez également télécharger le Client à partir de la page de déploiement du Client et distribuer le Client avec un MDM. Pour plus d'informations, voir Télécharger le Client Cato.
Note
Note : Le Client Cato utilise les services de localisation Windows pour identifier divers éléments sur le réseau, par exemple, le nom du réseau WiFi. Si vous ne souhaitez pas fournir ces informations à Cato, modifiez les paramètres des services de localisation en utilisant ces instructions.
Utilisez l'une des options suivantes pour installer le Client Windows :
-
Exécutez l'EXE depuis l'Explorateur de fichiers
-
Exécutez le fichier EXE en utilisant la ligne de commande : <setup_file.exe>
-
Dans les versions du Client Windows inférieures à 5,5, pour une installation silencieuse, utilisez la ligne de commande : <setup_file.exe> /s /x /v"/qn"
-
Dans la version 5,5 et supérieure du Client Windows, pour une installation silencieuse, utilisez la ligne de commande : <setup_file.exe> /s
-
-
Exécutez le fichier MSI en utilisant la ligne de commande : msiexec /i <setup_file.msi>
-
L'installation MSI nécessite que le framework MS .NET version 4.6.2 ou supérieure soit installé
-
Exécutez la ligne de commande MSI en tant qu'administrateur
Remarque : /j n'est pas pris en charge
-
Dans l'assistant d'installation, il y a l'option de créer un raccourci bureau pour le Client. Vous pouvez empêcher les utilisateurs de sélectionner cette option avec la ligne de commande :
msiexec /i <setup_file.msi>CATO_FORCE_DISABLE_DESKTOP_SHORTCUT=1 /qn
Pour faciliter l'authentification des utilisateurs sur leur nouvel appareil, vous pouvez définir la clé de registre Windows pour permettre au Client de s'ouvrir automatiquement après l'installation initiale. Ensuite, le Client se comporte selon les paramètres de votre compte.
Après la modification du registre, le Client s'ouvre automatiquement pour le prochain utilisateur Windows qui se connecte à l'appareil.
Le Client macOS peut être téléchargé à partir du portail de téléchargement Client et installé sur des appareils individuels en suivant l'assistant d'installation. Vous pouvez également télécharger le Client à partir de la page de déploiement du Client et distribuer le Client avec un MDM. Pour plus d'informations, voir Télécharger le Client Cato.
Pour installer le Client macOS, exécutez le fichier pkg depuis le Finder.
Pour plus d'informations sur l'installation du Client Linux, voir Installation et exécution du Client Linux
Une fois le Client installé sur un appareil, vous pouvez configurer les fonctionnalités et les politiques pour répondre à vos exigences d'accès à distance sécurisé. Les fonctionnalités sont configurées dans l'Application de Gestion Cato et sont appliquées par le Client. Cela vous permet de gérer et d'appliquer simplement vos exigences et d'assurer la protection de votre réseau.
Voici quelques fonctionnalités clés que nous vous recommandons d'activer. Pour plus d'informations sur toutes les fonctionnalités du Client, voir la documentation sur l'Accès.
-
Sensibilisation de l'Utilisateur : Identifier l'utilisateur connecté au dispositif à tout moment pour contrôler l'accès de l'utilisateur et surveiller l'activité de l'utilisateur
-
Politique de Connectivité du Client : Pour vérifier la posture des appareils avant qu'ils ne se connectent au réseau
-
Politique Always-On Pour s'assurer que tout le trafic passe toujours par le Cato Cloud et que les moteurs de sécurité Cato inspectent le trafic pour s'assurer qu'il se conforme à vos politiques de sécurité
Vous consultez et analysez les données des utilisateurs se connectant avec le Client depuis le Tableau de bord des Utilisateurs à Distance.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.