Catoクライアントのインストール

Catoクライアントは、リモートユーザーにCatoのネットワークおよびセキュリティ機能を拡張する独自のソフトウェアです。 この記事では、前提条件の一覧を示し、クライアントのインストール方法を説明します。

概要

Catoクライアントは、ユーザーを識別および認証し、ネットワークルールを施行し、セキュリティポリシーに基づいてリモートトラフィックを検査できます。 これらの機能をユーザーに享受させるために、ユーザーのデバイスにCatoクライアントをインストールする必要があります。 デバイスにクライアントをインストールする前に、前提条件を満たし、必要なプロセスやURLがセキュリティソフトウェアの許可リストに追加されていることを確認してください。 その後、クライアントをダウンロードし、個々のデバイスにインストールするか、MDMを使用して配布できます。

デバイスにクライアントをインストールした後、要件に応じて機能とポリシーを設定できます。 ユーザーは、ネットワークに安全に認証し接続できます。 クライアント接続プロセスについての詳細は、Catoクライアント接続フローについて理解するを参照してください。

Catoクライアントのインストール条件

クライアントをデバイスにインストールする前に、以下の前提条件を確認してください。

  • サポート対象のオペレーティングシステムで動作するデバイスにクライアントをインストールしてください。

  • IPルーティングはCatoクライアントをインストールする前に無効化し、インストール完了後に有効化する必要があります。
  • Cato CA証明書がデバイスまたはコンピュータにインストールされている

    • Windowsクライアントの場合、Cato証明書はWindowsの証明書ストアに自動的に追加され、ChromeとEdgeのブラウザをサポートします

      他のブラウザ(例えばFirefox)の場合は、手動でCato証明書をインストールするか、MDMを使用してブラウザと一緒にインストールします。WindowsデバイスにCato証明書をインストールするをご覧ください

    • macOSクライアントの場合、MDMを使用する組織では、Cato証明書がCAキーチェーンの一部として自動的にインストールされます

      それ以外の場合、SDPユーザーが手動でCato証明書をインストールします。 詳細については、「macOSデバイスにCato証明書をインストールする」を参照してください。

    • iOSおよびAndroidクライアントの場合、SDPユーザーが手動でクライアントをインストールするか、MDMを使用してクライアントと共に証明書をインストールします 詳細については、「iOSデバイスにCato証明書をインストールする」または「AndroidデバイスにCato証明書をインストールする」を参照してください。

    • Cato証明書とクライアントのインストールファイルは、クライアントダウンロードポータルからダウンロードできます:

  • インターネットブラウザの要件:

    • SSLをサポートするインターネットブラウザ(例えばChromeまたはEdge)を使用してください。

    • 外部認証のために、デバイスのOS設定でデフォルトのブラウザが設定されていることを確認してください。

  • PPPoE接続は使用されていません。 PPPoEはサポートされていません。

  • iOS、Android、およびLinuxクライアントの場合、すべての物理アダプタでIPv6を無効にすることをお勧めします。

    • ラストマイル回線におけるIPv6は、Windowsクライアントv5.11以降およびmacOSクライアントv5.7以降で対応しています

  • CatoクラウドのPoPに対するIPアドレスがすべてのファイアウォールまたは類似のデバイスで許可リストに登録されていることを確認してください。

    PoP IPレンジの一覧については、「Production PoP Guide」を参照してください

  • クライアントはCatoクラウドとのDTLSハンドシェイクを確立するために暗号スイートを使用します。 デバイスがCatoがサポートする暗号スイートを使用していることを確認してください。

  • Windowsデバイスでは、IPフォワーディングは無効化されています。 詳細については、IPルーティングがWindowsクライアントの認証を防ぐを参照してください。

  • macOSデバイスでは、他のエンタープライズVPNはデバイス上で実行されていません。

  • 帯域管理がアカウントで使用されている場合、IPアドレス10.254.254.1には、他の追加したアドレスと同等以上の優先度を与えることを推奨します。

  • ユーザー通知を受信するには、デバイスで通知が有効になっている必要があります。 詳細については、「データ制御ポリシーの作成」および「アプリケーション制御ポリシーの管理」を参照してください

  • クライアントバージョンの既知の制限を確認します。 詳細については、「Catoクライアントリリースの概要」を参照してください

CatoクライアントのプロセスとURLの許可リスト化

指定されたOSに従い、すべてのセキュリティエンドポイントソフトウェアおよびソリューションに対して、次のプロセスとURLを許可リストに登録することをお勧めします。

  • すべてのデバイス

    • vpn.catonetworks.net

    • vpn.us1.catonetworks.com

    • c-me.catonetworks.net

    • v-me.catonetworks.net

    • sso.catonetworks.com

    • sso.via.catonetworks.com

    • auth.catonetworks.com

    • auth.us1.catonetworks.com

    • sso.ias.catonetworks.com

    • localhost - 127.0.0.1 (SSOトークン用)

    • client-telemetry.main.prod.k8s.catonet.works

    • https://sso.catonetworks.com/login

    • https://sso.via.catonetworks.com/auth_results

    • https://auth.catonetworks.com/oauth1/broker/code/onelogin

    • https://auth.us1.catonetworks.com/oauth1/broker/code/onelogin

    • https://sso.ias.catonetworks.com/auth_results (Windowsクライアントv5.1以上の新しいSDPユーザー用)

    • https://clients.catonetworks.com/

    • https://ip2location.catonetworks.com/pub/getMyLocation

    • https://tunnel-api.catonetworks.com

    • ipv4only.arpa

    • PoPロケーションIPレンジ、詳細についてはPoPプロダクションガイドを参照してください

  • Windows OS

    • CatoClient.exe

    • winvpnclient.cli.exe

    • login.microsoftonline.com

    • CatoUpgradeHelper.exe

    • CatoLogCollector.exe

    • LogLevelSetup.exe

    • CatoClient.exe.config

    • wa_3rd_party_host_32.exe

    • wa_3rd_party_host_64.exe

    • サードパーティプロキシを使用するアカウント用 (HTTPおよびHTTPS両方):

        • IPアドレス - 85.255.31.1

        • URL - sso.ias.catonetworks.com

      ノート

      注意: これは埋め込みブラウザを使用する場合にのみ必要です。

    • https://network-segmentation.catonetworks.com

    • msftconnecttest.com

  • macOS

    • サードパーティプロキシを使用するアカウント用 (HTTPおよびHTTPS両方):

      • IPアドレス - 85.255.31.1

      • URL - sso.ias.catonetworks.com

      • appleiphonecell.com

    • CrowdStrikeがデバイスにインストールされているアカウント用:

      • /Applications/CatoClient.app/Contents/MacOS/CatoClient

      • /Library/SystemExtensions/*/com.catonetworks.mac.CatoClient.CatoClientSysExtension.systemextension/Contents/MacOS/com.catonetworks.mac.CatoClient.CatoClientSysExtension

        注意: "*" をそのファイル位置の一部である一意の拡張IDに置き換えてください

    • キャプティブポータルの検知:

      • 1.1.1.1

サポートされる最小のデバイスオペレーティングシステム

次の表はCatoクライアントをサポートする各デバイスに対する最小のOS (オペレーティングシステム) バージョンを示します:

クライアントデバイス

サポートされる最小OS

Windows

  • Windows 11

  • クライアントバージョン 5.9 以下 - Windows 8.1 32ビットおよび64ビット - すべての最新の更新とパッチがインストールされている場合のみ。 (サポート終了 2023年11月1日)

  • クライアントバージョン 5.10 以上 - Windows 10 32ビットおよび64ビット

  • Windows Server 2019、2016、および2022

macOS

  • クライアントバージョン 5.6 以下 - macOS (Big Sur) ソフトウェアバージョン 11

  • クライアントバージョン 5.7 以上 - macOS (Monterey) ソフトウェアバージョン 12

    クライアントバージョン 5.7 以下を実行しているデバイスに macOS Sequoia (バージョン 15) をインストールすることは推奨しません。 詳細については、Cato macOSクライアントリリースの概要にある既知の制限セクションを参照してください。

iOS

iPhone 6 以上、iOS 15.0

iPadOS

iPadOS 15.0

Android (v5.0以上)

Android バージョン 8.1

Linux

Linux クライアントは 64ビットOS (X86_64) でサポートされています

(各Ubuntu OSバージョンに異なるクライアントがあります)

  • Ubuntu v18以上

  • CentOS v9以上

  • Fedora v36以上

  • Debian v11以上

  • Mint v20.3以上

  • RHEL 9.0

  • glibc 2.31 以上を実行しているすべてのシステム

注意

<0><1>注意1>0>: クライアントは、ベンダーがEnd of Lifeを宣言したオペレーティングシステムをサポートしません。

Catoクライアントのインストール

クライアントはサポートされている任意のデバイスにインストールできます。 トラブルシューティング情報については、Catoクライアントの問題に関するトラブルシューティングシナリオを参照してください。

Windowsクライアントのインストール

Windowsクライアントはクライアントダウンロードポータルからダウンロードして、インストールウィザードに従って個別のデバイスにインストールできます。 クライアントはクライアント展開ページからダウンロードし、MDMを使用してクライアントを配布することもできます。 詳細情報は、Catoクライアントのダウンロードを参照してください。

注意

注: Catoクライアントは、Windowsロケーションサービスを使用してネットワーク上のさまざまなアイテムを特定します。例えば、WiFiネットワーク名です。 Catoにこの情報を提供したくない場合は、こちらの指示を使用して、ロケーションサービスの設定を変更してください。

Windowsクライアントをインストールするには、次のオプションのいずれかを使用してください:

  • ファイルエクスプローラーからEXEを実行する

  • コマンドラインを使用してEXEファイルを実行します:<setup_file.exe>

    • Windowsクライアントバージョン5.5未満では、サイレントインストールには次のコマンドラインを使用します:<setup_file.exe> /s /x /v"/qn"

    • Windowsクライアントバージョン5.5以上では、サイレントインストールには次のコマンドラインを使用します:<setup_file.exe> /s

  • コマンドラインを使用してMSIファイルを実行します:msiexec /i <setup_file.msi>

    • MSIインストールには、バージョン4.6.2以上のMS .NETフレームワークがインストールされている必要があります

    • 管理者としてMSIコマンドラインを実行します

    注意: /jはサポートされていません

インストールウィザードには、クライアントのデスクトップショートカットを作成するオプションがあります。 コマンドラインを使用してユーザーがこのオプションを選択できないようにすることができます:

msiexec /i <setup_file.msi>CATO_FORCE_DISABLE_DESKTOP_SHORTCUT=1 /qn

初回インストール後にクライアントを自動的に起動する(クライアントv5.6以降)

新しいデバイスへのユーザーの認証を容易にするために、初回インストール後にクライアントを自動的に開くようにWindowsレジストリキーを定義することができます。 その後、クライアントはアカウントの設定に従って動作します。

レジストリを変更すると、次にデバイスにログインするWindowsユーザーのためにクライアントが自動的に開きます。

クライアントを自動起動するようにWindowsレジストリを設定します:

  1. レジストリのこの場所に移動します:HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN

  2. この値を定義します:

    • LaunchAuthPageOnStartup=1 (DWORD)

macOSクライアントのインストール

macOSクライアントはクライアントダウンロードポータルからダウンロードして、インストールウィザードに従って個別のデバイスにインストールできます。 クライアントはクライアント展開ページからダウンロードし、MDMを使用してクライアントを配布することもできます。 詳細情報は、Catoクライアントのダウンロードを参照してください。

macOSクライアントをインストールするには、Finderからpkgファイルを実行してください。

Linuxクライアントのインストール

Linuxクライアントのインストールに関する詳細情報は、Linuxクライアントのインストールと実行を参照してください

iOSおよびAndroidクライアントのインストール

iOSおよびAndroidクライアントは、関連するアプリストアからダウンロードし、個別のデバイスにインストールするか、MDMで配布できます。

クライアントのインストール後の次のステップを理解する

クライアントがデバイスにインストールされると、セキュアリモートアクセス要件を満たすように機能とポリシーを設定できます。 Cato管理画面で設定された機能は、クライアントによって強制されます。 これにより、要件の管理と施行が容易になり、ネットワークの保護を確保できます。

クライアントの主要な機能とポリシーを理解する

有効化を推奨する主要な機能をいくつか紹介します。 すべてのクライアント機能に関する詳細情報は、アクセス文書を参照してください。

  • User Awareness: デバイスにサインインしたユーザーを識別することでユーザーアクセスを制御し、ユーザー活動を監視します。詳細はこちら

  • クライアント接続ポリシー: デバイスがネットワークに接続する前に、デバイスの状態を確認します。詳細はこちら

  • Always-Onポリシー すべてのトラフィックが常にCato クラウドを通過し、Catoのセキュリティエンジンがトラフィックを検査して、セキュリティポリシーに準拠していることを確認します。詳細はこちら

クライアントイベントの分析

リモートユーザーダッシュボードからクライアントで接続するユーザーのデータを閲覧および分析します。詳細はこちら

この記事は役に立ちましたか?

7人中3人がこの記事が役に立ったと言っています

0件のコメント