Este artigo explica como definir Redes Gerenciadas na Cato Networks. Redes gerenciadas podem ser usadas como um parâmetro sobre o qual você pode basear suas Regras de Acesso.
Cato oferece controle granular sobre como o tráfego de usuários é roteado e quando o Sempre Ativo é aplicado, baseado no tipo de rede à qual o usuário está conectado.
Esta classificação de rede permite que você integre com arquiteturas de segurança existentes enquanto garante o manuseio consistente de tráfego através de ambientes confiáveis, gerenciados e não gerenciados.
O Cliente Cato determina sua configuração em tempo de execução usando critérios específicos, como:
-
Identifica que está atrás de um site Cato (Socket, IPsec, vSocket)
-
Se consegue receber com sucesso uma resposta de uma sonda predefinida para um determinado destino
Com base nessas condições, o Cliente aplica um dos comportamentos a seguir:
-
Atrás de um Cato Socket (Modo Escritório) - Se o Cliente identifica que está atrás de um Cato Socket, o Modo Escritório é ativado e todo tráfego é roteado através do Cato.
-
Atrás de uma Rede Gerenciada - Se o Cliente não está atrás de um Socket, verifica se a rede está definida como Gerenciada. Se sim:
-
Rede Gerenciada (não confiável) - O túnel para Cato é mantido e a Política de Túnel Dividido é aplicada. Apenas certo tráfego é roteado através de Cato (por exemplo, tráfego direcionado à Internet), enquanto outro tráfego é roteado através do firewall de terceiros.
-
Rede Gerenciada Confiável - Se a rede também está marcada como Confiável, o Sempre Ativo é suspenso, o Cliente desconecta do túnel Cato e todo tráfego é roteado através do firewall de terceiros.
-
-
Rede Não Gerenciada - Se a rede não está atrás de um Socket nem definida como Gerenciada (por exemplo, seu WiFi doméstico, aeroporto, hotel, cafeteria), é considerada uma rede pública e tratada como Não Gerenciada. Todo o tráfego é roteado através de Cato.
A empresa ABC tem 70 escritórios e mais de 10.000 funcionários. Eles são um novo cliente Cato que usará o Cliente Cato para soluções de redes e segurança com Sempre Ativo para oferecer segurança na Internet (de acordo com as melhores práticas de UZTNA da empresa). Durante o processo de implantação do Cato, a empresa implantará os Clientes ao longo de algumas semanas, enquanto o SD-WAN será implantado gradualmente em 20 escritórios ao longo dos próximos meses. Os escritórios são protegidos por um fornecedor terceirizado até lá.
A empresa designa as faixas de rede para os escritórios físicos como redes Gerenciadas. O administrador cria uma regra na política de Túnel Dividido para rotear o tráfego com base na fonte da rede:
-
Rede gerenciada - Usuários estão conectados atrás de um site que não foi implantado no Cato. Apenas o tráfego da Internet é roteado para a Nuvem Cato para maior segurança.
-
Rede não gerenciada - Usuários remotos, todo o tráfego é roteado para a Nuvem Cato
Você pode configurar verificações de Rede para definir o que é uma rede gerenciada. O Cliente usa sondas predefinidas para identificar se a rede à qual o Cliente está conectado é uma rede Gerenciada. Essa verificação ocorre toda vez que o Cliente conecta-se, após cada alteração de rede, e a cada 30 segundos enquanto estiver conectado.
O Cliente envia sondas para verificar a conectividade com diferentes tipos de recursos internos:
-
Requisição de recurso HTTPS: Defina uma URL que é acessível apenas quando conectado à rede gerenciada. Após acessar a URL, o Cliente verifica se a resposta é HTTP 200 ou HTTP 300 e então verifica se o certificado é confiável baseado na loja de certificados da máquina local.
-
Consulta DNS: Define um nome do host para que o Cliente envie uma solicitação DNS, e o endereço IP que é a resposta esperada
-
Ping para um endereço IP ou URL: Define um endereço IP ou URL para que o Cliente envie um ping. O Cliente verifica se há uma resposta com o protocolo ICMP
Se qualquer uma das verificações for satisfeita, a rede fonte é considerada Gerenciada. Se todas as verificações falharem, a rede é considerada Não Gerenciada.
Quando atrás de um Site Cato, o Cliente transita suavemente para o Modo Escritório como antes.
Por exemplo, o servidor DNS interno da empresa usa o nome de host companyabc.local, e resolve para 10.10.10.26. Assim, você definiria a rede Gerenciada como uma consulta DNS que resolve para o host companyabc.local com esse endereço IP.
Para designar uma rede como gerenciada, primeiro crie um objeto de Rede Gerenciada no Aplicativo de Gerenciamento Cato (CMA). Este objeto representa uma rede como um escritório ou um local corporativo conhecido. O cliente deve também definir a sonda que o Cliente Cato usa para identificar quando está operando dentro desta rede. Estas sondas podem incluir DNS, HTTP, ou Ping (pacotes ICMP). Quando o Cliente detecta uma correspondência baseada nas sondas definidas, classifica a rede como gerenciada e aplica as políticas relevantes posteriormente.
Para configurar redes gerenciadas:
-
No menu de navegação, clique Acesso > Redes Gerenciadas.
-
Clique em Novo e configure o seguinte:
-
Nome da sonda
-
(Opcional) Uma descrição da sonda
-
Tipo de sonda, ou seja, HTTPs, consulta DNS, ou ping
-
Nome do Host ou Endereço IP da sonda
-
-
Clique Salvar.
-
Repita as etapas 2 para cada Rede Gerenciada.
-
Ative Redes Gerenciadas e clique Salvar.
O controle deslizante é verde quando Redes Gerenciadas estão ativadas e cinza quando Redes Confiáveis estão desativadas.
Para cenários onde você está roteando todo o tráfego para o destino, e não para a Nuvem Cato, você pode definir todas as suas Redes Gerenciadas como Confiáveis. Quando um dispositivo host conecta-se a uma Rede Confiável:
-
O Cliente identifica a rede como uma Rede Confiável, Conectar na Inicialização é desativado, Sempre Ativo é ignorado e o Cliente não tenta se conectar (ou reconectar) à Nuvem Cato.
-
Contanto que o dispositivo host esteja conectado à Rede Confiável, o Cliente permanece desconectado, e a política de Túnel Dividido não é aplicada
-
Os usuários ainda têm a opção de clicar Conectar no Cliente, e o dispositivo é conectado à Nuvem Cato
Por exemplo, desenvolvedores que precisam acessar um ambiente de desenvolvimento que é protegido pela Nuvem Cato
0 comentário
Por favor, entre para comentar.