Roteamento com o Cliente Cato (Política de Túnel Dividido)

Este artigo explica como gerenciar centralmente as regras de roteamento de tráfego do Cliente Cato com a política de Túnel Dividido.

Visão geral

O Cliente Cato segura o tráfego do usuário estabelecendo um túnel DTLS para a nuvem Cato. A política de Túnel Dividido controla qual tráfego é enviado através deste túnel seguro e qual tráfego o ignora e é roteado diretamente através da interface de rede local. A política suporta gerenciamento centralizado e flexível do comportamento de roteamento.

O tráfego roteado pela nuvem Cato beneficia-se de uma inspeção e aplicação de segurança completa e otimização de caminho sobre o backbone Cato. No entanto, pode haver situações que exigem roteamento adaptativo, por exemplo, para otimizar o desempenho de serviços de mídia em tempo real ou ao operar ao lado de fornecedores terceirizados.

As regras são correspondidas com base em vários critérios, incluindo identidade de usuário, geolocalização, sistema operacional e Rede Fonte. Você pode definir regras inclusivas ou baseadas em exceções. Por exemplo:

  • Identidade - Aplicar regras de roteamento de forma seletiva para usuários ou Grupos de Usuários específicos
  • Dispositivo - Selecionar quais SO e países as regras de roteamento se aplicam
  • Fonte de Rede - Escolher Política de Roteamento baseado em redes gerenciadas ou não gerenciadas

A Configuração de Roteamento dá suporte a:

  • Tráfego de usuário:

    • Enviar todo o tráfego para a nuvem Cato, com exclusões específicas para aplicações internas ou recursos hospedados por fornecedores
    • Rotear apenas o tráfego selecionado como parte de substituir soluções legadas de VPN
    • Roteie apenas o tráfego destinado à web através da Cato Cloud, permitindo que outro tráfego saia localmente

  • Tráfego DNS:

    • Suporte à Resolução de DNS por um servidor DNS local para domínios especificados
    • Suporte à resolução local de DNS para domínios obrigatórios por uma VPN de terceiros para evitar conflitos de DNS

Este nível de controle permite otimizar a cobertura de segurança enquanto minimizando a latência e preservando o acesso direto a recursos confiáveis.

Pré-requisitos

Os seguintes recursos estão disponíveis atualmente apenas com Cliente Windows v5.16 e superior

  • Exclusões de DNS

    • Certifique-se de que o acesso a seguir seja permitido no seu firewall local:

      • o endereço IP 127.0.0.253
      • o serviço DNS da Cato Networks
      • o processo de retransmissão DNS, dns-relay.exe

  • Roteamento somente web

    • Certifique-se de que o Cliente Cato tenha permissões de escrita no arquivo PAC do sistema

Revisões de Política e Edição Concorrente por Múltiplos Administradores

A política de Túnel Dividido permite que diferentes administradores editem a política em paralelo. Cada administrador pode editar regras e salvar as alterações na base de regras em sua própria revisão privada e, em seguida, publicá-las na política da conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de política, consulte Trabalhando com Revisões de Política.

Casos de Uso

Segurança da Internet Cato com Acesso Privado Remoto

A Empresa ABC provisiona o Cliente Cato para seus usuários com Sempre Ativo habilitado. Isso significa que estão conectados mesmo quando no escritório atrás de seu fornecedor terceirizado. Como administrador, você está confiante de que o tráfego para suas aplicações internas está sendo protegido pelo fornecedor terceirizado e excluído da Cato Cloud para usuários no escritório. Todo o outro tráfego é enviado para a Cato Cloud para segurança.

split_tunnel.png

Você configura duas regras na Política de Túnel Dividido para implementar este comportamento:

managed_network_exclude.png
  • Regra 1 é para tráfego de usuário que se origina por trás de Qualquer Rede Gerenciada, para todas as portas e protocolos. DNS e Destinos excluídos são definidos. Isto exclui o tráfego de ser roteado para a Cato Cloud.
  • Regra 2 é para tráfego de usuário que se origina por trás de Qualquer Rede Não Gerenciada, para todas as portas e protocolos. Não há exclusões, este tráfego é roteado para a Cato Cloud.

Segurança da Internet Leve

A Empresa ABC procura que a Cato assegure apenas o tráfego web para aplicações SaaS e a Internet pública. Isso requer que a Cato coexista com os fornecedores terceirizados quando os usuários se conectarem a partir de redes gerenciadas e não gerenciadas. Este é um modo leve que é apropriado para integração gradual de uma arquitetura baseada em proxy para a Cato.

Nota: VPNs de terceiros que cumprem com os pré-requisitos da Cato não devem ser interrompidos pelo Cliente Cato para Windows em modo apenas web.

Diagram2.png

Você cria uma regra na Política de Túnel Dividido que envia todo o tráfego web para a Cato Cloud, e todo o outro tráfego é enviado através da rede gerenciada.

Configurando a Política de Túnel Dividido

A Política de Túnel Dividido é uma base de regras ordenada que verifica sequencialmente se uma regra é atendida. Uma vez que uma regra é correspondida, regras de menor prioridade são ignoradas. Quando um usuário atende a uma regra, as configurações de roteamento de tráfego baseadas nessa regra são aplicadas. Se nenhuma regra for atendida, o tráfego é roteado através do Cato Cloud, e o acesso LAN é permitido.

Para incluir intervalos de IP que são exceções às configurações de Túnel Dividido, adicione os intervalos de IP a uma entidade Intervalo de IP Global.

Split_Tunnel_Policy.png

Visão geral de alto nível da Política de Túnel Dividido

Estas são as configurações que você pode definir para as regras na política de Túnel Dividido:

  1. Configurações gerais (ou seja, Nome, Descrição).
  2. Para quem a regra se aplica ( Usuários & Grupos, Plataformas, Países e Rede Fonte).
  3. O escopo do tráfego ao qual a regra se aplica, por exemplo, todo o tráfego ou apenas web
  4. A política de roteamento para o escopo de tráfego.

Criando uma Regra Básica de Túnel Dividido

Esta seção explica como configurar uma regra básica na política de Túnel Dividido. Pressupõe-se que você deseja rotear quase todo o tráfego para a Cato Cloud.

Para informações sobre como personalizar as regras de Túnel Dividido, veja

Para configurar a Política de Túnel Dividido:

  1. From the navigation menu, click Access > Split Tunnel Policy.

  2. Clique em Novo.

    O painel de Nova Regra da Política de Túnel Dividido é aberto.

  3. Configure as seguintes configurações Gerais:

    • Nome
    • Descrição
    • Posição

    Certifique-se de Ativar a regra para que ela seja aplicada

  4. Defina a quem a regra se aplica, definindo o:

    • Usuários e Grupos de Usuários
    • Plataformas
    • Países

  5. Em Configuração, configure o seguinte:

    • Na seção Selecionar Modo de Conexão, selecione o escopo do tráfego a ser incluído nesta regra.

    • Em Política de Roteamento, determine como o escopo é roteado. Opções incluem

      • Rotear todo o tráfego para a Cato: O tráfego é roteado através da Cato Cloud. Você pode definir exceções para serem roteadas diretamente para a Internet.

        Nota: Se você Bloquear acesso LAN de saída, esta opção só é suportada a partir do Cliente Windows v5.6 e superior.

      • Roteie apenas selecionados para Cato: O tráfego acessa diretamente a Internet e ignora a Cato Cloud. Você pode definir exceções para serem roteadas através da Cato Cloud. Bloquear acesso de saída à LAN entra em conflito com esta opção e não pode ser selecionado.
      • Definido pelo usuário final: Os usuários podem enviar um arquivo de texto para o Cliente para configurar qual tráfego é roteado através da Cato Cloud e qual tráfego é excluído da Cato Cloud. Bloquear acesso de saída à LAN não pode ser selecionado com esta opção.
    • Em Exclusões de Destino, configure um aplicativo ou intervalo de IP para o qual a política de roteamento não se aplica

  6. Determine se deve permitir ou bloquear o Acesso à LAN

    Para evitar conflitos de roteamento de tráfego entre sub-redes com o mesmo endereço IP, em caso de conflito, você pode bloquear acesso de saída à LAN. Com esta opção, todo o tráfego é roteado para a Cato Cloud, proporcionando maior segurança. O Cliente está bloqueado de se conectar a um host LAN na rede doméstica do usuário remoto.

  7. Clique em Aplicar.
  8. Repita os passos 2-5 para cada regra na Política de Túnel Dividido.

  9. Enable the Split Tunnel Policy and then click Save.

    O controle deslizante fica verde quando a regra está habilitada e cinza quando a regra está desabilitada.

Personalizar a Fonte de Rede

Ao criar uma regra de Túnel Dividido, você pode determinar diferentes políticas de roteamento baseado na fonte de rede, ou seja, se é gerenciada ou não gerenciada.

Quando o tráfego estiver em uma rede não gerenciada, ele sempre passará primeiro pela Cato. Para tráfego em redes gerenciadas, você pode determinar se o tráfego é roteado através da Cato ou diretamente para o destino.

Nota: Você deve ativar e configurar redes gerenciadas para aplicar as regras adequadamente.

Para personalizar a rede fonte:

  1. No menu de navegação, clique em Acesso > Política de Túnel Dividido.
  2. Crie uma nova regra e configure as configurações nos passos 2-4 acima.

  3. Na seção Rede Fonte, determine se esta regra se aplica a:

    • Todas as redes
    • Todas as redes não gerenciadas
    • Todas as redes gerenciadas
  4. Defina o modo de conexão, a política de roteamento e os destinos que são excluídos nos passos 5-7 acima.

Personalizar qual Tráfego é Excluído do Cato

Ao criar uma regra de Túnel Dividido, você pode determinar a política de roteamento para que todo o tráfego seja roteado para a Cato para obter benefícios adicionais de segurança, com exceção de tráfego específico. Por exemplo, não é necessário inspecionar tráfego que está indo para um servidor DNS local.

Nota: Ao criar uma regra com uma exclusão, você deve especificar explicitamente o sistema operacional como Windows

O procedimento a seguir descreve como configurar uma regra para enviar todo o seu tráfego para a Cato enquanto exclui o tráfego DNS local.

Nota: Você pode aplicar a personalização para uma rede fonte nesta regra também.

off-ramp_cato.png

Para personalizar o tráfego que é excluído da Cato Cloud:

  1. No menu de navegação, clique em Acesso > Política de Túnel Dividido.
  2. Crie uma nova regra e configure as configurações nos passos 2-4 acima.
  3. Na seção Configuração, sob Selecionar Modo de Conexão, selecione Todas as Portas & Protocolos.
  4. Em Política de Roteamento, selecione Roteie todos para Cato.

  5. Na seção Definir Exceções de Roteamento, sob Exclusões de DNS, insira o(s) domínio(s) a ser(res) resolvido(s) pelo seu servidor DNS local.

    O tráfego para esses domínios irá diretamente para o seu destino e não através do Cato.

  6. Clique em Aplicar e depois clique em Salvar.

Segurar Apenas Destinos Específicos (Incluídos)

Ao criar uma regra de Túnel Dividido, você pode determinar a política de roteamento para que apenas tráfego específico seja roteado para Cato para inspeção. Por exemplo, quando a maior parte do seu tráfego de rede vai para uma solução de terceiros, mas você deseja rotear tráfego específico para um centro de dados remoto através do Cato.

Nota: Ao criar uma regra com uma exclusão, você deve especificar explicitamente o sistema operacional como Windows.

O procedimento a seguir descreve como configurar uma regra para enviar apenas destinos de tráfego específicos para a Nuvem Cato, e o restante é roteado para sua solução de terceiros.

Nota: Você pode aplicar a personalização para uma rede fonte nesta regra também.

on-ramp_cato.png

Para personalizar o tráfego que é roteado para Cato:

  1. No menu de navegação, clique em Acesso > Política de Túnel Dividido.
  2. Crie uma nova regra e configure as configurações nos passos 2-4 acima.
  3. Na seção Configuração, sob Selecione Modo de Conexão, selecione Todos os Portos & Protocolos.
  4. Sob Política de Roteamento, selecione Roteie apenas os selecionados para Cato.

  5. Na seção Definir Exceções de Roteamento, sob Exclusões de Destino:

    • Selecione Aplicações ou faixas de IP.
    • Selecione os itens para adicionar como exclusões

    Esses itens serão roteados para Cato para verificações adicionais de segurança

  6. Clique em Aplicar e depois clique em Salvar.

Usando o Cliente Cato com Microsoft Defender

The Microsoft Defender 'Isolate' feature requires you to send traffic directly to the Windows Defender Cloud IP addresses. By default, the Cato Client sends traffic through the Cato network adapter. However, Microsoft Defender expects the traffic to originate from the Microsoft Defender Adapter, causing a communication failure between Microsoft Defender and Windows Defender Cloud.

Para configurar o Microsoft Defender para trabalhar com o Cliente Cato, defina uma regra na política de Túnel Dividido para enviar tráfego para os endereços do Microsoft Defender.

Configurações de Túnel Dividido Definidas pelo Usuário

Você pode permitir que os usuários configurem as configurações de Túnel Dividido no Cliente. Os usuários podem carregar arquivos com as faixas de IP que estão incluídas ou excluídas do túnel.

Nota: Esta opção não é recomendada para ambientes de produção e deve apenas ser usada em casos excepcionais onde o controle centralizado de políticas não é necessário.

Para definir as faixas de IP para Configurações de Túnel Dividido no Cliente:

  1. Crie um arquivo de texto com os endereços IP para rotear através do túnel criptografado ou excluídos do mesmo.

    Você pode configurar as seguintes regras dentro do arquivo de texto:

    • Incluir: O tráfego para o intervalo de IP é roteado através do túnel criptografado. Todo o tráfego restante é roteado diretamente para a Internet. No arquivo de texto, adicione a lista de endereço IP e máscara de rede para rotear através do túnel criptografado da seguinte maneira:

      /comentário
incluir
<IP>,<máscara>
<IP>,<máscara>

      Por exemplo:

      /túneldividido
incluir
198.51.100.0,255.255.255.255

    • Excluir: O tráfego para o intervalo de IP é roteado diretamente para a Internet. Todo o tráfego restante é roteado através do túnel criptografado. No arquivo de texto, adicione a lista de endereço IP e máscara de rede para rotear diretamente para a Internet da seguinte maneira:

      ;comentário
excluir
<IP>,<máscara>
<IP>,<máscara>

      Por exemplo:

      /túneldividido
excluir
198.51.100.0,255.255.255.255

    Você pode usar uma barra (/) ou ponto e vírgula (;) para comentários.

  2. On the Windows Client, on the Settings screen, click Upload File and upload the text file.

    On the macOS Client, on the Settings screen, select Split Tunnel Enabled.

  3. On the Windows Client, on the Settings screen, select Enable split tunnel.

    On the macOS Client, click Upload Split Tunnel Configuration and upload the text file.

Esse artigo foi útil?

Usuários que acharam isso útil: 3 de 3

0 comentário