Entendendo o Fluxo de Conexão do Cliente Cato

Este artigo explica o fluxo de conexão do Cliente Windows ao PoP Cato.

Visão Geral

Antes que o Cliente conecte-se ao PoP Cato, ele realiza várias verificações com base na configuração de suas políticas de Cliente. Isso garante que apenas usuários e dispositivos que atendam aos seus requisitos de segurança possam conectar-se à rede. Os diagramas de fluxo a seguir detalham a ordem dessas verificações e o comportamento do Cliente se uma verificação falhar ou não estiver habilitada.

Fluxo de Conexão do Cliente Windows

Os diagramas de fluxo a seguir mostram como o Cliente Windows conecta-se ao PoP Cato, se o Pré Login está ativado ou desativado.

Fluxo de Conexão - Pré-Login Habilitado

Pré Login fornece acesso aos Destinos Permitidos, antes que um usuário seja autenticado. Por exemplo, assim que um dispositivo pode se conectar à Internet, ele pode acessar seu AD para que as credenciais do usuário possam ser salvas no dispositivo. Todo o acesso restante à Internet está bloqueado.

Nota

Nota: Qualquer domínio associado a qualquer um dos IdPs suportados pode ser acessível em um estado não autenticado ao usar o navegador externo com Sempre Ativo habilitado. Por exemplo, usuários poderão acessar google.com para garantir que possam autenticar se o Google for seu IdP.

Frame_1000002917.jpg

Fluxo de Conexão - Pré-Login Desabilitado

Se o Pré Login estiver desativado, este é o fluxo de conexão do Cliente:

Frame_1000002918.jpg

Notas

  1. No Estado de Pré Login, o dispositivo é pré-configurado com o Cliente Cato, um certificado confiável e o Registro do Windows é configurado com o Nome da Conta. O usuário está não autenticado, no entanto o Cliente pode conectar-se ao PoP para validar o certificado. Se o certificado for válido, isso estabelece confiança suficiente para permitir que o Cliente acesse os destinos permitidos através do PoP, mesmo que o usuário esteja não autenticado.
  2. Sempre Ativo garante que o Cliente esteja sempre conectado ao PoP e que todo o Tráfego seja inspecionado pelos motores de segurança da Cato. O Cliente tenta automaticamente autenticar-se e conectar-se com as credenciais do último usuário a conectar-se com o Cliente. O Cliente verifica se Sempre Ativo está ativado após a inicialização do dispositivo (se as credenciais do usuário estão salvas no dispositivo) e após o usuário fazer login no dispositivo. Uma vez que o usuário é autenticado e o Cliente está conectado, o Cliente não pode ser desconectado.
  3. Com Conectar na Inicialização habilitado, durante a fase de inicialização do dispositivo, o Cliente tenta automaticamente autenticar e conectar-se com as credenciais do último usuário a se conectar com o Cliente. Uma vez que o Cliente se conecte, o usuário poderá desconectar o Cliente. O Cliente verifica se Conectar na inicialização está ativado após a inicialização do dispositivo (somente se as credenciais do usuário estiverem salvas no dispositivo) e após o usuário fazer login no dispositivo.
  4. A Política de Acesso do Cliente define quais verificações de dispositivo serão executadas no dispositivo antes de ele conectar-se à rede. Isso garante que apenas dispositivos que cumprem com seus requisitos de segurança possam conectar-se. Você pode também configurar um usuário para ter acesso seguro à Internet apenas ou acesso seguro à Internet e uma rede privada (WAN).

  5. Essas verificações incluem:

    • Verificações de Dispositivo que definem os requisitos mínimos que um dispositivo deve atender para poder conectar-se à sua rede. O Cliente executa verificações para validar a postura de segurança do dispositivo.
    • A geo-localização do dispositivo
    • O sistema operacional do dispositivo
    • O status de autenticação do usuário
  6. Os usuários podem autenticar com SSO, MFA ou com um nome de usuário e senha. Uma vez autenticado, um Token Cato é gerado pelo PoP para verificar que o usuário foi autenticado para que o Cliente possa manter uma conexão com a Cato Cloud. Você pode configurar por quanto tempo o token de autenticação do Cato é válido. O Cliente pode autenticar automaticamente com as credenciais do Windows, tornando esta etapa transparente para o usuário.

Compreendendo as Permissões do Cliente

O Cliente possui as seguintes permissões em um dispositivo:

Windows

  • Serviço Cliente SDP Cato (CatoNetworksVPNService): Conta do Sistema Local
  • Processos da IU do Cliente: Usuário Padrão

macOS

  • Cliente Cato daemon (com.catonetworks.mac.CatoClient.helper): Usuário Root
  • Extensão do sistema: Usuário Root (com menos permissão do que o daemon)
  • Agente de Usuário: Usuário Padrão

Esse artigo foi útil?

Usuários que acharam isso útil: 11 de 12

0 comentário