Introducción
Este documento describe cómo migrar al agente de punto final unificado de Cisco Secure Client con el módulo Umbrella.
Propósito
A medida que Umbrella ha evolucionado, hemos mejorado nuestros métodos para proteger los ordenadores en roaming. En nuestro continuo esfuerzo por innovar, hemos introducido Cisco Secure Client, que se basa en AnyConnect y es nuestro agente de terminales unificado de última generación. Este nuevo cliente incluye todas las ventajas del cliente de roaming de Umbrella y, al mismo tiempo, ofrece una solución de seguridad más avanzada, que incluye un conjunto de módulos de servicio de seguridad, un rendimiento superior y una compatibilidad ampliada. Integra la última versión del módulo Umbrella, así como muchos otros módulos.
Tenga en cuenta que Cisco anunció el fin del ciclo de vida de Cisco AnyConnect en 2023 y de Umbrella Roaming Client en 2024.Muchos clientes de Umbrella ya se están beneficiando de la migración a Cisco Secure Client y se le anima a iniciar la migración lo antes posible para obtener una mejor experiencia de roaming.
Todos los clientes con licencias válidas y contratos de asistencia activos de Umbrella pueden migrar a Cisco Secure Client para tener derecho al módulo Umbrella, que incluye la misma funcionalidad de la función Umbrella Roaming Client, sin coste alguno.
En este artículo se trata el proceso de migración y cualquier pregunta sobre Cisco Secure Client.
Actualización a Cisco Secure Client
En esta sección se explica cómo migrar a Cisco Secure Client.
Migración desde AnyConnect
Cisco Secure Client cuenta con un mecanismo para detectar automáticamente una instalación existente de AnyConnect, recopilar la configuración de la misma, migrar esa configuración a Cisco Secure Client y, a continuación, desinstalar el cliente anterior de AnyConnect. Sin embargo, puede haber casos extremos en los que este proceso falle, por lo que algunos clientes pueden preferir desinstalar el cliente AnyConnect ellos mismos antes de instalar Cisco Secure Client.
Nota: Deshabilite las tareas de instalación de AnyConnect en el software de administración de terminales para evitar que se reinstalen versiones anteriores de AnyConnect.
Migración de Umbrella Roaming Client
Nota: Los clientes con licencias válidas y contratos de asistencia activos de Umbrella que migren desde el cliente de roaming de Umbrella pueden migrar a Cisco Secure Client solo para tener derecho al módulo Umbrella.
Cisco Secure Client cuenta con un mecanismo para detectar automáticamente una instalación existente de Umbrella Roaming Client, recopilar la configuración de la misma, migrar esa configuración a Cisco Secure Client y, a continuación, desinstalar el antiguo Umbrella Roaming Client. Sin embargo, puede haber casos extremos en los que este proceso falle, por lo que algunos clientes pueden preferir desinstalar el cliente Umbrella Roaming ellos mismos antes de instalar Cisco Secure Client.
Nota: Deshabilite cualquier tarea de instalación de Umbrella Roaming Client en su software de administración de terminales para evitar que el Cliente Roaming se reinstale.
Instalación de Cisco Secure Client
1. Descargue Cisco Secure Client
Método 1: Panel de paraguas
Inicie sesión en el panel de Umbrella y navegue hasta Implementaciones > Equipos en roaming. Haga clic en el icono de descarga de Roaming Client en la parte superior derecha y descargue el paquete de preimplementación apropiado para su sistema operativo.
Método 2: Software.cisco.com
Inicie sesión en software.cisco.com y navegue hasta la sección Secure Client 5. Descargue el paquete de preimplementación adecuado para su sistema operativo.
2. Haga doble clic en la aplicación del archivo de configuración
Aparecerá esta ventana:
17890872895892
3. Seleccione sólo las opciones Umbrella y Diagnostic e Reporting Tool.
La selección de Bloquear servicios informáticos es opcional y bloquea a los usuarios y administradores para que no puedan cambiar el estado de los servicios de Cisco Secure Client en un dispositivo.
Nota: El módulo "Core & AnyConnect VPN" se instala como un módulo de núcleo necesario. Si se desmarca la opción "Core & AnyConnect VPN", se oculta la VPN de la GUI. El servicio VPN (csc_vpnagent) se sigue ejecutando en segundo plano, pero la VPN no se muestra en la GUI.
4. Haga clic en Instalar seleccionados para instalar los módulos.
Al iniciar Cisco Secure Client, verá estas ventanas:
27072090674324
5. En este momento, Cisco Secure Client detecta y desinstala Umbrella Roaming Client. Espere un momento para que esto se complete.
Instalación del perfil de Umbrella
El perfil de Umbrella (OrgInfo.json) se detecta automáticamente desde la instalación anterior de AnyConnect o de Roaming Client y se importa a Secure Client.
Sin embargo, para las nuevas instalaciones es fundamental implementar el perfil de Umbrella (OrgInfo.json) en el terminal. Este archivo identifica de forma exclusiva a su organización de Umbrella y permite que el cliente se registre en la nube de Umbrella. Este paso es necesario si va a instalar en un dispositivo sin Cisco AnyConnect o va a migrar desde el cliente de roaming de Umbrella:
- Descargue el perfil del módulo OrgInfo.json desde su panel en Implementaciones > Identidades principales > Equipos móviles > Cliente móvil y, a continuación, haga clic en Descargar en la esquina superior derecha.
- Elija Descargar perfil del módulo.
- Una vez descargado, copie el archivo Orginfo.json en la ubicación especificada aquí:
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json (Windows/opt/cisco/secureclient/umbrella/OrgInfo.json (OSX)
Implementación masiva
Secure Client (incluidos el módulo y el perfil de Umbrella) se puede implementar de forma masiva mediante herramientas de gestión de terminales (como UEM, MDM y RMM). Consulte estos artículos:
- Instalación de la línea de comandos y referencia de RMM (Windows)
Personalización
Estructura de directorios
Las ubicaciones del directorio han cambiado con Cisco Secure Client.
Directorios de Cisco Secure Client
Windows:
Ejecutable
C:\Program Files (x86)\Cisco\Cisco Secure Client
Directorio de datos de Umbrella
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\
macOS
Ejecutable
/Applications/Cisco/Cisco Secure Client.app
Directorio de datos de Umbrella
/opt/cisco/secureclient/umbrella/
Preguntas Frecuentes
A: ¿Podemos continuar con el cliente de roaming de Umbrella?
R: La fecha de fin de vida útil del cliente de roaming de Umbrella es el 2 de abril de 2024. Puede seguir utilizándolo después de esta fecha y Cisco seguirá ofreciendo asistencia y proporcionando soluciones para los problemas y vulnerabilidades graves durante un año, hasta el 2 de abril de 2025. Sin embargo, todas las nuevas mejoras e innovaciones se proporcionan únicamente en Cisco Secure Client. A partir del 2 de abril de 2025, cualquier registro de dispositivo nuevo para el cliente de roaming de Umbrella estará restringido. Los clientes que todavía usaban el cliente de roaming de Umbrella en ese momento ya no reciben soporte ni actualizaciones.
A: ¿El módulo Umbrella es lo mismo que el módulo de seguridad de roaming?
R: Sí, Umbrella Module es solo el nuevo nombre simplificado para el módulo de seguridad de roaming.
A: Ya tenemos un agente VPN de terceros. No queremos instalar el módulo VPN. ¿Es una opción?
R: El módulo VPN se instala como módulo principal. Sin embargo, no es necesario configurar ni utilizar el módulo VPN en absoluto. Sin embargo, tiene la opción de ocultar el módulo VPN de la GUI. Simplemente desmarque la opción "Core & AnyConnect VPN" durante la instalación para ocultar la VPN de la GUI. El servicio VPN (csc_vpnagent) todavía se ejecuta en segundo plano, pero la VPN no se muestra en la GUI. Consulte el artículo de KB para obtener información adicional sobre cómo ocultar el módulo VPN: https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows
A: Solo necesito seguridad de la capa DNS. ¿Todavía tengo que actualizar?
R: Sí, y aún puede utilizar su suscripción exclusiva a DNS con el nuevo módulo Cisco Secure Client y Umbrella. Todos los clientes tienen derecho al módulo Umbrella de Cisco Secure Client. El módulo VPN es un módulo central y está instalado, sin embargo no tiene que utilizarlo, y tiene la opción de ocultarlo en la interfaz de usuario.
A: ¿Dónde puedo obtener una copia de Cisco Security Client?
R:
Método 1: Panel de paraguas
Inicie sesión en el panel de Umbrella y navegue hasta Implementaciones > Equipos en roaming. Haga clic en el icono de descarga de Roaming Client en la parte superior derecha y descargue el paquete de preimplementación apropiado para su sistema operativo.
Método 2: Software.cisco.com
Inicie sesión en software.cisco.com y navegue hasta la sección Secure Client 5. Descargue el paquete de preimplementación adecuado para su sistema operativo.
Nota: Para completar la descarga, debe iniciar sesión con una cuenta de Cisco válida.
A: Tengo una suscripción a Umbrella, pero no tengo ninguna licencia de Cisco Secure Client. ¿Todavía puedo actualizar a Cisco Secure Client?
R: Todos los clientes con licencias válidas y contratos de asistencia activos de Umbrella pueden migrar a Cisco Secure Client para tener derecho al módulo Umbrella, que incluye toda la capacidad de Umbrella Roaming Client, sin coste alguno.
A: ¿Cuáles son las diferencias arquitectónicas entre los clientes?
R:
Enfoque de cliente de roaming de Umbrella
El cliente de roaming de Umbrella utiliza un adaptador de loopback para inspeccionar todas las solicitudes enviadas a los servidores DNS especificados en la configuración DNS de los adaptadores de red de un equipo. Esto requiere que el cliente de roaming restablezca el servidor DNS en todos los adaptadores para utilizar 127.0.0.1, la dirección de loopback del host local.
La desventaja de este enfoque es que algunos clientes VPN entran en conflicto con esta configuración, ya sea al exigir que la configuración coincida con lo establecido por el administrador o al impedir que una resolución DNS se ejecute en 127.0.0.1.
Alternativamente, algunos clientes VPN también sobrescriben la configuración DNS de un adaptador con valores VPN, sobrescribiendo la dirección del servidor DNS del cliente de roaming 127.0.0.1 en lugar de los valores originales. Esto puede hacer que el cliente de roaming de Umbrella y el paquete de software en conflicto no funcionen como se diseñó, o causar un escenario de falla de DNS completo donde los ajustes de DNS configurados se pierden al conectar o desconectar.
Enfoque de Cisco Secure Client
Con Cisco Secure Client, Umbrella es un módulo que se puede instalar. Este módulo es capaz de controlar el adaptador sin cambiar la configuración de DNS en la interfaz, evitando conflictos de cambio de DNS. Cisco Secure Client utiliza un controlador kernel, que intercepta las solicitudes DNS en un nivel mucho más bajo en el sistema operativo. Este mecanismo más sofisticado tiene la ventaja de no requerir que el tráfico de todos los adaptadores pase a través de la dirección de loopback, por lo que se mantiene la configuración de DNS original. Esta diferencia arquitectónica significa que el módulo Umbrella puede conservar una compatibilidad mucho mayor con otro software en comparación con el cliente de roaming de Umbrella.
A: ¿Tiene el módulo Umbrella para Cisco Secure Client algún problema de compatibilidad conocido?
R:Cisco Secure Client se basa en la arquitectura AnyConnect, que es mucho más compatible que el antiguo Umbrella Roaming Client. En algunos casos excepcionales, se requiere una acción adicional para que el módulo Umbrella funcione con software de terceros. Puede leer más información en este artículo:
Compatibilidad de software: Umbrella Module para Cisco Secure Client (y AnyConnect heredado)
A: Ya tenemos instalaciones de clientes de roaming de AnyConnect y Umbrella. ¿Es necesario desinstalar manualmente ambos e instalar Cisco Secure Client con los módulos AnyConnect y Umbrella?
R: No, el proceso de instalación de Secure Client está diseñado con un proceso de actualización sin problemas. El instalador mueve automáticamente el archivo Orginfo.json a las carpetas de Secure Client y también desinstala AnyConnect y el cliente Umbrella Roaming al mismo tiempo. Si estaba utilizando la funcionalidad VPN de AnyConnect, se transfiere automáticamente al módulo VPN de AnyConnect.
A: No veo la interfaz de usuario de Cisco Secure Client después de la instalación. ¿Cómo sé que funciona?
Puede confirmar que el módulo Cisco Secure Client con Umbrella funciona dirigiéndose a https://policy-debug.checkumbrella.com en su navegador o ejecutando este comando:
nslookup -q=txt debug.opendns.com1
El resultado contiene información única y relevante para su organización de Umbrella, como su OrgID.
A: ¿Cómo puedo encontrar documentación de asistencia para la implementación mediante mi herramienta de MDM o RMM específica?
R: Cisco Umbrella no admite oficialmente RMM y MDM de terceros. Por cortesía, proporcionamos algunos ejemplos en nuestra página de KB en https://support.umbrella.com/hc/en-us/articles/18584514390932. Sin embargo, no se admiten y se proporcionan "tal cual". Si tiene alguna pregunta o duda sobre su validez o idoneidad para la implementación, consulte a su proveedor de RMM o MDM.
A: Una vez que implemente Cisco Secure Client con Umbrella Module, ¿cómo puedo mantenerlo actualizado? ¿Se actualiza automáticamente?
R: Para obtener más información sobre cómo mantener actualizados Cisco Secure Client y Umbrella Module, consulte este artículo de KB:
Mantenimiento actualizado de Cisco Secure Client
Comentarios