Desactivar redes protegidas para clientes de roaming de Umbrella en redes empresariales

Introducción

Este documento describe cómo inhabilitar los clientes de roaming de Umbrella (independientes y AnyConnect) en una red corporativa y habilitarlo fuera de la red corporativa.

Antecedentes

Este artículo está dirigido a los administradores. Si no desea abandonar el cliente de roaming en la red, deténgase aquí.

La función de redes protegidas de Umbrella está diseñada para una única red de salida. Para cualquier red con más de una salida, se requiere una función alternativa.

Hoy en día, esta función existe en producción como la función de dominio de red de confianza. Siga leyendo para saber cómo solicitar la función y qué se necesita en su red.

¿Qué Es La Función Trusted Network Domain?

La función de red de confianza por dominio permite deshabilitar el cliente de roaming en la red corporativa, pero mantenerlo habilitado fuera de la red. Cuando está activada, la función:

• Deshabilita la protección DNS proporcionada por el cliente de itinerancia
  • Aplaza la directiva a la directiva de red
• Detiene todos los sondeos de red excepto la comprobación del dominio de red de confianza
  • Ideal para redes ocupadas.
  • Gran alternativa a la interrupción del AV
    • Utilícelo en combinación con dispositivos virtuales para hablar menos en la red

Comportamiento de IPv6, Windows frente a MacOS

• En Windows, el dominio se consulta en IPv4 e IPv6. El comportamiento de apagado se controla por separado en cada pila de red. Por ejemplo, si el dominio se resuelve en IPv4 pero no en IPv6, el cliente de itinerancia se cierra sólo en IPv4 y permanece en funcionamiento en IPv6. Si desea que el cliente se cierre completamente, se deben resolver las consultas de IPv4 e IPv6.
• En MacOS, el dominio se consulta en IPv4 e IPv6. A diferencia de Windows, si el dominio se resuelve en cualquiera de las pilas de red, el cliente de itinerancia se cierra para IPv4 e IPv6.

¿Cómo Se Habilita La Función?

Esta función se controla ahora en el panel. Consulte Configuración de equipos móviles.

• El subdominio de deshabilitación de Umbrella deseado. Este dominio debe:
  • Disponer de un registro A que se resuelva en una dirección IP interna RFC-1918 (para IPv4)
  • Disponer de un registro AAAA que se resuelva en una dirección IP RFC-4193 en IPv6 (si se utiliza IPv6)
    • Las IP RFC-1918 suelen ser 10.x.x.x, 172.x.x.x o 192.168.x.x
    • Las direcciones IPv6 RFC-4193 comienzan por 'FD'
    • No es necesario que las direcciones IP sean accesibles
    • Debe ser un subdominio
      • sub.domain.com - ¡bien!
      • subdomain.com - no es bueno.
  • Resolver fuera de la red a NXDOMAIN, NODATA o dirección IP pública (para que el cliente permanezca habilitado en estos escenarios)
    • No SERVFAIL, por favor
  • Sea un dominio en una zona que controle para asegurarse de que controla el espacio público y local
• Admite esta característica:
  • Cliente de roaming de Umbrella
  • AnyConnect Umbrella Roaming Security Module 4.5 MR4+ solo

¿Cómo se prueba la función para una máquina?

Para realizar pruebas localmente antes de que el equipo de Umbrella aplique la configuración globalmente, aplique esta anulación.

1. Cree un archivo "customer_network_probe.flag"
   1. Asegúrese de que el archivo no es .flag.txt
2. Coloque el dominio deseado en el contenido del archivo
3. Coloque el archivo en:
   1. Cliente de roaming
      1. Windows: %ProgramData\OpenDNS\ERC\
   2. AnyConnect
      1. Windows: %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella\data\
   3. Cliente seguro de Cisco
      1. Windows: C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\data\
      2. macOS: /opt/cisco/secureclient/umbrella/data/
4. Reinicie el cliente de roaming
   1. Cliente de roaming: cliente de roaming de Umbrella: Desactivación o reinicio manual.
   2. AnyConnect: Reinicie el servicio vpnagent AnyConnect principal

Nota: Cliente de roaming de MacOS, las versiones de AnyConnect no admiten este indicador.