Protección del tráfico multimedia Teams para la tunelización dividida VPN
Nota:
Este artículo forma parte de un conjunto de artículos que abordan la optimización de Microsoft 365 para usuarios remotos.
- Para obtener información general sobre el uso de la tunelización dividida de VPN para optimizar la conectividad de Microsoft 365 para usuarios remotos, consulte Información general: Túnel dividido de VPN para Microsoft 365.
- Para obtener instrucciones detalladas sobre la implementación de la tunelización dividida de VPN, consulte Implementación de la tunelización dividida de VPN para Microsoft 365.
- Para obtener una lista detallada de los escenarios de tunelización dividida de VPN, consulte Escenarios comunes de tunelización dividida de VPN para Microsoft 365.
- Para obtener información sobre cómo configurar stream y eventos en directo en entornos VPN, consulte Consideraciones especiales para stream y eventos en directo en entornos VPN.
- Para obtener información sobre cómo optimizar el rendimiento de los inquilinos de Microsoft 365 en todo el mundo para los usuarios de China, consulte Optimización del rendimiento de Microsoft 365 para los usuarios de China.
Algunos administradores de Microsoft Teams pueden requerir información detallada sobre cómo funcionan los flujos de llamadas en Teams mediante un modelo de tunelización dividida y cómo se protegen las conexiones.
Configuración
En el caso de las llamadas y reuniones, siempre y cuando las subredes IP necesarias para los medios de Teams estén correctamente implementadas en la tabla de rutas, cuando Teams llame a la función GetBestRoute para determinar qué interfaz local corresponde a la ruta que debe usar para un destino determinado, se devolverá la interfaz local para los destinos de Microsoft en los bloques IP de Microsoft enumerados anteriormente.
Algunos programas de cliente de VPN permiten la manipulación del enrutamiento en función de la dirección URL. Pero el tráfico multimedia de Teams no tiene una dirección URL asociada, por lo que el control del enrutamiento para este tráfico tiene que realizarse mediante subredes IP.
En determinadas situaciones, a menudo no relacionadas con la configuración del cliente de Teams, el tráfico multimedia atraviesa igualmente el túnel de VPN aunque se hayan dispuesto las rutas correctas. Si encuentra este escenario, debe bastar con usar una regla de firewall para impedir que las subredes o puertos IP de Teams usen la VPN.
Importante
Para asegurarse de que el tráfico multimedia de Teams se enruta a través del método deseado en todos los escenarios de VPN, asegúrese de que los usuarios ejecutan la versión de cliente de Microsoft Teams 1.3.00.13565 o posterior. Esta versión incluye mejoras en la forma en que el cliente detecta las rutas de acceso de red disponibles.
El tráfico de señalización se realiza a través de HTTPS y no es tan sensible a la latencia como el tráfico multimedia y se marca como Permitir en los datos de DIRECCIÓN URL/IP y, por tanto, se puede enrutar de forma segura a través del cliente VPN si lo desea.
Nota:
Microsoft Edge 96 y versiones posteriores también admiten la tunelización dividida de VPN para el tráfico punto a punto. Esto significa que los clientes pueden beneficiarse de la tunelización dividida de VPN para clientes web de Teams en Edge, por ejemplo. Los clientes que quieran configurarlo para sitios web que se ejecutan en Edge pueden lograrlo si toman el paso adicional de deshabilitar la directiva Edge WebRtcRespectOsRoutingTableEnabled .
Seguridad
Un argumento común para evitar túneles divididos es que es menos seguro hacerlo, es decir, cualquier tráfico que no pase por el túnel VPN no se beneficiará de cualquier esquema de cifrado que se aplique al túnel VPN y, por tanto, es menos seguro.
El principal argumento contra esta idea es que el tráfico multimedia ya está cifrado mediante protocolo de transporte en tiempo real seguro (SRTP), un perfil del protocolo de transporte en tiempo real (RTP) que proporciona confidencialidad, autenticación y protección contra ataques de reproducciones al tráfico RTP. SRTP se basa en una clave de sesión generada al azar, que se intercambia mediante el canal de señalización protegida de TLS. Este se trata de forma detallada en esta guía de seguridad, pero la sección principal de interés es el cifrado multimedia.
El tráfico multimedia se cifra con SRTP, que usa una clave de sesión generada por un generador de números aleatorios seguros y se intercambia con el canal TLS de señalización. Además, el contenido multimedia que fluye en ambas direcciones entre el servidor de mediación y el próximo salto interno también se cifra con SRTP.
Skype Empresarial Online genera nombres de usuario o contraseñas para proteger el acceso a relés multimedia mediante retransmisiones de uso de recorrido por NAT (TURN). Los relés multimedia intercambian el nombre de usuario/contraseña a través de un canal SIP protegido con TLS. Vale la pena señalar que, aunque se pueda usar un túnel VPN para conectar el cliente a la red corporativa, el tráfico todavía debe fluir en su forma SRTP cuando sale de la red corporativa para llegar al servicio.
Puede encontrar información sobre cómo Teams mitiga problemas comunes de seguridad, como las utilidades de voz o de recorrido de sesión para ataques de amplificación NAT (STUN), en Consideraciones de seguridad 5.1 para los implementadores.
También podrá obtener más información acerca de los controles de seguridad modernos en los escenarios de trabajo remoto en Formas alternativas para que los profesionales de seguridad y de TI logren controles de seguridad modernos en los escenarios de trabajo remoto de hoy día (blog del Equipo de seguridad de Microsoft).
Pruebas
Una vez implementada la directiva, debe confirmar que funciona según lo esperado. Hay varias formas de probar si la ruta de acceso se ha configurado correctamente para usar la conexión a Internet local:
Ejecute la prueba de conectividad de Microsoft 365 que ejecutará pruebas de conectividad para usted, incluidas las rutas de seguimiento como se mencionó anteriormente. También vamos a agregar pruebas VPN a esta herramienta que también debe proporcionar información adicional.
Un seguimiento simple a un punto de conexión dentro del ámbito del túnel dividido debe mostrar la ruta de acceso tomada, por ejemplo:
tracert worldaz.tr.teams.microsoft.comA continuación, debería ver una ruta de acceso a través del ISP local a este punto de conexión que debe resolverse en una dirección IP en los intervalos de Teams que hemos configurado para la tunelización dividida.
Realice una captura de red con una herramienta como Wireshark. Filtre por UDP durante una llamada y debería ver el tráfico que fluye a una dirección IP en el intervalo Optimizar de Teams. Si el túnel VPN se usa para este tráfico, el tráfico multimedia no será visible en el seguimiento.
Registros de soporte adicional
Si necesita más datos para solucionar problemas o bien asistencia del soporte técnico de Microsoft, la obtención de la siguiente información le permite acelerar la búsqueda de una solución. El conjunto de herramientas TSS Windows CMD universal de Microsoft TroubleShooting Script puede ayudarle a recopilar los registros pertinentes de forma sencilla. La herramienta y las instrucciones de uso se pueden encontrar en https://aka.ms/TssTools.
Artículos relacionados
Información general: Túnel dividido de VPN para Microsoft 365
Implementación de la tunelización dividida de VPN para Microsoft 365
Escenarios comunes de tunelización dividida de VPN para Microsoft 365
Consideraciones especiales para stream y eventos en directo en entornos VPN
Optimización del rendimiento de Microsoft 365 para usuarios de China
Principios de conectividad de red de Microsoft 365
Evaluar la conectividad de red de Microsoft 365
Optimización de rendimiento y red de Microsoft 365
Funcionando con VPN: cómo Microsoft mantiene conectado a su personal remoto
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de