Protezione del traffico dei contenuti multimediali di Teams per lo split tunneling per VPN

Nota

Questo articolo fa parte di un set di articoli che riguardano l'ottimizzazione di Microsoft 365 per gli utenti remoti.

Alcuni amministratori di Microsoft Teams potrebbero richiedere informazioni dettagliate sul funzionamento dei flussi di chiamata in Teams usando un modello di split tunneling e sulla modalità di protezione delle connessioni.

Configurazione

Sia per le chiamate che per le riunioni, purché le subnet IP di Optimize necessarie per i supporti di Teams siano posizionate correttamente nella tabella di route, quando Teams chiama la funzione GetBestRoute per determinare quale interfaccia locale corrisponde alla route che deve usare per una destinazione specifica, l'interfaccia locale verrà restituita per le destinazioni Microsoft nei blocchi IP Microsoft elencati sopra.

Alcuni software client VPN consentono di modificare il routing in base all'URL. Tuttavia, il traffico multimediale di Teams non ha alcun URL associato, quindi il controllo del routing per questo traffico deve essere eseguito con subnet IP.

In alcuni scenari, spesso non correlati alla configurazione del client Teams, il traffico multimediale continua ad attraversare il tunnel VPN anche con le route corrette applicate. Se si verifica questo scenario, è sufficiente usare una regola del firewall per impedire alle porte o alle subnet IP di Teams di usare la VPN.

Importante

Per assicurarsi che il traffico multimediale di Teams venga instradato tramite il metodo desiderato in tutti gli scenari VPN, assicurarsi che gli utenti eseguano la versione client di Microsoft Teams 1.3.00.13565 o successiva. Questa versione include miglioramenti nel modo in cui il client rileva i percorsi di rete disponibili.

Il traffico di segnalazione viene eseguito tramite HTTPS e non è sensibile alla latenza come il traffico multimediale ed è contrassegnato come Consenti nei dati URL/IP e quindi può essere instradato in modo sicuro attraverso il client VPN, se lo si desidera.

Nota

Microsoft Edge 96 e versioni successive supporta anche lo split tunneling VPN per il traffico peer-to-peer. Ciò significa che i clienti possono ottenere il vantaggio del tunneling di divisione VPN per i client Web di Teams in Edge, ad esempio. I clienti che vogliono configurarlo per i siti Web in esecuzione in Edge possono ottenerlo eseguendo il passaggio aggiuntivo di disabilitazione del criterio Edge WebRtcRespectOsRoutingTableEnabled .

Sicurezza

Un argomento comune per evitare split tunnel è che è meno sicuro farlo, vale a dire che qualsiasi traffico che non passa attraverso il tunnel VPN non trarrà vantaggio da qualsiasi schema di crittografia viene applicato al tunnel VPN ed è quindi meno sicuro.

D'altra parte il traffico multimediale è già crittografato tramite il protocollo di controllo per RTP sicuro (SRTP), un profilo RTP che garantisce riservatezza, autenticazione e la protezione da attacchi replay al traffico RTP. SRTP si basa su una chiave della sessione generata casualmente, che viene scambiata tramite il canale di segnalazione sicuro TLS. L'argomento è ampiamente trattato in questa guida sulla sicurezza, tuttavia la sezione di maggiore interesse è la crittografia multimediale.

Il traffico multimediale viene crittografato con SRTP, che usa una chiave della sessione generata da un generatore di numeri casuale e scambiata tramite il canale di segnalazione TLS. Inoltre, il flusso multimediale in entrambe le direzioni tra Mediation Server e il successivo hop interno è anche crittografato tramite SRTP.

Skype for Business Online genera nome utente/password per l'accesso sicuro ai relay multimediali attraverso il protocollo Traversal Using Relays around NAT (TURN). I relay dei file multimediali scambiano nome utente/password su un canale SIP protetto da TLS. Vale la pena notare che, anche se un tunnel VPN può essere usato per connettere il client alla rete aziendale, il traffico deve comunque fluire nel formato SRTP quando lascia la rete aziendale per raggiungere il servizio.

Informazioni su come Teams attenua i problemi di sicurezza comuni, ad esempio gli attacchi di amplificazione delle utilità di attraversamento della sessione per NAT (STUN) sono disponibili in Considerazioni sulla sicurezza per gli implementatori 5.1.

Informazioni sui moderni controlli di sicurezza negli scenari di lavoro remoto nella pagina Modi alternativi per i professionisti della sicurezza e l'IT per ottenere moderni controlli di sicurezza nei particolari scenari odierni di lavoro remoto (blog del team di sicurezza di Microsoft)

Test

Una volta che i criteri sono stati applicati, è necessario confermare che funziona come previsto. Esistono diversi modi per verificare se il percorso è impostato correttamente per l'uso della connessione Internet locale:

  • Eseguire il test di connettività di Microsoft 365 che eseguirà i test di connettività, incluse le route di traccia come indicato in precedenza. In questo strumento verranno aggiunti anche test VPN che dovrebbero fornire informazioni dettagliate aggiuntive.

  • Un semplice tracert a un endpoint nell'ambito del tunnel diviso deve mostrare il percorso intrapreso, ad esempio:

    tracert worldaz.tr.teams.microsoft.com
    

    Verrà quindi visualizzato un percorso tramite l'ISP locale a questo endpoint che deve essere risolto in un indirizzo IP negli intervalli di Teams configurati per il tunneling diviso.

  • Effettuare un'acquisizione di rete utilizzando uno strumento come Wireshark. Filtrare su UDP durante una chiamata per vedere il traffico che fluisce verso un IP nell'intervallo Optimize di Teams. Se il tunnel VPN viene usato per questo traffico, il traffico multimediale non sarà visibile nella traccia.

Altri log di supporto

Se servono altre informazioni per la risoluzione dei problemi o per richiede l'assistenza del supporto Microsoft, è possibile ottenere le informazioni seguenti per accelerare l'individuazione di una soluzione. Il set di strumenti TSS Windows CMD universale basato su CmD del supporto Microsoft consente di raccogliere i log pertinenti in modo semplice. Lo strumento e le istruzioni sull'uso sono disponibili all'indirizzo https://aka.ms/TssTools.

Panoramica: split tunneling VPN per Microsoft 365

Implementazione del split tunneling VPN per Microsoft 365

Scenari comuni di split tunneling VPN per Microsoft 365

Considerazioni speciali per gli eventi di flusso e live negli ambienti VPN

Ottimizzazione delle prestazioni di Microsoft 365 per gli utenti cinesi

Principi della connettività di rete di Microsoft 365

Valutazione della connettività di rete di Microsoft 365

Ottimizzazione della rete e delle prestazioni di Microsoft 365

Modi alternativi per i professionisti della sicurezza e l'IT per ottenere moderni controlli di sicurezza nei particolari scenari odierni di lavoro remoto (blog del team di sicurezza di Microsoft)

Ottimizzazione delle prestazioni VPN in Microsoft: usare i profili VPN di Windows 10 per consentire connessioni automatiche

Esecuzione del servizio VPN: la soluzione Microsoft per mantenere connessa la forza lavoro remota

Rete globale Microsoft