Udostępnij za pośrednictwem


Zabezpieczanie ruchu multimediów aplikacji Teams na potrzeby tunelowania podziału sieci VPN

Uwaga

Ten artykuł jest częścią zestawu artykułów dotyczących optymalizacji platformy Microsoft 365 dla użytkowników zdalnych.

Niektórzy administratorzy usługi Microsoft Teams mogą wymagać szczegółowych informacji na temat sposobu działania przepływów wywołań w usłudze Teams przy użyciu modelu tunelowania podzielonego i sposobu zabezpieczania połączeń.

Konfiguracja

Zarówno w przypadku wywołań, jak i spotkań, o ile wymagane podsieci IP optymalizacji dla nośników usługi Teams są prawidłowo używane w tabeli tras, gdy usługa Teams wywołuje funkcję GetBestRoute w celu określenia, który interfejs lokalny odpowiada trasie, której powinien używać dla określonego miejsca docelowego, interfejs lokalny zostanie zwrócony dla miejsc docelowych firmy Microsoft w blokach adresów IP firmy Microsoft wymienionych powyżej.

Niektóre oprogramowanie klienckie sieci VPN umożliwia manipulowanie routingiem na podstawie adresu URL. Jednak ruch multimedialny usługi Teams nie ma skojarzonego z nim adresu URL, dlatego należy kontrolować routing dla tego ruchu przy użyciu podsieci IP.

W niektórych scenariuszach, często niezwiązanych z konfiguracją klienta usługi Teams, ruch multimedialny nadal przechodzi przez tunel VPN nawet z odpowiednimi trasami. Jeśli wystąpi ten scenariusz, użycie reguły zapory w celu zablokowania podsieci IP lub portów usługi Teams przy użyciu sieci VPN powinno wystarczyć.

Ważna

Aby upewnić się, że ruch multimedialny usługi Teams jest kierowany za pomocą żądanej metody we wszystkich scenariuszach sieci VPN, upewnij się, że użytkownicy korzystają z klienta usługi Microsoft Teams w wersji 1.3.00.13565 lub nowszej . Ta wersja obejmuje ulepszenia sposobu wykrywania dostępnych ścieżek sieciowych przez klienta.

Ruch sygnałowy jest wykonywany za pośrednictwem protokołu HTTPS i nie jest tak wrażliwy na opóźnienie jak ruch multimedialny i jest oznaczony jako Zezwalaj w danych adresu URL/IP, a tym samym może być bezpiecznie kierowany przez klienta sieci VPN w razie potrzeby.

Uwaga

Przeglądarka Microsoft Edge 96 lub nowsza obsługuje również tunelowanie podzielone sieci VPN dla ruchu równorzędnego. Oznacza to, że klienci mogą na przykład korzystać z tunelowania podzielonego sieci VPN dla klientów internetowych usługi Teams w przeglądarce Edge. Klienci, którzy chcą skonfigurować ją dla witryn internetowych działających w przeglądarce Edge, mogą to osiągnąć, wykonując dodatkowy krok wyłączania zasad WebRtcRespectOsRoutingTableEnabled przeglądarki Edge.

Bezpieczeństwo

Jednym z typowych argumentów unikania tuneli podzielonych jest to, że jest to mniej bezpieczne, tj. każdy ruch, który nie przechodzi przez tunel VPN, nie skorzysta z jakiegokolwiek schematu szyfrowania stosowanego do tunelu VPN i dlatego jest mniej bezpieczny.

Głównym kontrargumentem jest to, że ruch multimedialny jest już szyfrowany za pośrednictwem protokołu SRTP (Secure Real-Time Transport Protocol), profilu protokołu Real-Time Transport Protocol (RTP), który zapewnia poufność, uwierzytelnianie i ochronę przed atakami odtwarzania dla ruchu RTP. Sam protokół SRTP opiera się na losowo wygenerowanym kluczu sesji, który jest wymieniany za pośrednictwem kanału sygnałowego zabezpieczonego przez protokół TLS. Jest to szczegółowo omówione w tym przewodniku po zabezpieczeniach, ale podstawową interesującą częścią jest szyfrowanie multimediów.

Ruch multimediów jest szyfrowany przy użyciu protokołu SRTP, który używa klucza sesji wygenerowanego przez bezpieczny generator liczb losowych i wymienianego przy użyciu kanału TLS sygnalizacji. Ponadto nośnik przepływający w obu kierunkach między serwerem mediacji a jego wewnętrznym następnym przeskokem jest również szyfrowany przy użyciu protokołu SRTP.

Skype dla firm Online generuje nazwy użytkownika/hasła w celu bezpiecznego dostępu do przekaźników multimediów za pośrednictwem przekaźników przy użyciu przekaźników wokół translatora adresów sieciowych (TURN). Przekaźniki multimediów wymieniają nazwę użytkownika/hasło za pośrednictwem kanału SIP zabezpieczonego przez protokół TLS. Warto zauważyć, że nawet jeśli tunel VPN może być używany do łączenia klienta z siecią firmową, ruch musi nadal przepływać w formularzu SRTP, gdy opuszcza sieć firmową, aby dotrzeć do usługi.

Informacje na temat sposobu, w jaki usługa Teams eliminuje typowe problemy z zabezpieczeniami, takie jak ataki wzmacniania połączeń głosowych lub narzędzi przechodzenia sesji na potrzeby ataków wzmacniania translatora adresów sieciowych (STUN), można znaleźć w artykule 5.1 Zagadnienia dotyczące zabezpieczeń dla implementatorów.

Możesz również przeczytać o nowoczesnych mechanizmach kontroli zabezpieczeń w scenariuszach pracy zdalnej w artykule Alternatywne sposoby dla specjalistów ds. zabezpieczeń i działu IT w celu uzyskania nowoczesnych mechanizmów kontroli zabezpieczeń w dzisiejszych unikatowych scenariuszach pracy zdalnej (blog zespołu ds. zabezpieczeń firmy Microsoft).

Testowania

Po wprowadzeniu zasad należy potwierdzić, że działa zgodnie z oczekiwaniami. Istnieje wiele sposobów testowania ścieżki jest poprawnie ustawiona do korzystania z lokalnego połączenia internetowego:

  • Uruchom test łączności platformy Microsoft 365 , który będzie uruchamiał testy łączności, w tym trasy śledzenia, jak powyżej. Dodajemy również testy sieci VPN do tego narzędzia, które powinno również dostarczyć dodatkowych szczegółowych informacji.

  • Prosta kontrolka śledzenia punktu końcowego w zakresie tunelu podzielonego powinna pokazywać pobraną ścieżkę, na przykład:

    tracert worldaz.tr.teams.microsoft.com
    

    Następnie powinna zostać wyświetlona ścieżka za pośrednictwem lokalnego usługodawcy sieciowego do tego punktu końcowego, która powinna zostać rozpoznana jako adres IP w zakresach usługi Teams skonfigurowanych do tunelowania podzielonego.

  • Wykonaj przechwytywanie sieci przy użyciu narzędzia takiego jak Wireshark. Filtruj według protokołu UDP podczas wywołania i powinien zostać wyświetlony ruch przepływający do adresu IP w zakresie optymalizacji usługi Teams. Jeśli tunel VPN jest używany dla tego ruchu, ruch multimedialny nie będzie widoczny w śladzie.

Dodatkowe dzienniki pomocy technicznej

Jeśli potrzebujesz dalszych danych do rozwiązywania problemów lub żądasz pomocy od pomocy technicznej firmy Microsoft, uzyskanie poniższych informacji powinno umożliwić przyspieszenie znajdowania rozwiązania. Zestaw narzędzi uniwersalnego skryptu rozwiązywania problemów oparty na usłudze TSS systemu Windows firmy Microsoft może pomóc w prosty sposób zebrać odpowiednie dzienniki. Narzędzie i instrukcje dotyczące używania można znaleźć pod adresem https://aka.ms/TssTools.

Omówienie: tunelowanie podzielone sieci VPN dla platformy Microsoft 365

Implementowanie tunelowania podzielonego sieci VPN dla platformy Microsoft 365

Typowe scenariusze tunelowania podzielonego sieci VPN dla platformy Microsoft 365

Specjalne zagadnienia dotyczące strumienia i wydarzeń na żywo w środowiskach sieci VPN

Optymalizacja wydajności platformy Microsoft 365 dla chińskich użytkowników

Zasady łączności sieciowej platformy Microsoft 365

Ocena łączności sieciowej na platformie Microsoft 365

Dostrajanie sieci i wydajności platformy Microsoft 365

Alternatywne sposoby zapewniania przez specjalistów ds. zabezpieczeń i działów IT nowoczesnych mechanizmów kontroli zabezpieczeń w dzisiejszych unikatowych scenariuszach pracy zdalnej (blog zespołu ds. zabezpieczeń firmy Microsoft)

Zwiększanie wydajności sieci VPN w firmie Microsoft: używanie Windows 10 profilów sieci VPN do zezwalania na połączenia automatyczne

Uruchamianie w sieci VPN: Jak firma Microsoft utrzymuje połączenie ze swoimi zdalnymi pracownikami

Sieć globalna firmy Microsoft