Защита медиатрафика Teams в раздельном VPN-туннелировании
Примечание.
Эта статья является частью набора статей, которые рассматривают оптимизацию Microsoft 365 для удаленных пользователей.
- Общие сведения об использовании разделенного туннелирования VPN для оптимизации подключения к Microsoft 365 для удаленных пользователей см. в статье Обзор: раздельное туннелирование VPN для Microsoft 365.
- Подробные рекомендации по реализации раздельного туннелирования VPN см. в статье Реализация раздельного туннелирования VPN для Microsoft 365.
- Подробный список сценариев разделенного туннелирования VPN см. в статье Общие сценарии разделенного туннелирования VPN для Microsoft 365.
- Сведения о настройке Stream и трансляций в средах VPN см. в статье Особые рекомендации по Stream и трансляциям в средах VPN.
- Сведения об оптимизации производительности клиента Microsoft 365 по всему миру для пользователей в Китае см. в статье Оптимизация производительности Microsoft 365 для пользователей из Китая.
Некоторым администраторам Microsoft Teams может потребоваться подробная информация о том, как потоки вызовов работают в Teams с помощью модели раздельного туннелирования и как защищены подключения.
Конфигурация
Для звонков и собраний при условии, что необходимые ip-подсети Optimize IP для мультимедиа Teams правильно размещаются в таблице маршрутов. Когда Teams вызывает функцию GetBestRoute , чтобы определить, какой локальный интерфейс соответствует маршруту, который он должен использовать для определенного назначения, локальный интерфейс будет возвращен для назначений Майкрософт в перечисленных выше IP-блоках Майкрософт.
Некоторое программное обеспечение VPN-клиента позволяет управлять маршрутизацией на основе URL. Однако медиа-трафик команд не имеет URL-адреса, связанного с ним, поэтому управление маршрутизацией для этого трафика должно осуществляться с использованием IP-подсетей.
В определенных сценариях, которые часто не связаны с конфигурацией клиента команд, трафик мультимедиа по-прежнему проходит через VPN-туннель даже при наличии правильных маршрутов. Если вы столкнулись с этим сценарием, достаточно использовать правило брандмауэра, чтобы заблокировать IP-подсети или порты Teams от использования VPN.
Важно!
Чтобы обеспечить маршрутизацию медиа-трафика Teams с помощью требуемого метода во всех сценариях VPN, убедитесь, что пользователи работают с клиентом Microsoft Teams версии 1.3.00.13565 или более поздней. Эта версия включает улучшения в том, как клиент обнаруживает доступные сетевые пути.
Сигнальный трафик выполняется по протоколу HTTPS и не так чувствителен к задержке, как трафик мультимедиа, и помечается как Разрешить в данных URL-адреса или IP- адреса, поэтому при необходимости его можно безопасно направлять через VPN-клиент.
Примечание.
Microsoft Edge 96 и более поздних версий также поддерживает раздельное туннелирование VPN для однорангового трафика. Это означает, что клиенты могут воспользоваться преимуществами раздельного туннелирования VPN для веб-клиентов Teams на Edge, например. Пользователи, которые хотят настроить его для веб-сайтов, работающих в Edge, могут достичь этого, выполнив дополнительный шаг по отключению политики Edge WebRtcRespectOsRoutingTableEnabled .
Безопасность
Один из распространенных аргументов, чтобы избежать разделенных туннелей, заключается в том, что это менее безопасно, т. е. любой трафик, который не проходит через VPN-туннель, не выиграет от любой схемы шифрования, применяемой к VPN-туннелю, и, следовательно, менее безопасный.
Основным контраргументом этого является то, что медиа-трафик уже зашифрован с помощью безопасного транспортного протокола реального времени (SRTP), профиля транспортного протокола реального времени (RTP), который обеспечивает конфиденциальность, аутентификацию и защиту от атак повторного воспроизведения для трафика RTP. Сам SRTP использует случайно сгенерированный сеансовый ключ, которым обмениваются через защищенный канал сигнализации TLS. Это подробно описано в этом руководстве по безопасности, но основной раздел, представляющий интерес, - это шифрование мультимедиа.
Медиа-трафик шифруется с использованием SRTP, который использует сеансовый ключ, генерируемый безопасным генератором случайных чисел и обменивающийся с использованием канала TLS сигнализации. Кроме того, носитель, проходящий в обоих направлениях между сервером-посредником и его внутренним следующим участком, также шифруется с использованием SRTP.
Skype для бизнеса Online генерирует имя пользователя / пароли для безопасного доступа к медиа-ретрансляторам через обход через ретрансляторы NAT (TURN). Мультимедийное реле обмениваются именем пользователя/паролем через SIP-канал с поддержкой TLS. Стоит отметить, что хотя VPN-туннель может использоваться для подключения клиента к корпоративной сети, трафик по-прежнему должен поступать в форме SRTP, когда он покидает корпоративную сеть, чтобы добраться до службы.
Сведения о том, как Teams устраняет распространенные проблемы безопасности, такие как голосовые программы или программы обхода сеансов для атак с усилением NAT (STUN), можно найти в статье 5.1 Вопросы безопасности для разработчиков.
Вы также можете прочитать о современных средствах управления безопасностью в сценариях удаленной работы в разделе Альтернативные способы для специалистов по безопасности и ИТ для достижения современных средств управления безопасностью в сегодняшних уникальных сценариях удаленной работы (блог Microsoft Security Team).
Тестирование
После того как политика будет настроена, убедитесь, что она работает должным образом. Существует несколько способов проверки правильности установки пути для использования локального подключения к Интернету:
Запустите тест подключения Microsoft 365 , который будет выполнять тесты подключения, включая маршруты трассировки, как описано выше. Мы также добавляем в этот инструмент тесты VPN, которые также должны предоставить дополнительные аналитические сведения.
В простой трассировки к конечной точке в область разделенного туннеля должен отображаться путь, например:
tracert worldaz.tr.teams.microsoft.com
Затем вы увидите путь через локального провайдера к этой конечной точке, который должен разрешаться в IP-адрес в диапазонах Teams, настроенных для раздельного туннелирования.
Сделайте захват сети с помощью такого инструмента, как Wireshark. Отфильтруйте по UDP во время вызова, и вы увидите трафик, идущий на IP, в диапазоне Оптимизации Teams. Если vpn-туннель используется для этого трафика, трафик мультимедиа не будет виден в трассировке.
Дополнительные журналы поддержки
Если вам нужны дополнительные данные для устранения неполадок или вы запрашиваете помощь от службы поддержки Microsoft, получение следующей информации должно помочь вам ускорить поиск решения. Универсальный набор инструментов TroubleShooting Script службы поддержки Майкрософт Windows PowerShell универсальный набор инструментов Для сценариев для устранения неполадок может помочь вам собрать соответствующие журналы простым способом. Средство и инструкции по использованию можно найти, скачав TSS.zip здесь, а дополнительные сведения см. в статье Введение в набор инструментов TroubleShootingScript (TSS).
Статьи по теме
Обзор: раздельное туннелирование VPN для Microsoft 365
Реализация разделенного туннелирования VPN для Microsoft 365
Распространенные сценарии раздельного туннелирования VPN для Microsoft 365
Особые рекомендации по Stream и трансляциям в средах VPN
Оптимизация производительности Microsoft 365 для пользователей из Китая
Принципы сетевого подключения к Microsoft 365
Оценка сетевого подключения Microsoft 365
Настройка сети и производительности Microsoft 365
Запуск по VPN: как Microsoft поддерживает подключение своих удаленных сотрудников