保护用于 VPN 拆分隧道的 Teams 媒体流量
注意
本文属于解决远程用户 Microsoft 365 优化问题的系列文章。
- 有关使用 VPN 拆分隧道为远程用户优化 Microsoft 365 连接的概述,请参阅概述:Microsoft 365 的 VPN 拆分隧道。
- 有关实现 VPN 拆分隧道的详细指南,请参阅为 Microsoft 365 实现 VPN 拆分隧道。
- 有关 VPN 拆分隧道方案的详细列表,请参阅适用于 Microsoft 365 的 常见 VPN 拆分隧道方案。
- 有关如何在 VPN 环境中配置 Stream 和实时事件的信息,请参阅 VPN 环境中的 Stream 和实时事件的特定注意事项。
- 有关为中国用户优化 Microsoft 365 全球租户性能的信息,请参阅 适用于中国用户的 Microsoft 365 性能优化。
某些 Microsoft Teams 管理员可能需要详细了解如何使用拆分隧道模型在 Teams 中运行呼叫流以及如何保护连接。
配置
对于通话和会议,只要在路由表中正确设置 Teams 媒体所需的“优化 IP 子网”,当 Teams 调用 GetBestRoute 函数以确定哪个本地接口对应于它应用于特定目标的路由时,将为上面列出的 Microsoft IP 块中的 Microsoft 目标返回本地接口。
某些 VPN 客户端软件允许基于 URL 进行路由操作。 但是,Teams 媒体流量没有与之关联的 URL,因此必须使用 IP 子网来控制此流量路由。
在某些情况下(通常与 Teams 客户端配置无关),即使有正确的路由,媒体流量仍会遍历 VPN 隧道。 如果遇到这种情况,则使用防火墙规则阻止 Teams IP 子网或端口使用 VPN 就足够了。
重要
若要确保在所有 VPN 方案中通过所需方法路由 Teams 媒体流量,请确保用户运行的是 Microsoft Teams 客户端版本 1.3.00.13565 或更高版本。 此版本包括客户端检测可用网络路径的方式的改进。
信令流量通过 HTTPS 执行,并且不像媒体流量那样对延迟敏感,在 URL/IP 数据中标记为 “允许 ”,因此可以根据需要安全地通过 VPN 客户端进行路由。
注意
Microsoft Edge 96 及更高版本 还支持对等流量的 VPN 拆分隧道。 这意味着客户可以受益于 Edge 上的 Teams Web 客户端的 VPN 拆分隧道。 想要为在 Edge 上运行的网站设置它的客户可以通过执行禁用 Edge WebRtcRespectOsRoutingTableEnabled 策略的额外步骤来实现它。
安全性
避免拆分隧道的一个常见论点是这样做不太安全,即任何未通过 VPN 隧道的流量都不会受益于应用于 VPN 隧道的任何加密方案,因此安全性较低。
对此的主要反对意见是,媒体流量已经通过安全实时传输协议 (SRTP) 进行了加密,该协议是实时传输协议 (RTP) 的一个配置文件,它为 RTP 流量提供保密性、身份验证和重播攻击保护。 SRTP 本身依赖于随机生成的会话密钥,该密钥通过 TLS 安全信令通道进行交换。 本安全指南中详细介绍了这一点,但主要部分是媒体加密。
媒体流量是使用 SRTP 加密的,SRTP 使用安全随机数生成器生成的会话密钥,并使用信令 TLS 通道进行交换。 此外,在中介服务器和其内部下一个跃点之间的双向媒体也使用 SRTP 进行加密。
Skype for Business Online 生成用户名/密码,可用于通过围绕 NAT 使用中继遍历 (TURN) 来安全访问媒体中继。 媒体中继通过 TLS 安全 SIP 信道交换用户名/密码。 值得注意的是,即使 VPN 隧道可用于将客户端连接到公司网络,但当流量离开公司网络以到达服务时,仍需要以 SRTP 形式流动。
有关 Teams 如何缓解常见安全问题的信息,例如 NAT (STUN) 放大攻击的语音或会话遍历实用工具,请参阅 实施者的 5.1 安全注意事项。
还可以阅读有关远程工作场景中的新式安全控制:安全专业人员和 IT 人员在当前独特的远程工作场景中实现新式安全控制的替代方法(Microsoft 安全团队博客)
测试
策略到位后,应确认它按预期工作。 可通过多种方法来测试路径是否已正确设置为使用本地 Internet 连接:
运行 Microsoft 365 连接测试 ,它将为你运行连接测试,包括上述跟踪路由。 我们还将 VPN 测试添加到此工具中,该工具还应提供其他见解。
拆分隧道范围内终结点的简单 跟踪应 显示采用的路径,例如:
tracert worldaz.tr.teams.microsoft.com然后,你应该会看到一个通过本地 ISP 指向此终结点的路径,该路径应解析为已配置拆分隧道的 Teams 范围内的 IP。
以使用 Wireshark 之类的工具进行网络捕获为例。 在呼叫期间筛选 UDP,应看到流量流向 Teams 优化范围中的 IP。 如果 VPN 隧道用于此流量,则媒体流量在跟踪中不可见。
其他支持日志
如果需要更多数据来排除故障,或正在请求 Microsoft 支持部门的协助,获取以下信息可帮助你加快查找解决方案。 Microsoft 支持部门 基于 TSS Windows CMD 的通用故障排除脚本工具集 可以帮助你以简单的方式收集相关日志。 有关使用的工具和说明, https://aka.ms/TssTools请参阅 。
相关文章
安全专业人员和 IT 人员在当前独特的远程工作场景中实现新式安全控制的替代方法(Microsoft 安全团队博客)
反馈
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈