Compartir a través de


Protección del tráfico multimedia Teams para la tunelización dividida VPN

Nota:

Este artículo forma parte de un conjunto de artículos que abordan la optimización de Microsoft 365 para usuarios remotos.

Algunos administradores de Microsoft Teams pueden requerir información detallada sobre cómo funcionan los flujos de llamadas en Teams mediante un modelo de tunelización dividida y cómo se protegen las conexiones.

Configuración

En el caso de las llamadas y reuniones, siempre y cuando las subredes IP necesarias para los medios de Teams estén correctamente implementadas en la tabla de rutas, cuando Teams llame a la función GetBestRoute para determinar qué interfaz local corresponde a la ruta que debe usar para un destino determinado, se devolverá la interfaz local para los destinos de Microsoft en los bloques IP de Microsoft enumerados anteriormente.

Algunos programas de cliente de VPN permiten la manipulación del enrutamiento en función de la dirección URL. Pero el tráfico multimedia de Teams no tiene una dirección URL asociada, por lo que el control del enrutamiento para este tráfico tiene que realizarse mediante subredes IP.

En determinadas situaciones, a menudo no relacionadas con la configuración del cliente de Teams, el tráfico multimedia atraviesa igualmente el túnel de VPN aunque se hayan dispuesto las rutas correctas. Si encuentra este escenario, debe bastar con usar una regla de firewall para impedir que las subredes o puertos IP de Teams usen la VPN.

Importante

Para asegurarse de que el tráfico multimedia de Teams se enruta a través del método deseado en todos los escenarios de VPN, asegúrese de que los usuarios ejecutan la versión de cliente de Microsoft Teams 1.3.00.13565 o posterior. Esta versión incluye mejoras en la forma en que el cliente detecta las rutas de acceso de red disponibles.

El tráfico de señalización se realiza a través de HTTPS y no es tan sensible a la latencia como el tráfico multimedia y se marca como Permitir en los datos de DIRECCIÓN URL/IP y, por tanto, se puede enrutar de forma segura a través del cliente VPN si lo desea.

Nota:

Microsoft Edge 96 y versiones posteriores también admiten la tunelización dividida de VPN para el tráfico punto a punto. Esto significa que los clientes pueden beneficiarse de la tunelización dividida de VPN para clientes web de Teams en Edge, por ejemplo. Los clientes que quieran configurarlo para sitios web que se ejecutan en Edge pueden lograrlo si toman el paso adicional de deshabilitar la directiva Edge WebRtcRespectOsRoutingTableEnabled .

Seguridad

Un argumento común para evitar túneles divididos es que es menos seguro hacerlo, es decir, cualquier tráfico que no pase por el túnel VPN no se beneficiará de cualquier esquema de cifrado que se aplique al túnel VPN y, por tanto, es menos seguro.

El principal argumento contra esta idea es que el tráfico multimedia ya está cifrado mediante protocolo de transporte en tiempo real seguro (SRTP), un perfil del protocolo de transporte en tiempo real (RTP) que proporciona confidencialidad, autenticación y protección contra ataques de reproducciones al tráfico RTP. SRTP se basa en una clave de sesión generada al azar, que se intercambia mediante el canal de señalización protegida de TLS. Este se trata de forma detallada en esta guía de seguridad, pero la sección principal de interés es el cifrado multimedia.

El tráfico multimedia se cifra con SRTP, que usa una clave de sesión generada por un generador de números aleatorios seguros y se intercambia con el canal TLS de señalización. Además, el contenido multimedia que fluye en ambas direcciones entre el servidor de mediación y el próximo salto interno también se cifra con SRTP.

Skype Empresarial Online genera nombres de usuario o contraseñas para proteger el acceso a relés multimedia mediante retransmisiones de uso de recorrido por NAT (TURN). Los relés multimedia intercambian el nombre de usuario/contraseña a través de un canal SIP protegido con TLS. Vale la pena señalar que, aunque se pueda usar un túnel VPN para conectar el cliente a la red corporativa, el tráfico todavía debe fluir en su forma SRTP cuando sale de la red corporativa para llegar al servicio.

Puede encontrar información sobre cómo Teams mitiga problemas comunes de seguridad, como las utilidades de voz o de recorrido de sesión para ataques de amplificación NAT (STUN), en Consideraciones de seguridad 5.1 para los implementadores.

También podrá obtener más información acerca de los controles de seguridad modernos en los escenarios de trabajo remoto en Formas alternativas para que los profesionales de seguridad y de TI logren controles de seguridad modernos en los escenarios de trabajo remoto de hoy día (blog del Equipo de seguridad de Microsoft).

Pruebas

Una vez implementada la directiva, debe confirmar que funciona según lo esperado. Hay varias formas de probar si la ruta de acceso se ha configurado correctamente para usar la conexión a Internet local:

  • Ejecute la prueba de conectividad de Microsoft 365 que ejecutará pruebas de conectividad para usted, incluidas las rutas de seguimiento como se mencionó anteriormente. También vamos a agregar pruebas VPN a esta herramienta que también debe proporcionar información adicional.

  • Un seguimiento simple a un punto de conexión dentro del ámbito del túnel dividido debe mostrar la ruta de acceso tomada, por ejemplo:

    tracert worldaz.tr.teams.microsoft.com
    

    A continuación, debería ver una ruta de acceso a través del ISP local a este punto de conexión que debe resolverse en una dirección IP en los intervalos de Teams que hemos configurado para la tunelización dividida.

  • Realice una captura de red con una herramienta como Wireshark. Filtre por UDP durante una llamada y debería ver el tráfico que fluye a una dirección IP en el intervalo Optimizar de Teams. Si el túnel VPN se usa para este tráfico, el tráfico multimedia no será visible en el seguimiento.

Registros de soporte adicional

Si necesita más datos para solucionar problemas o bien asistencia del soporte técnico de Microsoft, la obtención de la siguiente información le permite acelerar la búsqueda de una solución. El conjunto de herramientas TSS Windows PowerShell universal de Scripts troubleShooting del soporte técnico de Microsoft puede ayudarle a recopilar los registros pertinentes de forma sencilla. Para encontrar la herramienta y las instrucciones de uso, descargue TSS.zip aquí e información adicional en Introducción al conjunto de herramientas TroubleShootingScript (TSS).

Información general: Túnel dividido de VPN para Microsoft 365

Implementación de la tunelización dividida de VPN para Microsoft 365

Escenarios comunes de tunelización dividida de VPN para Microsoft 365

Consideraciones especiales para eventos Stream y en directo en entornos VPN

Optimización del rendimiento de Microsoft 365 para usuarios de China

Principios de conectividad de red de Microsoft 365

Evaluar la conectividad de red de Microsoft 365

Optimización de rendimiento y red de Microsoft 365

Formas alternativas para que los profesionales de seguridad y de TI logren controles de seguridad modernos en los escenarios de trabajo remoto específicos (blog del Equipo de Seguridad de Microsoft)

Mejorando el rendimiento de la VPN en Microsoft: usando perfiles de VPN de Windows 10 para permitir conexiones automáticas

Funcionando con VPN: cómo Microsoft mantiene conectado a su personal remoto

Red global de Microsoft