VPN 분할 터널링을 위한 Teams 미디어 트래픽 보호
참고
이 문서는 원격 사용자를 위한 Microsoft 365 최적화를 다루는 문서 집합의 일부입니다.
- VPN 분할 터널링을 사용하여 원격 사용자를 위한 Microsoft 365 연결을 최적화하는 방법에 대한 개요는 개요: Microsoft 365용 VPN 분할 터널링을 참조하세요.
- VPN 분할 터널링을 구현하는 방법에 대한 자세한 지침은 Microsoft 365용 VPN 분할 터널링 구현을 참조하세요.
- VPN 분할 터널링 시나리오의 자세한 목록은 Microsoft 365에 대한 일반적인 VPN 분할 터널링 시나리오를 참조하세요.
- VPN 환경에서 Stream 및 라이브 이벤트를 구성하는 방법에 대한 자세한 내용은 VPN 환경에서 Stream 및 라이브 이벤트에 대한 특별 고려 사항을 참조하세요.
- 중국 사용자의 Microsoft 365 전 세계 테넌트 성능을 최적화하는 방법에 대한 자세한 내용은 중국 사용자를 위한 Microsoft 365 성능 최적화를 참조하세요.
일부 Microsoft Teams 관리자는 분할 터널링 모델을 사용하여 Teams에서 통화 흐름이 작동하는 방식과 연결의 보안을 유지하는 방법에 대한 자세한 정보가 필요할 수 있습니다.
구성
Teams 미디어에 필요한 최적화 IP 서브넷이 경로 테이블에 올바르게 배치되는 한, Teams가 GetBestRoute 함수를 호출하여 특정 대상에 사용해야 하는 경로에 해당하는 로컬 인터페이스를 결정하는 경우 위에 나열된 Microsoft IP 블록의 Microsoft 대상에 대해 로컬 인터페이스가 반환됩니다.
일부 VPN 클라이언트 소프트웨어는 URL을 기반으로 경로를 조작할 수 있습니다. 그러나 Teams 미디어 트래픽에는 연결된 URL이 없으므로 이 트래픽에 대한 경로 제어는 IP 서브넷을 사용하여 수행해야 합니다.
특정 시나리오에서 Teams 클라이언트 구성과 관련이 없는 경우가 많지만, 미디어 트래픽은 올바른 경로를 사용하는 경우에도 계속 VPN 터널을 통과합니다. 이 시나리오가 발생하는 경우 방화벽 규칙을 사용하여 Teams IP 서브넷 또는 포트가 VPN을 사용하지 못하도록 차단하는 것으로 충분합니다.
중요
모든 VPN 시나리오에서 Teams 미디어 트래픽이 원하는 방법을 통해 라우팅되도록 하려면 사용자가 Microsoft Teams 클라이언트 버전 1.3.00.13565 이상을 실행하고 있는지 확인하세요. 이 버전에는 클라이언트가 사용 가능한 네트워크 경로를 검색하는 방법이 개선되었습니다.
신호 트래픽은 HTTPS를 통해 수행되며 미디어 트래픽만큼 대기 시간이 중요하지 않으며 URL/IP 데이터에서 허용 으로 표시되므로 원하는 경우 VPN 클라이언트를 통해 안전하게 라우팅할 수 있습니다.
참고
Microsoft Edge 96 이상 에서는 피어 투 피어 트래픽에 대한 VPN 분할 터널링도 지원합니다. 즉, 고객은 Instance 위해 Edge의 Teams 웹 클라이언트에 대한 VPN 분할 터널링의 이점을 얻을 수 있습니다. Edge에서 실행되는 웹 사이트에 대해 설정하려는 고객은 Edge WebRtcRespectOsRoutingTableEnabled 정책을 사용하지 않도록 설정하는 추가 단계를 수행하여 이를 달성할 수 있습니다.
보안
분할 터널을 방지하기 위한 일반적인 인수 중 하나는 보안 수준이 낮다는 것입니다. 즉, VPN 터널을 통과하지 않는 트래픽은 VPN 터널에 적용되는 암호화 체계의 이점을 얻지 못하므로 보안이 떨어집니다.
이에 대한 주요 반론은 미디어 트래픽이 RTP(Real-Time Transport Protocol) 트래픽에 기밀유지, 인증 및 재생 공격으로부터 보호 기능을 제공하는 RTP 프로필인 보안 RTP(SRTP)를 사용하여 이미 암호화되어 있다는 것입니다. SRTP 자체는 TLS 보안 신호 채널을 통해 교환되는 임의로 생성된 세션 키에 의존합니다. 이에 대한 자세한 내용은 이 보안 가이드에 자세히 설명되어 있지만, 주된 관심 분야은 미디어 암호화입니다.
미디어 트래픽은 안전한 난수 생성기를 사용하여 생성되고 신호 TLS 채널을 사용하여 교환되는 세션 키를 사용하는 SRTP를 사용하여 암호화됩니다. 또한 중재 서버와 내부 다음 홉 사이에 양방향으로 흐르는 미디어도 SRTP를 사용하여 암호화됩니다.
비즈니스용 Skype 온라인은 TURN(NAT 주변의 릴레이를 사용한 트래버스)을 통해 미디어 릴레이에 안전하게 액세스할 수 있도록 사용자 이름/암호를 생성합니다. 미디어 릴레이는 TLS 보안 SIP 채널을 통해 사용자 이름/암호를 교환합니다. VPN 터널을 사용하여 클라이언트를 회사 네트워크에 연결할 수 있지만 서비스에 도달하기 위해 회사 네트워크를 떠날 때 트래픽은 여전히 SRTP 형식으로 전달되어야 합니다.
Teams가 음성 또는 STUN(Session Traversal Utilities for NAT) 증폭 공격과 같은 일반적인 보안 문제를 완화하는 방법에 대한 정보는 구현자에 대한 5.1 보안 고려 사항에서 찾을 수 있습니다.
원격 작업 시나리오에서 최신 보안 제어에 대한 자세한 내용은 보안 전문가와 IT가 오늘날의 고유한 원격 작업 시나리오에서 최신 보안 제어를 달성할 수 있는 다른 방법(Microsoft 보안팀 블로그)에서 알아볼 수 있습니다.
테스트
정책이 적용되면 예상대로 작동하는지 확인해야 합니다. 경로가 로컬 인터넷 연결을 사용하도록 올바르게 설정되었는지 테스트하는 방법에는 여러 가지가 있습니다.
위에서와 같이 추적 경로를 포함하여 연결 테스트를 실행하는 Microsoft 365 연결 테스트를 실행합니다. 또한 추가 인사이트를 제공해야 하는 이 도구에 VPN 테스트를 추가하고 있습니다.
분할 터널의 scope 내의 엔드포인트에 대한 간단한 추적은 수행된 경로를 보여 줘야 합니다. 예를 들면 다음과 같습니다.
tracert worldaz.tr.teams.microsoft.com그런 다음, 분할 터널링을 위해 구성한 Teams 범위의 IP에 resolve 로컬 ISP를 통해 이 엔드포인트로 가는 경로가 표시됩니다.
Wireshark와 같은 도구를 사용하여 네트워크 캡처를 수행합니다. 호출 동안 UDP를 필터링하면 Teams 최적화 범위에서 트래픽이 IP로 흐르는 것을 볼 수 있습니다. 이 트래픽에 VPN 터널을 사용하는 경우 미디어 트래픽이 추적에 표시되지 않습니다.
추가 지원 로그
문제를 해결하기 위해 더 많은 데이터가 필요하거나 Microsoft 지원 서비스에 도움을 요청하는 경우 다음 정보를 확인하여 신속하게 해결 방법을 찾을 수 있습니다. Microsoft 지원의 TSS Windows PowerShell 기반 범용 문제 해결 스크립트 도구 집합은 간단한 방식으로 관련 로그를 수집하는 데 도움이 될 수 있습니다. 이 도구 및 사용 지침은 여기에서 TSS.zip 다운로드하고TSS(TroubleShootingScript 도구 집합) 소개 에서 추가 정보를 확인할 수 있습니다.
관련 문서
Microsoft 365에 대한 일반적인 VPN 분할 터널링 시나리오
VPN 환경의 Stream 및 라이브 이벤트에 대한 특별 고려 사항
중국 사용자를 위한 Microsoft 365 성능 최적화
보안 전문가와 IT가 오늘날의 고유한 원격 작업 시나리오에서 최신 보안 제어를 달성할 수 있는 다른 방법(Microsoft 보안팀 블로그)
Microsoft에서 VPN 성능 향상: Windows 10 VPN 프로필을 사용하여 자동 연결 허용