Delen via


Teams-mediaverkeer beveiligen voor gesplitste VPN-tunneling

Opmerking

Dit artikel maakt deel uit van een reeks artikelen over Microsoft 365-optimalisatie voor externe gebruikers.

Sommige Microsoft Teams-beheerders hebben mogelijk gedetailleerde informatie nodig over hoe oproepstromen werken in Teams met behulp van een split tunneling-model en hoe verbindingen worden beveiligd.

Configuratie

Voor zowel gesprekken als vergaderingen, zolang de vereiste IP-subnetten optimaliseren voor Teams-media correct aanwezig zijn in de routetabel, en wanneer Teams de functie GetBestRoute aanroept om te bepalen welke lokale interface overeenkomt met de route die voor een bepaalde bestemming moet worden gebruikt, wordt de lokale interface geretourneerd voor Microsoft-bestemmingen in de microsoft IP-blokken die hierboven worden vermeld.

Sommige VPN-clientsoftware staat routeringsmanipulatie toe op basis van URL. Er is echter geen URL aan teams-mediaverkeer gekoppeld, dus het beheer van de routering voor dit verkeer moet worden uitgevoerd met behulp van IP-subnetten.

In bepaalde scenario's, vaak niet gerelateerd aan de configuratie van de Teams-client, gaat het mediaverkeer nog steeds door de VPN-tunnel, zelfs met de juiste routes. Als u dit scenario tegenkomt, moet het gebruik van een firewallregel volstaan om de IP-subnetten of -poorten van Teams te blokkeren voor het gebruik van het VPN.

Belangrijk

Zorg ervoor dat gebruikers Microsoft Teams-clientversie 1.3.00.13565 of hoger gebruiken om ervoor te zorgen dat het mediaverkeer van Teams wordt gerouteerd via de gewenste methode in alle VPN-scenario's. Deze versie bevat verbeteringen in de wijze waarop de client beschikbare netwerkpaden detecteert.

Signaleringsverkeer wordt uitgevoerd via HTTPS en is niet zo latentiegevoelig als het mediaverkeer en wordt gemarkeerd als Toestaan in de URL/IP-gegevens en kan dus indien gewenst veilig worden gerouteerd via de VPN-client.

Opmerking

Microsoft Edge 96 en hoger biedt ook ondersteuning voor vpn-split tunneling voor peer-to-peerverkeer. Dit betekent dat klanten kunnen profiteren van vpn-split tunneling voor Teams-webclients in Edge, bijvoorbeeld. Klanten die dit willen instellen voor websites die op Edge worden uitgevoerd, kunnen dit bereiken door de extra stap uit te voeren van het beleid Edge WebRtcRespectOsRoutingTableEnabled .

Beveiliging

Een veelvoorkomend argument voor het voorkomen van gesplitste tunnels is dat het minder veilig is om dit te doen, d.w.z. verkeer dat niet via de VPN-tunnel gaat, profiteert niet van het versleutelingsschema dat wordt toegepast op de VPN-tunnel en is daarom minder veilig.

Het belangrijkste tegenargument hiervoor is dat mediaverkeer al is versleuteld via Secure Real-Time Transport Protocol (SRTP), een profiel van Real-Time Transport Protocol (RTP) dat vertrouwelijkheid, verificatie en bescherming tegen aanvallen voor RTP-verkeer biedt. SRTP is zelf afhankelijk van een willekeurig gegenereerde sessiesleutel, die wordt uitgewisseld via het met TLS beveiligde signaleringskanaal. Dit wordt uitgebreid beschreven in deze beveiligingshandleiding, maar de belangrijkste sectie van belang is mediaversleuteling.

Mediaverkeer wordt versleuteld met SRTP, dat gebruikmaakt van een sessiesleutel die wordt gegenereerd door een veilige generator voor willekeurige getallen en wordt uitgewisseld met behulp van het TLS-kanaal voor signalering. Bovendien worden media die in beide richtingen stromen tussen de mediationserver en de interne volgende hop ook versleuteld met BEHULP van SRTP.

Skype voor Bedrijven Online genereert gebruikersnaam/wachtwoorden voor beveiligde toegang tot media relays via Traversal using Relays around NAT (TURN). Media relays wisselen de gebruikersnaam/het wachtwoord uit via een MET TLS beveiligd SIP-kanaal. Het is vermeldenswaardig dat hoewel een VPN-tunnel kan worden gebruikt om de client te verbinden met het bedrijfsnetwerk, het verkeer nog steeds in de SRTP-vorm moet stromen wanneer het het bedrijfsnetwerk verlaat om de service te bereiken.

Informatie over hoe Teams veelvoorkomende beveiligingsproblemen vermindert, zoals spraak- of session traversal-hulpprogramma's voor STUN-versterkingsaanvallen (NAT), vindt u in 5.1 Beveiligingsoverwegingen voor implementanten.

U kunt ook lezen over moderne beveiligingsbesturingselementen in scenario's voor extern werken op Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingscontroles te bereiken in de unieke scenario's voor extern werk (Blog van Microsoft Security Team).

Testen

Zodra het beleid is ingesteld, moet u bevestigen dat het werkt zoals verwacht. Er zijn meerdere manieren om te testen of het pad correct is ingesteld voor het gebruik van de lokale internetverbinding:

  • Voer de Microsoft 365-connectiviteitstest uit waarmee connectiviteitstests voor u worden uitgevoerd, inclusief traceringsroutes zoals hierboven beschreven. We voegen ook VPN-tests toe aan deze tooling die ook aanvullende inzichten moeten bieden.

  • Een eenvoudige tracert naar een eindpunt binnen het bereik van de gesplitste tunnel moet het gevolgde pad weergeven, bijvoorbeeld:

    tracert worldaz.tr.teams.microsoft.com
    

    Vervolgens ziet u een pad via de lokale internetprovider naar dit eindpunt dat moet worden omgezet in een IP-adres in de Teams-bereiken die we hebben geconfigureerd voor split tunneling.

  • Maak een netwerkopname met behulp van een hulpprogramma zoals Wireshark. Filter tijdens een gesprek op UDP en u ziet dat verkeer naar een IP in het bereik Van Teams Optimaliseren stroomt. Als de VPN-tunnel wordt gebruikt voor dit verkeer, is het mediaverkeer niet zichtbaar in de tracering.

Aanvullende ondersteuningslogboeken

Als u meer gegevens nodig hebt om problemen op te lossen of hulp nodig hebt van Microsoft-ondersteuning, kunt u sneller een oplossing vinden door de volgende informatie te verkrijgen. De op TSS Windows PowerShell gebaseerde universele hulpprogramma's voor probleemoplossingsscript van Microsoft-ondersteuning kunnen u helpen om de relevante logboeken op een eenvoudige manier te verzamelen. Het hulpprogramma en de gebruiksinstructies vindt u hier TSS.zip en aanvullende informatie op Introduction to TroubleShootingScript toolset (TSS).

Overzicht: VPN split tunneling voor Microsoft 365

VPN split tunneling implementeren voor Microsoft 365

Veelvoorkomende scenario's voor vpn-split tunneling voor Microsoft 365

Speciale overwegingen voor Stream en livegebeurtenissen in VPN-omgevingen

Microsoft 365-prestatieoptimalisatie voor China-gebruikers

Microsoft 365-netwerkconnectiviteitsprincipes

Microsoft 365-netwerkverbindingen evalueren

Microsoft 365-netwerk en prestaties afstemmen

Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingscontroles te realiseren in de huidige unieke scenario's voor extern werken (Microsoft Security Team-blog)

VPN-prestaties bij Microsoft verbeteren: Windows 10 VPN-profielen gebruiken om automatische verbindingen toe te staan

Uitvoeren op VPN: hoe Microsoft zijn externe werknemers verbonden houdt

Wereldwijd netwerk van Microsoft