Teams-mediaverkeer beveiligen voor gesplitste VPN-tunneling
Opmerking
Dit artikel maakt deel uit van een reeks artikelen over Microsoft 365-optimalisatie voor externe gebruikers.
- Zie Overzicht: VPN split tunneling voor Microsoft 365 voor een overzicht van het gebruik van VPN split tunneling om Microsoft 365-connectiviteit te optimaliseren voor externe gebruikers.
- Zie Vpn split tunneling implementeren voor Microsoft 365 voor gedetailleerde richtlijnen voor het implementeren van VPN split tunneling.
- Zie Algemene scenario's voor gesplitste VPN-tunneling voor Microsoft 365 voor een gedetailleerde lijst met scenario's voor gesplitste VPN-tunneling.
- Zie Speciale overwegingen voor Stream en livegebeurtenissen in VPN-omgevingen voor meer informatie over het configureren van Stream en livegebeurtenissen in VPN-omgevingen.
- Zie Optimalisatie van Microsoft 365-prestaties voor Gebruikers in China voor meer informatie over het optimaliseren van microsoft 365-tenantprestaties voor gebruikers in China.
Sommige Microsoft Teams-beheerders hebben mogelijk gedetailleerde informatie nodig over hoe oproepstromen werken in Teams met behulp van een split tunneling-model en hoe verbindingen worden beveiligd.
Configuratie
Voor zowel gesprekken als vergaderingen, zolang de vereiste IP-subnetten optimaliseren voor Teams-media correct aanwezig zijn in de routetabel, en wanneer Teams de functie GetBestRoute aanroept om te bepalen welke lokale interface overeenkomt met de route die voor een bepaalde bestemming moet worden gebruikt, wordt de lokale interface geretourneerd voor Microsoft-bestemmingen in de microsoft IP-blokken die hierboven worden vermeld.
Sommige VPN-clientsoftware staat routeringsmanipulatie toe op basis van URL. Er is echter geen URL aan teams-mediaverkeer gekoppeld, dus het beheer van de routering voor dit verkeer moet worden uitgevoerd met behulp van IP-subnetten.
In bepaalde scenario's, vaak niet gerelateerd aan de configuratie van de Teams-client, gaat het mediaverkeer nog steeds door de VPN-tunnel, zelfs met de juiste routes. Als u dit scenario tegenkomt, moet het gebruik van een firewallregel volstaan om de IP-subnetten of -poorten van Teams te blokkeren voor het gebruik van het VPN.
Belangrijk
Zorg ervoor dat gebruikers Microsoft Teams-clientversie 1.3.00.13565 of hoger gebruiken om ervoor te zorgen dat het mediaverkeer van Teams wordt gerouteerd via de gewenste methode in alle VPN-scenario's. Deze versie bevat verbeteringen in de wijze waarop de client beschikbare netwerkpaden detecteert.
Signaleringsverkeer wordt uitgevoerd via HTTPS en is niet zo latentiegevoelig als het mediaverkeer en wordt gemarkeerd als Toestaan in de URL/IP-gegevens en kan dus indien gewenst veilig worden gerouteerd via de VPN-client.
Opmerking
Microsoft Edge 96 en hoger biedt ook ondersteuning voor vpn-split tunneling voor peer-to-peerverkeer. Dit betekent dat klanten kunnen profiteren van vpn-split tunneling voor Teams-webclients in Edge, bijvoorbeeld. Klanten die dit willen instellen voor websites die op Edge worden uitgevoerd, kunnen dit bereiken door de extra stap uit te voeren van het beleid Edge WebRtcRespectOsRoutingTableEnabled .
Beveiliging
Een veelvoorkomend argument voor het voorkomen van gesplitste tunnels is dat het minder veilig is om dit te doen, d.w.z. verkeer dat niet via de VPN-tunnel gaat, profiteert niet van het versleutelingsschema dat wordt toegepast op de VPN-tunnel en is daarom minder veilig.
Het belangrijkste tegenargument hiervoor is dat mediaverkeer al is versleuteld via Secure Real-Time Transport Protocol (SRTP), een profiel van Real-Time Transport Protocol (RTP) dat vertrouwelijkheid, verificatie en bescherming tegen aanvallen voor RTP-verkeer biedt. SRTP is zelf afhankelijk van een willekeurig gegenereerde sessiesleutel, die wordt uitgewisseld via het met TLS beveiligde signaleringskanaal. Dit wordt uitgebreid beschreven in deze beveiligingshandleiding, maar de belangrijkste sectie van belang is mediaversleuteling.
Mediaverkeer wordt versleuteld met SRTP, dat gebruikmaakt van een sessiesleutel die wordt gegenereerd door een veilige generator voor willekeurige getallen en wordt uitgewisseld met behulp van het TLS-kanaal voor signalering. Bovendien worden media die in beide richtingen stromen tussen de mediationserver en de interne volgende hop ook versleuteld met BEHULP van SRTP.
Skype voor Bedrijven Online genereert gebruikersnaam/wachtwoorden voor beveiligde toegang tot media relays via Traversal using Relays around NAT (TURN). Media relays wisselen de gebruikersnaam/het wachtwoord uit via een MET TLS beveiligd SIP-kanaal. Het is vermeldenswaardig dat hoewel een VPN-tunnel kan worden gebruikt om de client te verbinden met het bedrijfsnetwerk, het verkeer nog steeds in de SRTP-vorm moet stromen wanneer het het bedrijfsnetwerk verlaat om de service te bereiken.
Informatie over hoe Teams veelvoorkomende beveiligingsproblemen vermindert, zoals spraak- of session traversal-hulpprogramma's voor STUN-versterkingsaanvallen (NAT), vindt u in 5.1 Beveiligingsoverwegingen voor implementanten.
U kunt ook lezen over moderne beveiligingsbesturingselementen in scenario's voor extern werken op Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingscontroles te bereiken in de unieke scenario's voor extern werk (Blog van Microsoft Security Team).
Testen
Zodra het beleid is ingesteld, moet u bevestigen dat het werkt zoals verwacht. Er zijn meerdere manieren om te testen of het pad correct is ingesteld voor het gebruik van de lokale internetverbinding:
Voer de Microsoft 365-connectiviteitstest uit waarmee connectiviteitstests voor u worden uitgevoerd, inclusief traceringsroutes zoals hierboven beschreven. We voegen ook VPN-tests toe aan deze tooling die ook aanvullende inzichten moeten bieden.
Een eenvoudige tracert naar een eindpunt binnen het bereik van de gesplitste tunnel moet het gevolgde pad weergeven, bijvoorbeeld:
tracert worldaz.tr.teams.microsoft.com
Vervolgens ziet u een pad via de lokale internetprovider naar dit eindpunt dat moet worden omgezet in een IP-adres in de Teams-bereiken die we hebben geconfigureerd voor split tunneling.
Maak een netwerkopname met behulp van een hulpprogramma zoals Wireshark. Filter tijdens een gesprek op UDP en u ziet dat verkeer naar een IP in het bereik Van Teams Optimaliseren stroomt. Als de VPN-tunnel wordt gebruikt voor dit verkeer, is het mediaverkeer niet zichtbaar in de tracering.
Aanvullende ondersteuningslogboeken
Als u meer gegevens nodig hebt om problemen op te lossen of hulp nodig hebt van Microsoft-ondersteuning, kunt u sneller een oplossing vinden door de volgende informatie te verkrijgen. De op TSS Windows PowerShell gebaseerde universele hulpprogramma's voor probleemoplossingsscript van Microsoft-ondersteuning kunnen u helpen om de relevante logboeken op een eenvoudige manier te verzamelen. Het hulpprogramma en de gebruiksinstructies vindt u hier TSS.zip en aanvullende informatie op Introduction to TroubleShootingScript toolset (TSS).
Verwante artikelen
Overzicht: VPN split tunneling voor Microsoft 365
VPN split tunneling implementeren voor Microsoft 365
Veelvoorkomende scenario's voor vpn-split tunneling voor Microsoft 365
Speciale overwegingen voor Stream en livegebeurtenissen in VPN-omgevingen
Microsoft 365-prestatieoptimalisatie voor China-gebruikers
Microsoft 365-netwerkconnectiviteitsprincipes
Microsoft 365-netwerkverbindingen evalueren
Microsoft 365-netwerk en prestaties afstemmen
Uitvoeren op VPN: hoe Microsoft zijn externe werknemers verbonden houdt