VPN bölünmüş tüneli için Teams medya trafiğinin güvenliğini sağlama

Bazı Microsoft Teams yöneticileri, bölünmüş tünel modeli kullanarak arama akışlarının Teams'de nasıl çalıştığı ve bağlantıların nasıl güvenli olduğu hakkında ayrıntılı bilgi gerektirebilir.

Yapılandırma

Hem çağrılar hem de toplantılar için, yönlendirme tablosunda gerekli Ip alt ağlarını iyileştirme rota tablosunda doğru şekilde yer aldığı sürece, Teams belirli bir hedef için hangi yerel arabirimin kullanması gerektiğini belirlemek için GetBestRoute işlevini çağırdığında, yukarıda listelenen Microsoft IP bloklarındaki Microsoft hedefleri için yerel arabirim döndürülür.

Bazı VPN istemci yazılımları, URL'ye göre yönlendirme düzenlemesine izin verir. Ancak, Teams medya trafiğinin kendisiyle ilişkilendirilmiş BIR URL'si yoktur, bu nedenle bu trafik için yönlendirme denetiminin IP alt ağları kullanılarak yapılması gerekir.

Teams istemci yapılandırmasıyla ilgili olmayan bazı senaryolarda, medya trafiği doğru rotalar olsa bile VPN tünelinden geçmeye devam eder. Bu senaryoyla karşılaşırsanız Teams IP alt ağlarının veya bağlantı noktalarının VPN kullanmasını engellemek için bir güvenlik duvarı kuralı kullanmanız yeterli olacaktır.

Sinyal trafiği HTTPS üzerinden gerçekleştirilir ve medya trafiği kadar gecikme süresine duyarlı değildir ve URL/IP verilerinde İzin Ver olarak işaretlenir ve bu nedenle isterseniz VPN istemcisi üzerinden güvenli bir şekilde yönlendirilebilir.

Güvenlik

Bölünmüş tünellerden kaçınmanın yaygın bağımsız değişkenlerinden biri, Bunun daha az güvenli olmasıdır; örneğin VPN tünelinden gitmeyen trafik, VPN tüneline uygulanan şifreleme şemasından yararlanmaz ve bu nedenle daha az güvenlidir.

Bunun ana karşı bağımsız değişkeni, medya trafiğinin RTP trafiğine gizlilik, kimlik doğrulaması ve yeniden yürütme saldırısı koruması sağlayan bir Real-Time Aktarım Protokolü (RTP) profili olan Güvenli Real-Time Aktarım Protokolü ( SRTP) aracılığıyla şifrelendiğidir. SRTP'nin kendisi, TLS güvenli sinyal kanalı aracılığıyla değiştirilen rastgele oluşturulmuş bir oturum anahtarına dayanır. Bu güvenlik kılavuzunda bu konu ayrıntılı olarak ele alınmıştır, ancak asıl ilgi alanı medya şifrelemesi bölümüdür.

Medya trafiği, güvenli bir rastgele sayı oluşturucu tarafından oluşturulan bir oturum anahtarı kullanan ve sinyal veren TLS kanalı kullanılarak değiştirilen SRTP kullanılarak şifrelenir. Ayrıca, Mediation Sunucusu ile iç sonraki atlama arasında her iki yönde akan medya da SRTP kullanılarak şifrelenir.

Skype Kurumsal Online, NAT Çevresindeki Geçişleri Kullanarak Geçişler (TURN) üzerinden medya geçişlerine güvenli erişim için kullanıcı adı/parolalar oluşturur. Medya geçişleri, kullanıcı adını/parolayı TLS güvenli bir SIP kanalı üzerinden değiştirir. İstemciyi şirket ağına bağlamak için bir VPN tüneli kullanılsa da, hizmete ulaşmak için şirket ağından ayrıldığında trafiğin yine de SRTP biçiminde akması gerektiğini belirtmek gerekir.

Teams'in NAT (STUN) amplifikasyon saldırıları için ses veya Oturum Geçişi Yardımcı Programları gibi yaygın güvenlik sorunlarını nasıl azaltacağıyla ilgili bilgiler 5.1 Uygulayıcılar için GüvenlikLe İlgili Dikkat Edilmesi Gerekenler bölümünde bulunabilir.

Ayrıca, uzaktan çalışma senaryolarındaki modern güvenlik denetimleri hakkında bilgi edinmek için güvenlik uzmanları ve BT'nin günümüzün benzersiz uzaktan çalışma senaryolarında modern güvenlik denetimlerine ulaşmanın alternatif yolları (Microsoft Güvenlik Ekibi blogu) makalesini de okuyabilirsiniz.

Test etme

İlke gerçekleştikten sonra Beklendiği gibi çalıştığını onaylamanız gerekir. Yolun yerel İnternet bağlantısını kullanacak şekilde doğru şekilde ayarlandığını test etmenin birden çok yolu vardır:

• Yukarıdaki gibi izleme yolları da dahil olmak üzere bağlantı testlerini sizin için çalıştıracak Microsoft 365 bağlantı testini çalıştırın. Ayrıca ek içgörüler sağlaması gereken vpn testlerini de bu araçlara ekliyoruz.

• Bölünmüş tünel kapsamındaki bir uç noktaya yönelik basit bir tracert , alınan yolu göstermelidir, örneğin:

  tracert worldaz.tr.teams.microsoft.com
  

  Ardından yerel ISS üzerinden bu uç noktaya giden ve bölünmüş tünel için yapılandırdığımız Teams aralıklarındaki bir IP'ye çözümlenmesi gereken bir yol görmeniz gerekir.

• Wireshark gibi bir araç kullanarak ağ yakalaması yapın. Arama sırasında UDP'ye filtre uygularsanız Teams İyileştirme aralığında trafiğin bir IP'ye aktığını görmeniz gerekir. Bu trafik için VPN tüneli kullanılıyorsa, medya trafiği izlemede görünmez.

Ek destek günlükleri

Sorun gidermek için daha fazla veriye ihtiyacınız varsa veya Microsoft desteğinden yardım istiyorsanız, aşağıdaki bilgileri almak çözüm bulma işlemini hızlandırmanıza olanak sağlamalıdır. Microsoft desteğinin TSS Windows PowerShell tabanlı evrensel Sorun Betik araç takımı, ilgili günlükleri basit bir şekilde toplamanıza yardımcı olabilir. Araç ve kullanım yönergelerine buradan TSS.zip indirerek ve TroubleShootingScript araç takımına (TSS) giriş sayfasında ek bilgiler bulabilirsiniz.

İlgili makaleler

Genel bakış: Microsoft 365 için VPN bölünmüş tüneli

Microsoft 365 için VPN bölünmüş tüneli uygulama

Microsoft 365 için yaygın VPN bölünmüş tünel senaryoları

VPN ortamlarında Stream ve canlı etkinlikler için özel dikkat edilmesi gerekenler

Çin kullanıcıları için Microsoft 365 performans iyileştirmesi

Microsoft 365 Ağ Bağlantı İlkeleri

Microsoft 365 ağ bağlantısını değerlendirme

Microsoft 365 ağ ve performans ayarlama

Günümüzün benzersiz uzaktan çalışma senaryolarında modern güvenlik denetimleri elde etmek için güvenlik uzmanları ve BT için alternatif yollar (Microsoft Güvenlik Ekibi blogu)

Microsoft'ta VPN performansını geliştirme: otomatik bağlantılara izin vermek için Windows 10 VPN profillerini kullanma

VPN üzerinde çalıştırma: Microsoft uzak iş gücünü nasıl bağlı tutuyor?

Microsoft küresel ağı