Split tunneling
Split tunneling — это механизм в компьютерных сетях, позволяющий пользователю одновременно получать доступ к разным домены безопасности, например, к публичной сети (например, Интернет) и к локальной сети или глобальной сети, используя одни и те же или разные типы сетевых подключений. Такой тип соединения обычно реализуется с использованием одновременно сетевого интерфейсного контроллера (NIC) для локальной сети, радиосетевого адаптера, беспроводного сетевого контроллера (WLAN) и клиентского программного обеспечения для виртуальной частной сети (VPN) без необходимости использования контроля доступа.
Например, если человек хочет подключиться к корпоративной сети с помощью VPN-клиента для удалённого доступа через беспроводную сеть в гостинице, split tunneling позволяет одновременно обращаться к различным корпоративным серверам (например, файловые серверы, серверы баз данных, почтовые серверы и пр.) через VPN, а также использовать другие интернет-ресурсы (веб-сайты, FTP-сайты и пр.) напрямую через шлюз гостиничной сети, минуя VPN.
Не все VPN предоставляют поддержку split tunneling; к сервисам с подобной функциональностью относятся Private Internet Access (PIA), ExpressVPN, Proton VPN, NordVPN и Surfshark[1].
Тип split tunneling иногда указывается в зависимости от конфигурации:
Преимущества
Одним из преимуществ split tunneling является снижение появления узких мест и экономия пропускной способности, потому что та часть интернет-трафика, которой не требуется передаваться через VPN-сервер, минует его.
Другое преимущество заключается в том, что когда пользователь, работающий на территории поставщика услуг или партнёра, должен обращаться к ресурсам обеих сетей, split tunneling избавляет его от необходимости постоянно подключаться и отключаться от VPN.
Недостатки
К недостаткам split tunneling относится риск обхода пользователями корпоративных политик безопасности на уровне интернет-шлюза[5]. Например, если используется контентная фильтрация или фильтрация веб-трафика, то она, как правило, реализуется на уровне шлюза, а не клиентского компьютера.
Поставщики интернет-услуг (ISP), внедряющие подмену DNS, нарушают разрешение имён приватных адресов при использовании split tunneling.
Варианты и сопутствующие технологии
При «инверсном» split tunneling весь трафик (datagram) по умолчанию проходит через VPN-туннель, за исключением трафика на заданные шлюзом VPN целевые IP-адреса. Критерии вывода пакетов вне туннеля (через локальный сетевой интерфейс) могут отличаться у разных провайдеров (например, по порту, сервису и др.).
Этот вариант может использоваться для централизации управления сетевыми шлюзами, например, на уровне централизованного устройства политики (VPN-терминатора). Дополнительно могут применяться технологии enforcement на конечных точках, такие как сетевой экран на драйвере сетевого интерфейса конечного устройства, объекты групповой политики или антивирусное ПО. Во многом эти дополнения входят в сферу контроля доступа к сети (NAC)[6].
В режиме «динамического» split tunneling IP-адреса для включения или исключения формируются «на лету» на основании заданного списка политик или доменных имён[7].
Внутренний контент по IPv6 может быть доступен по уникальному локальному адресу VPN, в то время как внешний IPv4/IPv6-трафик проходит через маршрутизаторы сети.
Примечания
Литература
- Cameron, Rob; Wyler, Neil R. Juniper(r) Networks Secure Access SSL VPN Configuration Guide. 2011. ISBN 978-0-080-55663-5.
- Kaplan, Steve; Jones, Andy. Citrix Access Suite 4 Advanced Concepts: The Official Guide. 2-е изд., McGraw-Hill Education, 2006. ISBN 978-0-071-50174-3.
- Ben-Ari, Erez; Dolev, Ran. Microsoft Forefront Uag 2010 Administrator’s Handbook. Packt Publishing, 2011. ISBN 978-1-849-68163-6.
- Deal, Richard. Cisco ASA Configuration. McGraw-Hill Education, 2009. ISBN 978-0-071-62268-4.