Раздельное туннелирование

Раздельное туннелирование — это концепция компьютерных сетей , которая позволяет пользователю получать доступ к разным доменам безопасности , таким как публичная сеть (например, Интернет) и локальная сеть или глобальная сеть одновременно, используя одни и те же или разные сетевые подключения. Это состояние подключения обычно обеспечивается за счет одновременного использования контроллера сетевого интерфейса локальной сети (NIC), радиоадаптера, сетевого адаптера беспроводной локальной сети (WLAN) и программного обеспечения VPN- клиента без преимуществ контроля доступа .

Например, предположим, что пользователь использует клиент программного обеспечения VPN для удаленного доступа , подключаясь к сети кампуса с помощью беспроводной сети отеля . Пользователь с включенным раздельным туннелированием может подключаться к файловым серверам , серверам баз данных , почтовым серверам и другим серверам в корпоративной сети через VPN-подключение. Когда пользователь подключается к интернет-ресурсам ( веб-сайтам , FTP- сайтам и т. д.), запрос на подключение напрямую выходит из шлюза, предоставляемого сетью отеля. Однако не все VPN поддерживают раздельное туннелирование. Некоторые VPN с раздельным туннелированием включают Private Internet Access (PIA), ExpressVPN , Surfshark и NordVPN ^[1]

Раздельное туннелирование иногда классифицируется на основе того, как оно настроено. Раздельный туннель, настроенный только на туннелирование трафика, предназначенного для определенного набора пунктов назначения, называется туннелем split-include . Когда он настроен на прием всего трафика, кроме трафика, предназначенного для определенного набора пунктов назначения, он называется туннелем split-exclude . ^{[2] [3] [4]}

Преимущества

Одним из преимуществ использования раздельного туннелирования является то, что оно устраняет узкие места и экономит полосу пропускания , поскольку интернет-трафику не приходится проходить через VPN-сервер.

Другое преимущество возникает в случае, когда пользователь работает на сайте поставщика или партнера и ему необходим доступ к сетевым ресурсам в обеих сетях. Раздельное туннелирование избавляет пользователя от необходимости постоянно подключаться и отключаться.

Недостатки

Недостатком является то, что при включении раздельного туннелирования пользователи обходят безопасность на уровне шлюза, которая может быть реализована в инфраструктуре компании. ^[5] Например, если используется веб-фильтрация или фильтрация контента , это обычно контролируется на уровне шлюза, а не клиентского ПК.

Интернет-провайдеры , реализующие перехват DNS, нарушают разрешение имен частных адресов с помощью разделенного туннеля.

Варианты и сопутствующие технологии

Обратное расщепленное туннелирование

Вариант этого разделенного туннелирования называется «обратным» разделенным туннелированием. По умолчанию все датаграммы входят в туннель, за исключением тех IP-адресов назначения, которые явно разрешены шлюзом VPN. Критерии, разрешающие датаграммам выходить из локального сетевого интерфейса (за пределы туннеля), могут различаться у разных поставщиков (например, порт, служба и т. д.). Это позволяет сохранять контроль над сетевыми шлюзами на централизованном устройстве политики, таком как терминатор VPN. Это может быть дополнено технологиями принудительного применения политики конечной точки, такими как межсетевой экран интерфейса на драйвере сетевого интерфейса конечного устройства, объект групповой политики или агент защиты от вредоносных программ . Это во многом связано с контролем доступа к сети (NAC). ^[6]

Динамическое раздельное туннелирование

Форма раздельного туннелирования, которая выводит IP-адреса для включения/исключения во время выполнения на основе списка правил/политик имен хостов . [Динамическое раздельное туннелирование] (DST) ^[7]

Сетевое взаимодействие с двойным стеком IPv6

Внутренний контент IPv6 может размещаться и предоставляться сайтам через уникальный диапазон локальных адресов на уровне VPN, в то время как доступ к внешнему контенту IPv4 и IPv6 может осуществляться через маршрутизаторы сайта.

Ссылки

1. Лонг, Мо (22 июля 2021 г.). «Лучший VPN для раздельного туннелирования». Tech Up Your Life . Получено 21 октября 2021 г.
2. Джеффри, Эрик (19 июня 2020 г.). «VPN Split-Tunneling – To Enable or Not To Enable». Журнал Infosecurity . Получено 19 октября 2020 г.
3. Mackie, Kurt (26 марта 2020 г.). «Microsoft рекламирует раздельное туннелирование с VPN для поддержки удаленных работников — Redmondmag.com». Redmondmag . Получено 19 октября 2020 г. .
4. Майкл Куни. «Cisco и другие проливают свет на раздельное туннелирование VPN». Network World . Получено 19 октября 2020 г.
5. Удаленный доступ VPN и интерпретация опасностей раздельного туннелирования, 10 мая 2005 г. , получено 5 декабря 2017 г.
6. Ричард Браманте; Эл Мартин; Джеймс Эдвардс (2006). Руководство Nortel по маршрутизации VPN для безопасности и VoIP . Wiley . стр. 454. ISBN 9780470073001.
7. «Раздельное туннелирование AnyConnect (доступ по локальной сети, раздельное туннелирование, статическое и динамическое (домен)». 24 марта 2020 г.

Дальнейшее чтение

• Руководство по настройке защищенного доступа SSL VPN от Juniper(r) Networks, Роб Кэмерон, Нил Р. Уайлер, 2011, ISBN 9780080556635 , стр. 241 
• Citrix Access Suite 4 Advanced Concepts: The Official Guide, 2/E, Стив Каплан, Энди Джонс, 2006, ISBN 9780071501743 , McGraw-Hill Education 
• Microsoft Forefront Uag 2010. Справочник администратора, Эрез Бен-Ари, Ран Долев, 2011, ISBN 9781849681636 , Packt Publishing 
• Конфигурация Cisco ASA Ричарда Дила, 2009, стр. 413, ISBN 9780071622684 , McGraw-Hill Education 

Внешние ссылки

• Раздельное туннелирование в Linux