Раздельное туннелирование (split tunneling) VPN
Что такое раздельное туннелирование?
Раздельное туннелирование (split tunneling) виртуальной частной сети (VPN) позволяет направлять часть трафика приложений или устройств через зашифрованную VPN, в то время как другие приложения или устройства имеют прямой доступ к Интернету. Это особенно полезно, если вы хотите воспользоваться услугами, которые работают лучше всего, когда ваше местоположение известно, а также получить безопасный доступ к потенциально важным сообщениям и данным.
При рассмотрении этого варианта важно помнить о рисках безопасности (более подробно об этом см. далее).
Виртуальная частная сеть (VPN)
VPN предоставляет пользователям защищенный туннель, через который шифруются все данные, передаваемые на устройство и с устройства. Это позволяет им пользоваться защищенным удаленным доступом и защищенным обменом файлами, а также маскировать свое местоположение, если они того пожелают.
Однако при использовании VPN вы можете столкнуться с проблемой снижения скорости сети и пропускной способности из-за шифрования, которое должно применяться ко всем проходящим через нее данным.
Выберите, какой трафик проходит через VPN
С помощью раздельного туннельного подключения пользователи могут передавать часть своего интернет-трафика через зашифрованное VPN-соединение, а остальной трафик направлять через другой туннель в открытый интернет. По умолчанию VPN маршрутизирует 100% интернет-трафика через VPN, но если вы хотите получить доступ к локальным устройствам или повысить скорость при шифровании определенных данных, рассмотрите возможность использования раздельного туннелирования.
Преимущества раздельного туннелирования
Раздельное туннелирование может не подходить для всех организаций, но вы можете включить его при настройке VPN. Многие организации, использующие VPN, имеют ограничения по пропускной способности, особенно потому, что VPN приходится и шифровать данные, и отправлять их на сервер в другом месте. Это может привести к проблемам с производительностью, если раздельное туннелирование не реализовано.
Сохранение пропускной способности
Если включено раздельное туннелирование, трафик, который был бы зашифрован VPN, который, вероятно, будет передаваться медленнее, отправляется через другой туннель. Маршрутизация трафика через общедоступную сеть может повысить производительность, поскольку шифрование не требуется.
Обеспечьте безопасное подключение для удаленного сотрудника
Удаленные сотрудники могут воспользоваться преимуществами безопасного сетевого подключения через VPN, которое предоставляет им зашифрованный доступ к конфиденциальным файлам и электронной почте. В то же время они могут получить доступ к другим интернет-ресурсам через своего поставщика интернет-услуг (ISP) с более высокой скоростью.
Работа в локальной сети (LAN)
При подключении к VPN шифрование может блокировать доступ к вашей локальной сети. Благодаря раздельному туннелированию вы все еще можете получить доступ к локальным ресурсам, например принтерам, через локальную сеть, пользуясь при этом безопасностью VPN.
Потоковая передача контента без использования иностранных IP-адресов
Передавайте контент во время путешествий за границей и пользуйтесь веб-услугами, которые зависят от наличия у вас местного IP-адреса. Вы можете использовать VPN для подключения к контенту в своей стране, а включив функцию раздельного туннелирования, вы сможете получить максимальную отдачу от веб-сайтов и поисковых систем, которые лучше всего работают, когда им известно ваше местоположение.
Каковы риски безопасности раздельного туннелирования?
Использование раздельного туннелирования сопряжено с определенными рисками, которые необходимо сопоставить с преимуществами. Ответственные за информационную безопасность в корпоративной среде используют защитные технологии для защиты оконечных устройств и предотвращения выполнения пользователями определенных задач, намеренно или случайно.
Традиционно пользователи могут обходить прокси-серверы и другие устройства, которые созданы для регулирования и защиты при использовании сети. Поэтому, если пользователь работает из сети, которая не защищена, он может подвергнуть риску сеть организации. Если хакер способен скомпрометировать сеть, с которой работает пользователь, посредством раздельного туннелирования, хакер может также поставить под угрозу и остальную сеть организации. Если корпоративный компьютер скомпрометирован, сеть организации также подвергается риску.
Пользователи также могут обходить системы доменных имен (DNS), которые помогают идентифицировать и отражать вторжения злоумышленников, устройства, предотвращающие потерю данных, а также другие устройства и системы. Каждое из этих устройств или систем играет важную роль в защите данных и коммуникаций. Таким образом, обход любого из них просто для сокращения трафика или повышения производительности может оказаться неблагоприятным.
Одной из функций прокси-серверов является ограничение трафика на сайты сомнительного характера или репутации. Они также позволяют организациям следить за тем, что делают их сотрудники или к чему они имеют доступ. Кроме того, прокси-серверы обеспечивают защиту корпоративных оконечных устройств, предотвращая связь с командно-контрольными серверами (CC), управляемыми хакерами. Еще одним преимуществом является мониторинг трафика и его регулирование. Примером могут служить прокси-серверы, ограничивающие или предотвращающие доступ к таким сайтам, как Spotify, YouTube или Netflix, которые транслируют музыку, фильмы и другие виды развлечений.
Если система сотрудника заражена, данные, которые он отправляет в системы CC при раздельном туннелировании, не будут видны корпоративным ИТ-отделам. В то время как устройство или сеть скомпрометированы и находятся в связи с системой вторжения, пользователь может тратить свое время на посещение сомнительных сайтов в рабочее время. А поскольку включено раздельное туннелирование, организация не знает ни о риске безопасности, ни о снижении продуктивности сотрудников.
Защитите свою организацию с помощью сетевых решений, ориентированных на безопасность
Важно правильно настроить раздельные туннели и брандмауэры VPN, так как они могут подвергаться угрозам безопасности из-за отсутствия шифрования в другом туннеле. FortiClient повышает безопасность оконечных устройств, обеспечивая безопасный доступ для удаленных сотрудников. Он также включает встроенную VPN, которую можно настроить для раздельного туннелирования.
Для защиты сети от атак и управления уязвимостями можно использовать Брандмауэр следующего поколения (NGFW) FortiGate и программно-определяемую глобальную сеть (SD-WAN) Fortinet. С помощью FortiGate весь трафик проходит глубокую проверку, а угрозы отсеиваются по мере их обнаружения. Решение Fortinet Secure SD-WAN обеспечивает веб-фильтрацию, «песочницу», проверку уровня защищенных сокетов (SSL) и другие функции безопасности, обеспечивая при этом полную видимость центра обработки данных, пользователей, устройств и бизнес-приложений через единое окно.
