Split tunelování - Split tunneling

Split tunelování je koncept počítačové sítě, který umožňuje uživateli přistupovat k různým bezpečnostním doménám, jako je veřejná síť (např. internet) a místní LAN nebo WAN současně, pomocí stejných nebo odlišných síťových připojení. Tento stav připojení je obvykle usnadněn současným používáním karty síťového rozhraní (NIC) v místní síti (LAN), bezdrátové síťové karty, bezdrátové síťové karty v místní síti (WLAN) a klientské softwarové aplikace VPN bez výhod řízení přístupu.

Předpokládejme například, že uživatel využívá softwarového klienta vzdáleného přístupu VPN, který se připojuje k podnikové síti pomocí bezdrátové sítě hotelu. Uživatel s povoleným rozdělením tunelového propojení se může připojit k souborovým serverům, databázovým serverům, poštovním serverům a dalším serverům v podnikové síti prostřednictvím připojení VPN. Když se uživatel připojí k internetovým prostředkům (webům, serverům FTP atd.), Požadavek na připojení přejde přímo z brány poskytované sítí hotelu.

Rozdělené tunelování je někdy kategorizováno podle toho, jak je nakonfigurováno. Rozdělený tunel nakonfigurovaný tak, aby provozoval pouze tunel určený pro konkrétní sadu cílů, se nazývá a split-include tunel. Pokud je nakonfigurován tak, aby přijímal veškerý provoz kromě provozu určeného pro konkrétní sadu cílů, nazývá se a rozdělit-vyloučit tunel.^[1]^[2]^[3]

Výhody

Jednou z výhod použití děleného tunelování je, že zmírňuje úzká místa a šetří šířku pásma, protože internetový provoz nemusí procházet serverem VPN.

Další výhodou je případ, kdy uživatel pracuje u dodavatele nebo partnera a potřebuje přístup k síťovým prostředkům v obou sítích po celý den. Rozdělené tunelování brání uživateli v neustálém připojování a odpojování.

Nevýhody

Nevýhodou je, že když je povoleno rozdělené tunelování, uživatelé obcházejí zabezpečení na úrovni brány, které může být na místě v podnikové infrastruktuře.^[4] Například pokud web nebo filtrování obsahu je na místě, jedná se o něco obvykle ovládaného na úrovni brány, nikoli o klientský počítač.

ISP, kteří implementují Únos DNS rozbití názvu překladu soukromých adres pomocí děleného tunelu.

Varianty a související technologie

Inverzní dělené tunelování

Varianta tohoto děleného tunelování se nazývá „inverzní“ dělené tunelování. Ve výchozím nastavení vstupují do tunelu všechny datagramy s výjimkou cílových IP adres výslovně povolených bránou VPN. Kritéria umožňující datagramům opustit rozhraní místní sítě (mimo tunel) se mohou u jednotlivých prodejců lišit (tj. Port, služba atd.). Tím se udržuje kontrola nad síťovými branami k centralizovanému politickému zařízení, jako je terminátor VPN. To lze rozšířit technologiemi vynucování zásad koncových bodů, jako je brána firewall rozhraní v ovladači síťového rozhraní koncového zařízení, skupinová politika objekt nebo agent proti malwaru. To v mnoha ohledech souvisí řízení přístupu do sítě (NAC).^[5]

Sítě s dvojitým zásobníkem IPv6

Vnitřní IPv6 obsah lze hostovat a prezentovat webům prostřednictvím a jedinečná místní adresa rozsah na úrovni VPN, zatímco k externímu obsahu IPv4 a IPv6 lze přistupovat prostřednictvím směrovačů webu.

Reference

^ Jeffery, Eric (19. června 2020). „Rozdělení tunelového propojení VPN - povolení nebo povolení povolení“. Časopis Infosecurity. Citováno 19. října 2020.
^ Mackie, Kurt; 26.03.2020. „Microsoft propaguje rozdělené tunelování pomocí VPN na podporu vzdálených pracovníků - Redmondmag.com“. Redmondmag. Citováno 19. října 2020.CS1 maint: číselné názvy: seznam autorů (odkaz)
^ Michael Cooney. „Cisco, další, si posvítí na split-tunelování VPN“. Síťový svět. Citováno 19. října 2020.
^ Vzdálený přístup VPN a twist na nebezpečí rozdělení tunelu, vyvoláno 5. prosince 2017
^ James Edwards, Richard Bramante, Al Martin (2006). Nortel Guide to VPN Routing for Security and VoIP. Wiley. str. 454. ISBN 9780470073001.CS1 maint: extra interpunkce (odkaz)

Další čtení

Juniper (r) Networks Secure Access SSL VPN Configuration Guide, Rob Cameron, Neil R. Wyler, 2011, ISBN 9780080556635, Str. 241
Citrix Access Suite 4 Advanced Concepts: The Official Guide, 2 / E, Steve Kaplan, Andy Jones, 2006, ISBN 9780071501743, McGraw-Hill Education
Příručka pro správce Microsoft Forefront Uag 2010, Erez Ben-Ari, Ran Dolev, 2011, ISBN 9781849681636, Packt Publishing
Konfigurace Cisco ASA Richard Deal, 2009, strana 413, ISBN 9780071622684 , McGraw-Hill Education

externí odkazy

Split Tunneling v Linuxu

[1] Jeffery, Eric (19. června 2020). „Rozdělení tunelového propojení VPN - povolení nebo povolení povolení“. Časopis Infosecurity. Citováno 19. října 2020.

[2] Mackie, Kurt; 26.03.2020. „Microsoft propaguje rozdělené tunelování pomocí VPN na podporu vzdálených pracovníků - Redmondmag.com“. Redmondmag. Citováno 19. října 2020.CS1 maint: číselné názvy: seznam autorů (odkaz)

[3] Michael Cooney. „Cisco, další, si posvítí na split-tunelování VPN“. Síťový svět. Citováno 19. října 2020.

[4] Vzdálený přístup VPN a twist na nebezpečí rozdělení tunelu, vyvoláno 5. prosince 2017

[5] James Edwards, Richard Bramante, Al Martin (2006). Nortel Guide to VPN Routing for Security and VoIP. Wiley. str. 454. ISBN 9780470073001.CS1 maint: extra interpunkce (odkaz)

[1]

[2]

[3]

[4]

[5]

Virtuální privátní sítě
Komunikační protokol	SSTP IPsec L2TP L2TPv3 PPTP Split tunelování DTLS SSL / TLS (Oportunistický: tcpcrypt )
Svobodný software	FreeLAN FreeS / WAN Libreswan n2n OpenConnect OpenIKED Openswan OpenVPN Sociální VPN SoftEther VPN strongSwan tcpcrypt cín VTun WireGuard Shadowsocks
Protokoly řízené dodavateli	Protokol předávání vrstvy 2 Přímý přístup
Proprietární software	Avast SecureLine VPN Check Point VPN-1 Klient VPN společnosti Cisco Systems ExpressVPN HideMyAss! Hola LogMeIn Hamachi Microsoft Forefront Unified Access Gateway NordVPN Soukromý přístup k internetu ProtonVPN PureVPN SaferVPN Tunnelbear
Vektory rizika	Software pro kontrolu obsahu Hloubková kontrola obsahu Hluboká kontrola paketů Blokování IP adres Výčet sítě Stavový firewall TCP reset útok Blokování VPN