Split tunneling (раздельное туннелирование, сплит-туннелирование) — это функция VPN, позволяющая подключаться к одним веб-ресурсам через защищенное соединение, а к другим — в обход него, не меняя настройки сети и не отключая VPN. Например, с помощью split tunneling можно подключаться к удаленному рабочему столу через VPN, а к социальным сетям — напрямую.
Виды split tunneling
Раздельное туннелирование можно настроить:
- для сайтов;
- для приложений;
- для устройств. Например, использовать VPN на настольном компьютере, а игровой приставке разрешить подключаться к интернету напрямую. В этом случае VPN с функцией split tunneling должен быть установлен на роутере или, например, сетевом шлюзе.
Существует несколько вариантов настройки сплит-туннелирования:
- Защищенное VPN-соединение используется только для заданного списка приложений, сайтов или устройств.
- По умолчанию все данные передаются через VPN-туннель, однако можно указать сайты, приложения или устройства, которые используют незащищенное соединение.
- VPN-клиент, то есть программа, отвечающая за защищенное соединение, на основании набора правил и политик определяет, как подключаться к тому или иному ресурсу, непосредственно в момент, когда пользователь пытается к нему подключиться. Этот тип раздельного туннелирования называется динамическим.
Преимущества раздельного туннелирования
Раздельное туннелирование позволяет:
- экономить VPN-трафик;
- избегать «бутылочного горлышка», которое может образоваться, если пропускать весь трафик через VPN-туннель;
- не отключать VPN для подключения к ресурсам, требовательным к скорости передачи данных, или, например, к локальной сети, которая может быть недоступна под VPN.
Безопасность раздельного туннелирования
Распределение трафика с помощью функции split tunneling безопаснее, чем полное отсутствие VPN, однако влечет за собой определенные риски.
- Раздельное туннелирование позволяет обходить защитные функции VPN — в частности, сайты, к которым пользователь подключается напрямую, будут видеть его настоящий IP-адрес.
- Корпоративные пользователи с помощью функции split tunneling могут обходить политики безопасности и защитные системы компании. Если сотрудник с удаленного устройства подключится напрямую к вредоносному сайту, работодатель не увидит этого и не сможет ограничить доступ к этому ресурсу. Также работодатель не увидит, если конфиденциальная информация с устройства сотрудника передается на сторонний сервер в обход VPN.
- Если неправильно настроить раздельное туннелирование, можно по ошибке отправить конфиденциальную информацию по незащищенному каналу.