VPN拆分隧道:如何使它们更安全

2020 年 5 月 11 日 马特·米尔斯(Matt Mills) 使用技巧 0

A VPN 我们知道,网络的出现是由于创建了一条隧道,所有网络流量都流经该隧道。 其中的主要好处之一是,无论谁浏览该VPN,都会生成从VPN客户端到VPN服务器的点对点加密流量,因此,您的信息将在此VPN隧道内受到保护。 VPN通道外部的信息可防止其他人读取信息。 但是,是否确实有必要让任何类型的流量通过VPN? 不总是。 因此,我们将讨论可以优化其有效性的替代方案之一: 分开的隧道 ,也称为拆分隧道。

最好记住一个VPN有多个应用程序。 其中一些是:访问受区域限制的Internet资源,私人浏览以及为何不访问,以在访问Internet时更加安全。 但是,VPN有一个重要的细节。 连接质量(速度和延迟)趋于下降,这主要是由于 加密算法 已实施。 因此,与在VPN外部相比,用户感知到的访问速度较慢。 这是虚拟专用网本质的一部分,尤其是我们可以在用户计算机上安装的VPN客户端。 默认情况下,此类客户端完全控制所有流量。

VPN分割隧道

什么是分开的隧道?

它是虚拟专用网络(VPN)的一项功能,允许您配置要通过隧道流动的特定类型的流量。 一个典型的例子是,直接来自组织内部网络的所有流量都通过VPN传输,但通常不受ISP控制的Internet流量的传输。 同样,可以根据正在使用的应用程序或资源的类型来调整VPN需求。 例如,那些处理非常敏感的信息(通过VPN)的信息,其余的通常通过Internet进行。

利用拆分隧道的另一种方法是将服务链接到VPN,以阻止某些流量。 一个经常发生的例子是不允许访问某个网站,并且使用其IP地址进行了阻止。 此外,还有其他服务允许用户禁用其VPN连接来访问某些应用程序或资源。

通过此VPN功能,可以创建所谓的 “有趣的流量” 已完成。 后者与我们要监视和/或保护的各种流量有关。 为什么需要做出这些区分? 可能是出于安全原因,或者仅仅是为了优化可用的网络资源。

划分的隧道类型

  • 反向分隔隧道: 执行逆转隧道自身标准的过程,允许所有生成的流量通过默认的VPN隧道。 用户可以使用此方法选择该隧道外部的流量类型。
  • 基于IP 路由 : 请记住,路由选择当然允许数据包直接传输到目的地。 IP地址 那个目的地。 但是,可以使用基于路由的策略来实现一种拆分隧道。 这些策略将更改应用于路由表,所有更改均基于诸如数据包大小之类的考虑。

真的更安全吗?

到目前为止,我们已经说明了分开的隧道有很多好处,特别是在简化我们管理的网络流量管理方面。 显然,从长远来看,没有比通过VPN隧道查看Internet流量更糟糕的了。 后者不仅会在网络管理级别上带来不便,还会在用户级别上带来不便,这些用户会反复感觉到连接问题,例如访问某些资源时的速度缓慢。

但是,到目前为止,没有证据表明通过拆分隧道进行VPN管理是最安全的。 最重要的是,如果我们谈论的场景是由必须从家中开始活动的公司员工组成的。 让我们添加一个事实,那就是他们必须使用自己的计算机。 在这种情况下,如果该人的计算机感染了 恶意软件 或任何其他类型的病毒? 如果您要通过VPN进行远程连接,即使您的隧道分开,也有被感染的计算机“感染”网络的风险。 接下来会发生什么,我们已经知道。

选择此VPN变体时该怎么办

首先要考虑的是每项VPN服务都提供哪些注重安全性的功能。 请记住,有一些基于软件的VPN和防火墙中包含的VPN。 最重要的是,如果您选择 火墙的VPN,请询问提供商有关VPN流量控制的可用选项。

另一方面,考虑到以下因素,有些解决方案会限制对VPN的访问:计算机操作系统的版本,防病毒版本及其病毒数据库,以及其他任何可由他人定义的方面需要它。 VPN解决方案。

在本文中,我们始终提倡自由和开源软件的使用,特别是当您在资源方面有局限性时,而且在实现解决方案(如 数据包围栏 。 它是一个平台,旨在在将设备连接到VPN之前对其进行检查。 在为允许员工使用自己的设备的组织工作时,这非常有用。 请记住,这种做法被称为 BYOD(自带设备) .

PacketFence显示为 商业网络 访问控制(NAC)解决方案。 它具有各种功能,例如为所涉及的用户提供注册和身份验证的强制门户。 此外,它还对有线和无线连接进行集中管理。 值得注意的是,您可以集成IDS / IPS解决方案(例如Snort),这在我们的产品中已经提到 IDS / IPS解决方案 指南。 即使您拥有Nessus之类的漏洞扫描器,PacketFence也是完全兼容的。 因此,您可以创建一个完整的网络安全套件,而无需投入大量资金。 上方,我们概述了此解决方案从身份验证到用户从任何方面控制网络的所有可能性 剖析 .

如果要尝试,可以访问其官方网站,在该网站上可以找到两个下载选项:

  • 源代码 :如果您有编码经验,那么使用此选项会感到很满意。 您还将找到一些Linux发行版的软件包。
  • ZEN(零努力NAC) :在西班牙语中,我们可以说它是NAC的轻松版本。 换句话说,下载内容包含一个已预先配置为尽快实现Packet Fance的文件。 反过来,它具有两个变体:
    • 虚拟设备
    • Live PacketFence系统(一种便携式版本,可以安装在任何存储设备(如USB设备)上)。

如果我只有一部手机,可以使用VPN拆分隧道吗?

当然可以,如果您使用诸如IPsec,OpenVPN或Wireguard之类的协议配置VPN客户端,则可以使用分开的隧道,而不会出现任何问题。 此外,商业VPN应用程序例如 PureVPN , NordVPN or Surfshark 也支持此配置选项。

这些商业服务使您能够轻松快速地执行分割隧道传输,在大多数服务中,您将看到一个屏幕,在该屏幕上您将看到一个电源按钮,该电源按钮可用于通过一次触摸即可与VPN连接和断开连接。 您应该记住,其“智能位置”功能选择了提供最佳连接质量的国家。 根据已完成测试的区域。 但是,您可以在几个国家之间进行选择,包括亚洲,欧洲,非洲和整个美洲大陆。

在不同应用程序的高级配置选项中,您可以激活拆分隧道,并从多个选项中进行选择。 例如,对于Express VPN,我们具有以下内容:

第一个是 默认VPN 功能,它将影响您在Internet上生成的所有流量。 第二和第三是分别对应于分割隧道和反向分割隧道的选项。 通常,确定哪些应用程序将更容易 不使用VPN ,因此您可以减少这些设置的时间。