Раздельное туннелирование с VPN

Что такое раздельное туннелирование VPN и как оно работает?

Сначала самое главное: что такое VPN-туннелирование?

Сетевое туннелирование — это фундаментальная функция безопасности, предоставляемая виртуальными частными сетями (VPN) для безопасной передачи данных с устройства пользователя на сервер VPN.

Чтобы перенаправить интернет-трафик, VPN сначала шифрует данные на устройстве пользователя, затем перемещает их через VPN-туннель, уникальный для каждого пользователя, на свой сервер, где IP-адрес заменяется на собственный IP-адрес VPN. Шифрование и туннелирование предотвращают внешнюю слежку и вмешательство во время передачи: данные становятся фактически нечитаемыми для внешних наблюдателей.

При активированном VPN вся онлайн-активность по умолчанию направляется через один и тот же сетевой туннель и сервер — это полное туннелирование.

Раздельное туннелирование VPN

Определение раздельного туннелирования VPN Это конфигурация VPN, которая направляет через зашифрованный туннель только выбранный интернет-трафик, позволяя остальному трафику подключаться напрямую через интернет-провайдера. В отличие от полного туннелирования, раздельное туннелирование даёт пользователям контроль над тем, какие данные защищены, а какие полностью обходят VPN.

Раздельное туннелирование — это дополнительная функция некоторых VPN, которая позволяет направлять через VPN только выбранную активность, создавая два одновременных соединения: одно защищённое, одно прямое.

Чтобы оценить преимущества раздельного туннелирования, полезно понять, что на самом деле делает маскировка IP-адреса VPN. Если VPN-сервер находится в Сан-Паулу, веб-сайты видят бразильский IP-адрес. Это полезно для скрытия источника активности, но менее эффективно для сервисов, которым необходимо знать реальное местоположение пользователя.

Какие существуют типы раздельного туннелирования VPN?

Раздельное туннелирование VPN может быть настроено несколькими способами в зависимости от ваших потребностей.

Раздельное туннелирование на основе приложений

Это наиболее распространённый вариант: вы выбираете конкретные приложения для маршрутизации через VPN, в то время как остальные подключаются напрямую к публичному интернету. Это полезно для приложений, требующих более высокой безопасности, например, корпоративного почтового клиента. Несколько приложений могут быть выбраны индивидуально, чтобы освободить пропускную способность и снизить нагрузку на VPN-сервер.

Обратное раздельное туннелирование

Этот вариант выбирает только определённые приложения для обхода VPN, в то время как остальной интернет-трафик проходит через него. Это полезно, когда большинство данных нуждается в защите, но определённые приложения требуют прямого подключения через интернет-провайдера, например, приложения, зависящие от местоположения, такие как сервисы погоды, или стриминговые платформы, которые блокируют IP-адреса VPN.

Раздельное туннелирование на основе доменов

Вместо настройки по приложениям вы выбираете конкретные веб-сайты для маршрутизации через VPN, в то время как все остальные домены используют открытый интернет. Это оптимизированный подход для пользователей, которым нужна приватность только для определённого контента. Однако в целом это значительно менее безопасно.

Динамическое раздельное туннелирование

Более детальные конфигурации позволяют пользователям включать или исключать трафик на основе DNS-имён доменов. Службы безопасности могут предпочитать направлять запросы на неизвестные или подозрительные домены через определённый сервер для более тщательного анализа, позволяя при этом другому трафику проходить более эффективно.

Каковы преимущества раздельного туннелирования VPN?

Основные преимущества раздельного туннелирования сводятся к гибкости, производительности и контролю со стороны пользователя.

Более быстрые соединения

VPN действуют как прокси-серверы: прежде чем получить доступ к веб-сайту, запрос пользователя должен быть зашифрован, направлен по туннелю к VPN, расшифрован и переслан к месту назначения, а затем ответ должен проделать тот же путь обратно.

С качественным VPN задержка обычно незначительна для основных задач. Но при множестве одновременных операций (загрузки, стриминг, множество открытых вкладок) маршрутизация всего трафика через VPN может заметно замедлить соединения. Раздельное туннелирование позволяет пользователям направлять защиту VPN только туда, где она нужна, сохраняя скорость в других местах без необходимости каждый раз включать и выключать VPN.

Безопасные удалённые рабочие соединения

Для тех, кому VPN нужен в первую очередь для работы, раздельное туннелирование позволяет отправлять служебный трафик через корпоративный VPN, а личный — напрямую через обычную сеть. Важно: при этом личная активность остаётся уязвимой для слежки и кибератак.

Одновременный доступ к зарубежным и местным сервисам

Если VPN определяет ваше местоположение в Корее, приложение погоды будет показывать корейские прогнозы пользователю, сидящему в Чикаго. Раздельное туннелирование позволяет приложениям, зависящим от местоположения, использовать локальную сеть, в то время как другой трафик безопасно проходит через VPN.

Какие угрозы несёт раздельное туннелирование VPN?

У раздельного туннелирования есть явные преимущества. Но выбор в пользу того, чтобы часть трафика обходила VPN, означает принятие риска раскрытия этой части активности.

Скомпрометированная безопасность данных

Раздельное туннелирование означает, что только часть онлайн-активности пользователя является анонимной. Всё, что обходит VPN, может быть скомпрометировано через внешнюю слежку за вашими метаданными, использование не зашифрованной конфиденциальной информации или вредоносные кибератаки.

Интернет имеет некоторое шифрование по умолчанию для защищённых сайтов, но масштабы массовой слежки гораздо шире, чем предполагают многие пользователи. Программы правительственной слежки, раскрытые в разоблачениях Сноудена в 2013 году, продемонстрировали возможности массового сбора метаданных, нацеленные на миллионы пользователей.¹

Заражение вредоносным ПО

VPN может защитить пользователей от некоторых кибератак, но не может защитить от вредоносного ПО, уже находящегося на устройстве. Просмотр веб-страниц с открытым IP-адресом и без шифрования делает пользователя уязвимым для эксплуатации через вредоносные или шпионские программы, в том числе через случайные клики по вредоносным ссылкам. Как только вредоносное ПО оказывается на устройстве, даже данные, настроенные для шифрования VPN, могут быть скомпрометированы до того, как VPN успеет их защитить. Исследование CSIRO 2017 года, в котором были проанализированы 283 Android VPN-приложения, показало, что 38% из них внедряли вредоносное ПО или отслеживающие библиотеки в пользовательский трафик.²

Управление сетью и безопасность

В корпоративных или институциональных сетях раздельное туннелирование может усложнить контроль за безопасностью. Если какие-то устройства выходят в публичный интернет напрямую, без шифрования, отслеживать угрозы становится сложнее. Там, где работают с важными данными, это грозит и финансовыми, и юридическими проблемами.

Ошибки конфигурации

Чем сложнее настройка раздельного туннелирования, тем выше риск ошибки в конфигурации. Если пользователи не задают достаточно точных правил, конфиденциальные данные, предназначенные для VPN, могут в итоге маршрутизироваться напрямую в публичный интернет.

Раздельное туннелирование на централизованном и децентрализованном VPN: в чём разница?

Пользователи, сравнивающие VPN, столкнутся с двумя основными типами:

• Массовые централизованные VPN полагаются на серверы, которыми они владеют или арендуют, обычно у одного и того же поставщика услуг. Пользователи должны доверять свой трафик VPN-провайдеру, а централизованная инфраструктура создаёт единую точку уязвимости для утечек данных.

• Децентрализованные VPN (dVPN) передают трафик через децентрализованную сеть множества несвязанных между собой нод. Такая архитектура делает утечки данных практически невозможными, а анализ трафика — чрезвычайно сложным.

Традиционные централизованные VPN могут предлагать более высокую скорость для всего трафика — в конце концов, один переход по умолчанию быстрее, чем много переходов. Но эта скорость достигается ценой сети, более уязвимой для взломов, кибератак и давления со стороны правительства с целью получения записей о пользователях.

➤ Узнайте больше о разнице между централизованными и децентрализованными VPN в руководстве Nym по кибербезопасности.

Вердикт Nym: раздельное туннелирование, сделанное правильно

Если вопрос рассматривать исключительно с точки зрения самой механики раздельного туннелирования, то нет: она работает одинаково в традиционных и децентрализованных VPN. Конфигурации раздельного туннелирования — это выборочные модификации полного туннелирования: пользователь добровольно создаёт исключения для обхода функций безопасности VPN. Всё, что не проходит через VPN, потенциально уязвимо для слежки, анализа трафика и связывания активности с вами.

Настоящая приватность зависит от архитектуры VPN-сети. Централизованные одноступенчатые серверы быстрее многоступенчатых dVPN, но ценой сети, более уязвимой для утечек данных, кибератак и государственного давления с целью получения записей о пользователях.

Выберите степень своей приватности

Раздельное туннелирование — это вопрос предпочтений пользователя и выбора того, какой трафик будет проходить через VPN. NymVPN предлагает пользователям выбор между быстрым режимом и инновационным анонимным режимом для повышенной безопасности. С раздельным туннелированием пользователи могут направлять действительно чувствительный трафик в анонимный режим, повседневный трафик — в быстрый, а критически важный по задержкам — напрямую к интернет-провайдеру, не жертвуя анонимностью ради производительности.

Раздельное туннелирование позволяет выбирать, что защищать, но сама защита зависит от того, как устроен VPN. Для тех, кому нужны и гибкость, и реальная приватность, NymVPN позволяет самому выбирать между уровнем защиты и скоростью.

Ссылки

1. The Guardian (2013): Досье АНБ
2. CSIRO/ICSI, UC Berkeley: Анализ уязвимостей приватности и безопасности Android VPN-приложений (2017)