Split tunnel với VPN

VPN split tunneling là gì và hoạt động như thế nào?

Trước hết: VPN tunneling là gì?

Network tunneling là một tính năng bảo mật cơ bản được cung cấp bởi Mạng riêng ảo (VPN) để truyền dữ liệu một cách an toàn từ thiết bị của người dùng đến máy chủ VPN.

Để định tuyến lưu lượng truy cập internet, VPN trước tiên mã hóa dữ liệu trên thiết bị của người dùng trước khi chuyển nó qua PN tunnel, dành riêng cho mỗi người dùng, đến máy chủ riêng của VPN, nơi địa chỉ IP được thay thế bằng địa chỉ IP của VPN. Mã hóa và đường hầm ngăn chặn sự giám sát và can thiệp từ bên ngoài trong quá trình truyền tải: dữ liệu về cơ bản là không thể đọc được đối với người quan sát bên ngoài.

Khi VPN được kích hoạt, tất cả hoạt động trực tuyến đều được định tuyến qua cùng một đường hầm mạng và máy chủ theo mặc định – đây là tunnel hoàn chỉnh.

VPN split tunneling

Định nghĩa về VPN split tunneling Một cấu hình VPN chỉ định tuyến một số lưu lượng truy cập internet nhất định qua một tunnel được mã hóa, cho phép phần còn lại kết nối trực tiếp thông qua nhà cung cấp dịch vụ internet. Khác với tunnel toàn phần, split tunneling cho phép người dùng kiểm soát dữ liệu nào được bảo vệ và dữ liệu nào hoàn toàn không bị VPN xâm nhập.

Split tunneling là một tính năng bổ sung của một số VPN cho phép bạn chỉ định tuyến một số hoạt động nhất định qua VPN, tạo ra hai kết nối đồng thời: một kết nối được bảo vệ, một kết nối trực tiếp.

Để hiểu rõ lợi ích của split tunneling, điều quan trọng là phải hiểu việc che giấu địa chỉ IP của VPN thực sự hoạt động như thế nào. Nếu máy chủ VPN đặt tại São Paulo, các trang web sẽ thấy địa chỉ IP của Brazil. Tính năng đó hữu ích để che giấu nguồn gốc hoạt động, nhưng lại kém hiệu quả hơn đối với các dịch vụ cần biết vị trí thực của người dùng.

Các loại VPN split tunneling khác nhau là gì?

VPN split tunneling có thể được cấu hình theo nhiều cách khác nhau tùy thuộc vào nhu cầu của bạn.

Phân luồng kết nối dựa trên ứng dụng

Đây là tùy chọn phổ biến nhất: bạn chọn các ứng dụng cụ thể để định tuyến qua VPN, trong khi các ứng dụng còn lại kết nối trực tiếp với mạng internet công cộng. Tính năng này hữu ích cho các ứng dụng yêu cầu bảo mật mạnh hơn, chẳng hạn như ứng dụng email công việc. Có thể chọn nhiều ứng dụng tùy từng trường hợp để giải phóng băng thông và giảm tải cho máy chủ VPN.

Phân luồng kết nối ngược

Tùy chọn này chỉ chọn một số ứng dụng cụ thể để bỏ qua VPN, trong khi phần còn lại của lưu lượng truy cập internet vẫn đi qua VPN. Tùy chọn này hữu ích khi hầu hết dữ liệu cần được bảo vệ nhưng một số ứng dụng yêu cầu kết nối trực tiếp với nhà cung cấp dịch vụ internet – ví dụ: các ứng dụng phụ thuộc vào vị trí như dịch vụ thời tiết, hoặc các nền tảng phát trực tuyến hạn chế địa chỉ IP của VPN.

Split tunneling theo tên miền

Thay vì cấu hình theo ứng dụng, bạn chọn các trang web cụ thể để định tuyến qua VPN, trong khi tất cả các tên miền khác sử dụng mạng internet mở. Đây là một phương pháp đơn giản hóa dành cho người dùng chỉ cần bảo mật cho một số nội dung nhất định. Tuy nhiên, nhìn chung, nó kém an toàn hơn đáng kể.

Split tunneling động

Cấu hình chi tiết hơn cho phép người dùng bao gồm hoặc loại trừ lưu lượng truy cập dựa trên tên miền DNS. Các dịch vụ bảo mật có thể ưu tiên định tuyến các yêu cầu tên miền không xác định hoặc đáng ngờ qua một máy chủ cụ thể để kiểm tra kỹ lưỡng hơn, trong khi cho phép lưu lượng truy cập khác đi qua hiệu quả hơn.

Lợi ích của VPN split tunneling là gì?

Những ưu điểm chính của kỹ thuật phân luồng dữ liệu - split tunneling nằm ở tính linh hoạt, hiệu suất và khả năng điều khiển của người dùng.

Kết nối nhanh hơn

VPN hoạt động như máy chủ proxy: trước khi truy cập một trang web, yêu cầu của người dùng phải được mã hóa, truyền qua VPN tunnel, giải mã và chuyển tiếp đến đích – trước khi phản hồi thực hiện hành trình tương tự trở lại.

Với một VPN chất lượng, độ trễ thường không đáng kể đối với các tác vụ cơ bản. Nhưng với nhiều tác vụ diễn ra đồng thời (tải xuống, phát trực tuyến, nhiều tab đang mở), việc định tuyến mọi thứ qua VPN có thể làm chậm kết nối một cách đáng kể. Split tunneling cho phép người dùng chỉ định bảo vệ VPN ở những nơi cần thiết, duy trì tốc độ ở những nơi khác mà không cần bật và tắt VPN từng lần.

Kết nối bảo mật làm việc từ xa

Đối với người dùng cần bảo vệ VPN chủ yếu cho công việc, tính năng phân luồng dữ liệu (split tunneling) cho phép VPN của công ty xử lý các thông tin nhạy cảm trong khi lưu lượng truy cập cá nhân sử dụng mạng cục bộ trực tiếp. Lưu ý quan trọng: Tính năng này vẫn khiến các hoạt động ngoài công việc có nguy cơ bị giám sát và tấn công mạng.

Truy cập đồng thời các dịch vụ trong nước và quốc tế

Nếu VPN định vị vị trí của bạn ở Hàn Quốc, ứng dụng thời tiết sẽ trả về kết quả thời tiết Hàn Quốc cho người dùng ở Chicago. Split tunneling cho phép các ứng dụng phụ thuộc vào vị trí sử dụng mạng cục bộ trong khi lưu lượng truy cập khác được truyền an toàn qua VPN.

Vậy những rủi ro bảo mật của VPN split tunneling là gì?

Split tunneling có những lợi ích rõ ràng. Nhưng việc cho phép một phần lưu lượng truy cập bỏ qua VPN có nghĩa là chấp nhận rủi ro đối với phần hoạt động đó.

Bảo mật dữ liệu bị xâm phạm

Split tunneling có nghĩa là chỉ một phần hoạt động trực tuyến của người dùng là ẩn danh. Bất cứ thứ gì bỏ qua VPN đều có thể bị xâm phạm thông qua việc giám sát bên ngoài siêu dữ liệu của bạn, khai thác thông tin nhạy cảm chưa được mã hóa hoặc các cuộc tấn công mạng độc hại.

Internet có một số mã hóa mặc định cho các trang web được bảo mật, nhưng phạm vi của giám sát hàng loạt rộng hơn nhiều so với nhiều người dùng tưởng tượng. Các chương trình giám sát của chính phủ được tiết lộ trong các tiết lộ của Snowden năm 2013 đã chứng minh khả năng thu thập siêu dữ liệu quy mô lớn nhắm mục tiêu vào hàng triệu người dùng.¹

Nhiễm phần mềm độc hại

VPN có thể bảo vệ người dùng khỏi một số cuộc tấn công mạng, nhưng nó không thể bảo vệ khỏi phần mềm độc hại đã có sẵn trên thiết bị. Duyệt web với địa chỉ IP bị lộ và không mã hóa sẽ khiến người dùng dễ bị khai thác bởi phần mềm độc hại hoặc phần mềm gián điệp, bao gồm cả việc vô tình nhấp vào các liên kết độc hại. Một khi phần mềm độc hại đã xâm nhập, ngay cả dữ liệu được cấu hình để mã hóa VPN cũng có thể bị xâm phạm trước khi VPN có thể bảo vệ nó. Một nghiên cứu năm 2017 của CSIRO về 283 ứng dụng VPN dành cho Android cho thấy 38% đã cài đặt phần mềm độc hại hoặc thư viện theo dõi vào lưu lượng truy cập của người dùng.²

Quản lý mạng và bảo mật

Trong mạng doanh nghiệp hoặc tổ chức, sử dụng split tunneling có thể gây cản trở giám sát bảo mật. Khi một số thiết bị cho phép truy cập không mã hóa vào internet công cộng, giám sát trở nên khó khăn hơn. Trong môi trường xử lý thông tin nhạy cảm, điều này có thể tiềm ẩn rủi ro về tài chính và pháp lý.

Lỗi cấu hình

Thiết lập split tunneling càng phức tạp, nguy cơ cấu hình sai càng cao. Nếu người dùng không thiết lập các quy tắc đủ chính xác, dữ liệu nhạy cảm dành cho VPN có thể bị định tuyến trực tiếp ra internet công cộng.

Split tunneling trên VPN tập trung so với VPN phi tập trung?

Người dùng khi so sánh các VPN sẽ gặp hai loại chính:

• Các mạng VPN tập trung truyền thống dựa vào các máy chủ mà họ sở hữu hoặc thuê, thường là từ cùng một nhà cung cấp dịch vụ. Người dùng phải tin tưởng nhà cung cấp VPN với lưu lượng truy cập của họ, và cơ sở hạ tầng tập trung tạo ra một điểm yếu duy nhất cho các vụ rò rỉ dữ liệu.

• Mạng VPN phi tập trung (dVPN) truyền tải lưu lượng truy cập thông qua một mạng phi tập trung gồm nhiều node không thể liên kết với nhau. Thiết kế này khiến việc rò rỉ dữ liệu gần như không thể xảy ra và việc phân tích lưu lượng truy cập trở nên vô cùng khó khăn.

Các mạng VPN tập trung truyền thống có thể cung cấp tốc độ nhanh hơn cho tất cả lưu lượng truy cập – xét cho cùng, một chặng luôn nhanh hơn nhiều chặng theo mặc định. Nhưng tốc độ đó phải trả giá bằng một mạng lưới dễ bị tổn thương hơn trước các vụ rò rỉ, tấn công mạng và áp lực từ chính phủ về hồ sơ người dùng.

➤ Tìm hiểu thêm về sự khác biệt giữa VPN tập trung và VPN phi tập trung trong hướng dẫn an ninh mạng của Nym.

Nhận định của Nym: Phân luồng dữ liệu đúng cách

Nếu câu hỏi chỉ được đặt ra dưới góc độ cơ chế phân luồng dữ liệu, thì câu trả lời là không: nó hoạt động giống nhau giữa các VPN truyền thống và VPN phi tập trung. Cấu hình phân luồng dữ liệu là những sửa đổi có chọn lọc của tunnel toàn phần: người dùng tự nguyện tạo ra các ngoại lệ để bỏ qua các tính năng bảo mật của VPN. Bất cứ thứ gì không đi qua VPN đều có nguy cơ bị theo dõi, phân tích lưu lượng truy cập, và hoạt động đó có thể bị liên kết ngược lại với bạn.

Quyền riêng tư thực sự được quyết định bởi kiến ​​trúc cơ bản của mạng VPN. Các máy chủ một bước tập trung nhanh hơn các dVPN đa bước, phi tập trung, nhưng đổi lại là một mạng dễ bị tổn thương hơn trước các vụ rò rỉ dữ liệu, tấn công mạng và áp lực từ chính phủ về hồ sơ người dùng.

Chọn mức độ riêng tư của riêng bạn

Split tunneling cho phép người dùng lựa chọn lưu lượng truy cập nào đi qua VPN. NymVPN cung cấp cho người dùng sự lựa chọn giữa chế độ Nhanh và chế độ Ẩn danh mới để tăng cường bảo mật. Với phân luồng dữ liệu, người dùng có thể chỉ định lưu lượng truy cập thực sự nhạy cảm vào chế độ Ẩn danh, lưu lượng truy cập thông thường vào chế độ Nhanh và các hoạt động cần độ trễ thấp trực tiếp đến nhà cung cấp dịch vụ Internet – mà không ảnh hưởng đến tính ẩn danh để đổi lấy hiệu suất.

VPN split tunneling cho phép người dùng kiểm soát những gì được bảo vệ, nhưng chất lượng bảo vệ đó phụ thuộc vào kiến ​​trúc VPN cơ bản. Đối với người dùng cần cả sự linh hoạt và quyền riêng tư thực sự, NymVPN cho phép bạn kiểm soát cả khả năng bảo vệ quyền riêng tư và tốc độ.

Tài liệu tham khảo

1. The Guardian (2013): The NSA Files
2. CSIRO/ICSI, UC Berkeley: Phân tích về mức độ rủi ro bảo mật và riêng tư của các ứng dụng VPN trên Android (2017)