تونل زنی تقسیم شده
در این مقاله به صورت کامل به ارائه توضیحات درباره تونل زنی تقسیم شده یا Split Tunneling پرداخته ایم.

از آنجا که کار از خانه به دلیل همه گیری COVID-19 به یک امر عادی تبدیل می شود، نیاز به دسترسی ایمن به منابع سازمانی همچنان در حال افزایش است و با آن تقاضا برای VPN بیشتر می شود.

مطالب پیشنهادی:

خرید vpn با آیپی ثابت

به عنوان مثال تقاضا برای شبکه های خصوصی مجازی تجاری در ایالات متحده بین 13 مارس و 23 مارس 41 درصد افزایش یافته است، طبق تحقیقات Top10VPN.com، یک شرکت تحقیق و آزمایش VPN در انگلیس، بازار VPN تا سال 2026 به 70 میلیارد دلار می رسد. در یک وبلاگ در ماه آوریل AT&T به افزایش 700 درصدی اتصال به سرویس VPN مبتنی بر ابر SD-WAN Static Network based (ANIRA) اشاره کرده است.

این افزایش ترافیک فشار بیشتری را بر زیرساخت های VPN سازمانی وارد می کند، اما یکی از موثرترین راه ها برای کاهش فشار تقسیم تونل یا همان تونل زنی تقسیم شده (split-tunneling) است.

در واقع تونل زنی تقسیم شده ویژگی است که به مشتریان امکان می دهد ترافیک خاص و وابسته به شرکت را برای ارسال از طریق تونل VPN شرکتی انتخاب کنند. تمامی استفاده کنندگان میتوانند بدون رفتن در تونل مستقیماً به اینترنت دسترسی پیدا کنند. در غیر این صورت، تمام ترافیک، حتی ترافیکی که به سایتهایی در اینترنت هدایت می شوند، از طریق VPN انجام می شوند، از طریق اقدامات امنیتی سازمانی و سپس به اینترنت بازمی گردند. ایده این است که زیرساخت VPN باید ترافیک کمتری را مدیریت کند، بنابراین عملکرد بهتری دارد.

تونل زنی تقسیم شده ناخواسته همچنین می تواند هنگامی ایجاد شود که متمرکز کننده های VPN سازمانی از IPv6 پشتیبانی نمی کنند، در نتیجه تمام ترافیک IPV6 از کاربران از راه دور مستقیماً به اینترنت هدایت شده و از کنترل های امنیتی شرکت جلوگیری می کنند، وضعیتی که به عنوان شکست IPV6 VPN شناخته می شود.

فهمیدن اینکه چه ترافیکی می تواند از جریان VPN خارج شود می تواند چالشی باشد که سیسکو سعی دارد با یک محصول نسبتاً جدید آن را برطرف کند. این داده های دورسنجی جمع آوری شده توسط سرویس گیرندگان VPN Cisco AnyConnect با تولید گزارش در زمان واقعی و فناوری داشبورد از Splunk است. در مجموع این محصول به عنوان Cisco Endpoint Security Analytics (CESA) شناخته می شود و بخشی از ماژول دید شبکه AnyConnect (NVM) است. سیسکو می گوید که از 1 ژوئیه سال 2020، مجوزهای آزمایشی CESA به مدت 90 روز به صورت رایگان برای کمک به سازمان های فناوری اطلاعات با افزایش کار در راه دور ارائه شده است.

AnyConnect NVM اطلاعات امنیتی مانند شناسه منحصر به فرد دستگاه، نام دستگاه، نام پردازش / کانتینر، فرآیندهای پرنت، ​​تغییرات امتیاز، دامنه های منبع / مقصد، اطلاعات DNS و رابط های شبکه را جمع آوری می کند که می تواند به مشتریان در شناسایی نشت داده ها، برنامه های تأیید نشده یا خدمات SaaS، امنیت کمک کند. به گفته اسکات پوپ، مدیر، مدیریت محصول و توسعه تجارت برای اکوسیستم اتحاد فنی امنیتی در سیسکو، دارای اولویت و اهمیتی بالا است.

HowToProtectYourselfOnPublicWiFi2

AnyConnect از ویژگی دیگری به نام Dynamic Split Tunneling یا تونل زنی تقسیم شده پویا پشتیبانی می کند، که به راحتی می توانید ترافیک تونل شده را با نام دامنه هدایت کنید (برای مثال، تمام ترافیک “* webex * .cisco.com” را در تونل زنی تقسیم شده قرار دهید). Dynamic Split Tunneling Analytics همچنین در CESA پشتیبانی می شود.

در وبلاگ اخیر پاپ نوشت که با استفاده از داده های CESA مشتریان می توانند از آن استفاده کنند:

برای کاهش محدودیت های ظرفیت VPN بدون تضعیف امنیت، تونل زنی VPN را انجام دهید.

پیمایش تونل زنی تقسیم شده موجود را کنترل و بهینه سازی کنید.

تجزیه و تحلیل رفتار امنیتی نقاط انتهایی از راه دور، کاربران و “سخنرانان برتر” VPN. این به ویژه برای نقاط انتهایی کار از راه دور که به سرعت با سختگیری کمتر از آزمایش انطباق امنیتی عادی به کار گرفته شده اند، مفید است.

پاپ گفت: “ایده این است که با CESA مشتریان می توانند به سرعت بفهمند چه چیزی را می توان با خیال راحت در تونل زنی تقسیم شده قرار داد که با افزایش بارهای VPN که بسیاری از شرکتها با آن روبرو هستند از اهمیت بیشتری برخوردار است.” “برخی از میوه های بسیار کم مصرف میوه می توانند به اینترنت ارسال کنند، اما در اینجا برنامه های مبتنی بر ابر و سایر ترافیک وجود دارد که ممکن است چندان واضح نباشد، و جدا کردن این ترافیک بدون دانستن آنچه که از طریق تونل رخ می دهد دشوار است.”

CESA اطلاعات مربوط به ترافیک VPN را برای نگه داشتن زبانه ها درباره میزان ترافیک در تقسیم تونل و همچنین شناسایی ترافیکی که باید به داخل تونل سازمانی منتقل شود، فراهم می کند. پاپ اظهار داشت و عکس این نیز صادق است.

“CESA می تواند تونل شرکتی را کنترل کند تا ترافیکی را که می تواند با خیال راحت به تونل زنی تقسیم شده منتقل شود، شناسایی کند. علاوه بر این، CESA میزان ترافیک را با استفاده از برنامه، پروتکل، پورت، فرآیند نرم افزار، دامنه، منبع / مقصد و غیره ردیابی می کند. ” “این سازمان را قادر می سازد تا برنامه های کاربردی و منابع داده با حجم زیاد را شناسایی کرده و ابتدا آنها را به تونل زنی تقسیم شده منتقل کند تا با کمترین تلاش و پیکربندی بیشترین تأثیر را بر عملکرد VPN بگذارد.”

پاپ اظهار داشت، در شرایط اضطراری، سازمانهای فناوری اطلاعات اغلب در موقعیت تولید تعداد زیادی از کارگران از راه دور قرار می گیرند.

“بسته به شرایط، برای تسریع در راه اندازی مجدد کار، ممکن است اعتبار طبیعی نظارت های امنیتی برای این کاربران نادیده گرفته شود. این ممکن است به این معنی باشد که نقاط پایانی کاربر در ساخت استاندارد IT نیستند. یا امنیت نقطه پایانی معمول که برای کارگران از راه دور استفاده می شود را ندارند. وضعیت هرچه باشد، کار با سرعت از راه دور مستقر شده معمولاً کمتر از امنیت کامل و کاربر از نظر دور / نقطه پایانی و دید کافی دارد. ”

 

CESA با استفاده از تجزیه و تحلیل رفتاری، گام بعدی را برای شناسایی تهدیدهایی مانند خودی های مخرب، مخرب نرم افزارهای مخرب و سایر فعالیت هایی که از طریق شناسایی پرونده هش قابل شناسایی نیست، برمی دارد. پاپ اظهار داشت: CESA می تواند برای نظارت بر نقاط انتهایی هنگامی که خارج از شبکه هستند و هنگامی که روی آن هستند، پیکربندی شود.

امنیت بزرگترین چالش هنگام استفاده از تونل زنی تقسیم شده است زیرا داده های خارج از VPN هنوز هم باید محافظت و نظارت شوند. این یک مورد است که می دانیم آن ترافیک چیست و چگونه می توان امنیت را در آن ترافیک افزایش داد.