Split tunneling

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Cet article est orphelin. Moins de trois articles lui sont liés (mai 2023).

Vous pouvez aider en ajoutant des liens vers [[Split tunneling]] dans les articles relatifs au sujet.

Le split tunneling est un mécanisme de réseau informatique qui permet à un utilisateur d'accéder en même temps, en utilisant des connexions réseau identiques ou différentes, à des domaines de sécurité (en) dissemblables, comme un réseau public (par exemple, Internet) et un réseau local ou un réseau étendu. Cet type de connexion est généralement facilité par l'utilisation simultanée d'un contrôleur d'interface réseau LAN (NIC), d'une carte réseau radio, d'une carte réseau LAN sans fil (WLAN) et d'une application logicielle client VPN sans devoir utiliser un contrôle d'accès.

Par exemple, supposons qu'une personne souhaite utiliser un logiciel client VPN d'accès à distance pour se connecter à un réseau d'entreprise via le réseau sans fil d'un hôtel. Grâce au split tunneling, elle peut à la fois accéder aux différents serveurs du réseau d'entreprise via la connexion VPN (serveurs de fichiers, serveurs de base de données, serveurs de messagerie, etc.) et accéder à d'autres ressources Internet (sites Internet, sites FTP, etc.) via la passerelle du réseau de l'hôtel, sans passer par le VPN.

Tous les VPN n'offrent pas de mécanisme de split tunneling ; parmi ceux qui offrent cette fonctionnalité, on trouve notamment Private Internet Access (PIA), ExpressVPN, Proton VPN et Surfshark^[1].

Le type de split tunneling est parfois spécifié en fonction de sa configuration :

Un tunnel split-inclusif est configuré pour canaliser uniquement le trafic destiné à un ensemble spécifique de destinations.
Un tunnel split-exclusif est configuré pour accepter tout le trafic Internet sauf celui destiné à un ensemble spécifique de destinations^[2]^,^[3]^,^[4].

Avantages[modifier | modifier le code]

L'un des avantages de l'utilisation du split tunneling est de réduire les goulots d'étranglement et de conserver la bande passante, car toute la partie du trafic Internet qui n'a pas besoin de passer par le serveur VPN évite d'y passer.

Un autre avantage est apporté dans le cas où un utilisateur qui travaille sur le site d'un fournisseur ou d'un partenaire, a besoin d'accéder aux ressources du réseau sur les deux réseaux. Le split tunneling évite alors à cet utilisateur d'avoir à se connecter et à se déconnecter en permanence.

Inconvénients[modifier | modifier le code]

Parmi les inconvénients, il y a le risque que certains utilisateurs ayant activé le split tunneling contournent les règles de sécurité au niveau de la passerelle Internet de l'entreprise^[5]. Par exemple, si filtrage de contenu ou Web est en place, il s'agit généralement d'un élément contrôlé au niveau de la passerelle, et non du PC client.

Les FAI qui implémentent le détournement de DNS (en) rompent la résolution des noms d'adresses privées avec un tunnel partagé.

Variantes et technologies associée[modifier | modifier le code]

Split tunneling inverse[modifier | modifier le code]

Dans le split tunneling « inverse », tous les datagrammes entrent par défaut dans le tunnel, à l'exception des adresses IP de destination explicitement autorisées par la passerelle VPN. Les critères permettant aux datagrammes de sortir de l'interface réseau locale (en dehors du tunnel) peuvent varier d'un fournisseur à l'autre (c'est-à-dire : port, service, etc.)

Cette variante permet de garder le contrôle des passerelles réseau vers un dispositif de politique centralisé tel que le terminateur VPN. On peut y ajouter des technologies d'application de politique de point de terminaison telles qu'un pare-feu d'interface sur le pilote d'interface réseau du périphérique de point de terminaison, un objet de stratégie de groupe ou un agent anti-malware. À bien des titres, ces compléments relèvent du contrôle d'accès au réseau (NAC)^[6].

Split tunneling dynamique (DST)[modifier | modifier le code]

Dans le split tunneling « dynamique », les adresses IP à inclure ou à exclure sont calculées à la volée à partir d'une liste de règles ou de politiques de noms de domaine^[7].

Réseau à double pile IPv6[modifier | modifier le code]

Le contenu IPv6 interne peut être hébergé et présenté aux sites via une plage d'adresses locales unique au niveau VPN, tandis que le contenu IPv4 et IPv6 externe est accessible via des routeurs de site.

Références[modifier | modifier le code]

↑ (en-US) Moe Long, « Best VPN for Split Tunneling », sur Tech Up Your Life, 22 juillet 2021 (consulté le 21 octobre 2021)
↑ (en) Eric Jeffery, « VPN Split-Tunneling – To Enable or Not To Enable », sur Infosecurity Magazine, 19 juin 2020 (consulté le 19 octobre 2020)
↑ (en-US) Kurt Mackie, « Microsoft Touts Split Tunneling with VPNs To Support Remote Workers -- Redmondmag.com », sur Redmond Mag, 26 mars 2020 (consulté le 19 octobre 2020)
↑ (en) Michael Cooney, « Cisco, others, shine a light on VPN split-tunneling », sur Network World (consulté le 19 octobre 2020)
↑ (en) « Remote Access VPN and a Twist on the Dangers of Split Tunneling, May 10, 2005, retrieved December 5, 2017 », sur TechGenix, 10 mai 2005 (consulté le 5 décembre 2017)
↑ (en) Richard Bramante, Al Martin et James Edwards, Nortel Guide to VPN Routing for Security and VoIP, Wiley, 2006, 454 p. (ISBN 9780470073001)
↑ (en) Cisco, « AnyConnect Split Tunneling (Local Lan Access, Split Tunneling, Static & Dynamic (Domain) », 24 mars 2020

Pour aller plus loin[modifier | modifier le code]

(en) Rob Cameron et Neil R. Wyler, Juniper(r) Networks Secure Access SSL VPN Configuration Guide, 2011 (ISBN 978-0-080-55663-5), p. 241
(en) Steve Kaplan et Andy Jones, Citrix Access Suite 4 Advanced Concepts: The Official Guide, 2nd edition, McGraw-Hill Education, 2006 (ISBN 978-0-071-50174-3)
(en) Erez Ben-Ari et Ran Dolev, Microsoft Forefront Uag 2010 Administrator's Handbook, Packt Publishing, 2011 (ISBN 978-1-849-68163-6)
(en) Richard Deal, Cisco ASA Configuration, McGraw-Hill Education, 2009 (ISBN 978-0-071-62268-4), p. 413

Liens externes[modifier | modifier le code]

(en)Split Tunneling sous Linux

[1] (en-US) Moe Long, « Best VPN for Split Tunneling », sur Tech Up Your Life, 22 juillet 2021 (consulté le 21 octobre 2021)

[2] (en) Eric Jeffery, « VPN Split-Tunneling – To Enable or Not To Enable », sur Infosecurity Magazine, 19 juin 2020 (consulté le 19 octobre 2020)

[3] (en-US) Kurt Mackie, « Microsoft Touts Split Tunneling with VPNs To Support Remote Workers -- Redmondmag.com », sur Redmond Mag, 26 mars 2020 (consulté le 19 octobre 2020)

[4] (en) Michael Cooney, « Cisco, others, shine a light on VPN split-tunneling », sur Network World (consulté le 19 octobre 2020)

[5] (en) « Remote Access VPN and a Twist on the Dangers of Split Tunneling, May 10, 2005, retrieved December 5, 2017 », sur TechGenix, 10 mai 2005 (consulté le 5 décembre 2017)

[6] (en) Richard Bramante, Al Martin et James Edwards, Nortel Guide to VPN Routing for Security and VoIP, Wiley, 2006, 454 p. (ISBN 9780470073001)

[7] (en) Cisco, « AnyConnect Split Tunneling (Local Lan Access, Split Tunneling, Static & Dynamic (Domain) », 24 mars 2020

[1]

[2]

[3]

[4]

[5]

[6]

[7]