Tunneling VPN partage (split tunneling)
Qu'est-ce que Tunneling VPN partage (split tunneling) ?
Tunneling VPN partage (split tunneling)Configuration VPN qui ne route que certains flux (sous-reseaux d'entreprise, par exemple) dans le tunnel chiffre, le reste sortant directement sur Internet.
Le split tunneling se configure sur les clients VPN (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, agents ZTNA) afin que seuls certains destinations, typiquement des plages IP internes, des suffixes DNS ou des applications, transitent par le tunnel chiffre. Le reste passe par la sortie Internet locale. Les benefices : moins de charge sur le concentrateur, latence reduite vers les SaaS, pas de double NAT vers le cloud. Les inconvenients sont reels : le poste est simultanement sur le reseau de confiance et sur l'Internet public, ce qui affaiblit la frontiere de securite, complique le DLP et l'inspection, et peut faire fuir le DNS via le resolveur local. Les architectures modernes y repondent par un tunnel complet pour les terminaux geres, des politiques ZTNA par application, un DNS securise vers le resolveur d'entreprise et un EDR sur chaque poste.
● Exemples
- 01
Un client WireGuard route uniquement 10.0.0.0/8 par le tunnel d'entreprise et envoie le trafic Zoom directement sur Internet.
- 02
Le guide split-tunnel de Microsoft 365 exclut les endpoints optimises Exchange, SharePoint et Teams du VPN d'entreprise.
● Questions fréquentes
Qu'est-ce que Tunneling VPN partage (split tunneling) ?
Configuration VPN qui ne route que certains flux (sous-reseaux d'entreprise, par exemple) dans le tunnel chiffre, le reste sortant directement sur Internet. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Tunneling VPN partage (split tunneling) ?
Configuration VPN qui ne route que certains flux (sous-reseaux d'entreprise, par exemple) dans le tunnel chiffre, le reste sortant directement sur Internet.
Comment fonctionne Tunneling VPN partage (split tunneling) ?
Le split tunneling se configure sur les clients VPN (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, agents ZTNA) afin que seuls certains destinations, typiquement des plages IP internes, des suffixes DNS ou des applications, transitent par le tunnel chiffre. Le reste passe par la sortie Internet locale. Les benefices : moins de charge sur le concentrateur, latence reduite vers les SaaS, pas de double NAT vers le cloud. Les inconvenients sont reels : le poste est simultanement sur le reseau de confiance et sur l'Internet public, ce qui affaiblit la frontiere de securite, complique le DLP et l'inspection, et peut faire fuir le DNS via le resolveur local. Les architectures modernes y repondent par un tunnel complet pour les terminaux geres, des politiques ZTNA par application, un DNS securise vers le resolveur d'entreprise et un EDR sur chaque poste.
Comment se défendre contre Tunneling VPN partage (split tunneling) ?
Les défenses contre Tunneling VPN partage (split tunneling) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Tunneling VPN partage (split tunneling) ?
Noms alternatifs courants : Split tunnel, Routage VPN selectif.
● Termes liés
- network-security№ 1213
Kill switch VPN
Garde-fou qui coupe automatiquement tout le trafic reseau du poste lorsque le tunnel VPN tombe, afin d'eviter toute fuite involontaire sur une liaison non chiffree.
- network-security№ 042
VPN toujours actif (Always-On VPN)
Politique au niveau de l'appareil qui etablit le tunnel VPN des qu'un reseau est disponible et refuse tout trafic hors tunnel, imposee par des profils Windows, Apple et Android.
- privacy№ 339
Fuite DNS
Défaillance de confidentialité dans laquelle les requêtes DNS contournent le tunnel VPN ou Tor et sont envoyées en clair au FAI ou au résolveur par défaut.
- network-security№ 556
IPsec
Suite de protocoles IETF qui authentifie et chiffre les paquets IP pour assurer des communications sécurisées au niveau réseau.
- network-security№ 1244
WireGuard
Protocole VPN moderne et minimaliste, utilisant un jeu fixe de primitives cryptographiques actuelles, intégré au noyau Linux.