Tunelamento dividido de VPN (split tunneling)
O que é Tunelamento dividido de VPN (split tunneling)?
Tunelamento dividido de VPN (split tunneling)Configuracao de VPN que encaminha apenas trafego selecionado (por exemplo, subredes corporativas) pelo tunel cifrado, deixando o restante sair diretamente para a Internet.
O split tunneling configura-se nos clientes VPN (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, agentes ZTNA) para que apenas determinados destinos, normalmente intervalos IP internos, sufixos DNS ou aplicacoes, atravessem o tunel cifrado. O restante segue pelo uplink local de Internet. Beneficios: menor carga no concentrador VPN, latencia menor para SaaS e ausencia de duplo NAT em servicos de nuvem. Desvantagens reais: o endpoint esta simultaneamente numa rede de confianca e na Internet publica, o que enfraquece a fronteira de seguranca, dificulta o DLP e a inspecao e pode vazar DNS pelo resolver local. Arquiteturas modernas compensam com tunel completo para dispositivos geridos, politicas ZTNA por aplicacao, DNS seguro para o resolver corporativo e EDR em cada endpoint.
● Exemplos
- 01
Um cliente WireGuard encaminha apenas 10.0.0.0/8 pelo tunel corporativo e envia o trafego do Zoom diretamente para a Internet.
- 02
As recomendacoes de split-tunnel da Microsoft 365 excluem os endpoints otimizados de Exchange, SharePoint e Teams do VPN corporativo.
● Perguntas frequentes
O que é Tunelamento dividido de VPN (split tunneling)?
Configuracao de VPN que encaminha apenas trafego selecionado (por exemplo, subredes corporativas) pelo tunel cifrado, deixando o restante sair diretamente para a Internet. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Tunelamento dividido de VPN (split tunneling)?
Configuracao de VPN que encaminha apenas trafego selecionado (por exemplo, subredes corporativas) pelo tunel cifrado, deixando o restante sair diretamente para a Internet.
Como funciona Tunelamento dividido de VPN (split tunneling)?
O split tunneling configura-se nos clientes VPN (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, agentes ZTNA) para que apenas determinados destinos, normalmente intervalos IP internos, sufixos DNS ou aplicacoes, atravessem o tunel cifrado. O restante segue pelo uplink local de Internet. Beneficios: menor carga no concentrador VPN, latencia menor para SaaS e ausencia de duplo NAT em servicos de nuvem. Desvantagens reais: o endpoint esta simultaneamente numa rede de confianca e na Internet publica, o que enfraquece a fronteira de seguranca, dificulta o DLP e a inspecao e pode vazar DNS pelo resolver local. Arquiteturas modernas compensam com tunel completo para dispositivos geridos, politicas ZTNA por aplicacao, DNS seguro para o resolver corporativo e EDR em cada endpoint.
Como se defender contra Tunelamento dividido de VPN (split tunneling)?
As defesas contra Tunelamento dividido de VPN (split tunneling) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Tunelamento dividido de VPN (split tunneling)?
Nomes alternativos comuns: Split Tunnel, Roteamento VPN seletivo.
● Termos relacionados
- network-security№ 1213
Kill switch de VPN
Salvaguarda que bloqueia automaticamente todo o trafego de rede do host quando o tunel VPN cai, evitando fugas acidentais por uma ligacao nao cifrada.
- network-security№ 042
VPN sempre ativa (Always-On VPN)
Politica ao nivel do dispositivo que estabelece o tunel VPN assim que ha rede e recusa trafego fora do tunel, imposta por perfis Windows, Apple e Android.
- privacy№ 339
Fuga de DNS
Falha de privacidade em que as consultas DNS contornam o túnel VPN ou Tor e são enviadas em claro ao ISP ou ao resolver predefinido.
- network-security№ 556
IPsec
Conjunto de protocolos do IETF que autentica e cifra pacotes IP para fornecer comunicações seguras na camada de rede.
- network-security№ 1244
WireGuard
Protocolo VPN moderno e minimalista que utiliza um conjunto fixo de primitivas criptográficas atuais e corre como parte do kernel Linux.