Я видел несколько аудитов ИТ-безопасности, которые запрашивали, реализовано ли раздельное туннелирование для удаленных пользователей VPN. Я могу оценить преимущества душевного спокойствия от отключения раздельного туннелирования, так как вы в основном действуете как прокси-сервер, если пользователь желает исследовать нижние области Интернета, а не ваше новое модное решение CRM. Я всегда немного стеснялся отключать туннелирование, потому что я чувствую, что это может вызвать непредвиденные последствия с точки зрения перегрузки полосы пропускания на удаленных каналах WAN, чрезмерного использования удаленного сервера и т. Д. Это просто кажется довольно жестким. Но с другой стороны, там являются законные риски, возникающие при разрешении раздельного туннелирования, например, злонамеренные пользователи, переключающиеся на ваш канал VPN и вызывающие проблемы.
Есть ли что-то (правила брандмауэра, правила политики и т. Д.), Которое является хотя бы «промежуточным» решением? Цель состоит в том, чтобы предотвратить несанкционированное использование сети VPN, но я не могу придумать способ надежно победить потенциального злоумышленника, взломавшего промежуточную систему и получившего доступ к сети.
В самом деле, если ваша модель угроз включает злоумышленников, которые входят через Интернет для управления компьютером пользователя, а затем используют его для доступа к VPN, у вас нет большой альтернативы. Я мог бы предложить всевозможные решения для разделения ПК пользователя на часть, которая может разговаривать по Интернету, и другую часть, которая может разговаривать по VPN, в то время как части не могут общаться друг с другом, от сегментированных доменов маршрутизации до отдельных виртуальных машин, но это все напрасно, если противник контролирует ПК.
Технически, вы даже не в безопасности БЕЗ раздельного туннелирования, если считаете, что злоумышленник может получить контроль над ПК, пока VPN не работает, а затем воспользоваться им позже (не интерактивно), пока VPN работает.
Так что все зависит от того, какую модель угроз вы хотите рассмотреть и насколько далеко вы готовы зайти, чтобы победить ее.
Если я серьезно не понимаю ваш вопрос, ответ будет отрицательным.
Разделенное туннелирование эффективно сохраняет шлюз по умолчанию в локальной сети, тогда как альтернативный переносит его на удаленную сторону туннеля. Поскольку у вас может быть только один активный шлюз по умолчанию, на самом деле нет золотой середины.
Опасность заключается не только в том, что злоумышленники перепрыгивают через VPN-клиент. Меня всегда больше беспокоили учетные данные и т. Д., Предназначенные для выхода vpn в Интернет.