我见过一些 IT 安全审计,要求确定是否为远程 VPN 用户实施了拆分隧道。我非常欣赏禁用拆分隧道所带来的安心,因为如果用户希望探索互联网的底层区域而不是您新奇的 CRM 解决方案,您基本上可以充当代理服务器。不过,我一直对禁用隧道有些犹豫,因为我觉得它可能会导致意想不到的后果,比如占用远程 WAN 链路的带宽、过度使用远程服务器等。这似乎有点太过分了。但另一方面,是允许拆分隧道时涉及的合法风险,例如恶意用户跳转到您的 VPN 链接并造成麻烦。
是否有某种东西(防火墙规则、策略规则等)至少是一种“中间”解决方案?目标是防止未经授权使用 VPN 网络,但我想不出一种方法来可靠地阻止潜在攻击者破坏中间系统并获得网络访问权限。
答案1
事实上,如果你的威胁模型包括对手通过互联网控制用户的 PC,然后使用它访问 VPN,那么你别无选择。我可以建议各种解决方案,将用户的 PC 划分为可以在互联网上通信的部分和可以在 VPN 上通信的另一部分,而两部分之间不能相互通信,从隔离的路由域到单独的虚拟机,但如果对手控制了 PC,那么这一切都是徒劳的。
从技术上讲,如果您考虑到对手可以在 VPN 关闭时控制 PC,然后在 VPN 启动时(非交互地)利用它,那么即使没有分割隧道,您也不会安全。
所以这完全取决于您想要考虑什么样的威胁模型以及您愿意付出多大努力来击败它。
答案2
除非我严重误解了你的问题,否则答案是否定的。
分割隧道有效地将默认网关保留在本地网络上,而替代方案将其移至隧道的远端。由于您只能有一个活动的默认网关,因此实际上没有中间立场。
危险不仅仅来自恶意用户通过 VPN 客户端跳转。我一直更担心 VPN 的凭证等是否能进入互联网。