Bölünmüş tünelleme güvenli midir?

Bu bir değiş-tokuştur, doğası gereği güvenli veya güvensiz değildir. Hariç tutulan her uygulama veya URL, VPN'in gizlilik korumalarını atlar. Hassas olmayan trafik için (akış, yazılım güncellemeleri, ev ağı erişimi) bu denge iyidir ve bant genişliğinden tasarruf sağlar. Hassas trafik için tam tünel açmak daha güvenlidir.

Bölünmüş dahil etme veya bölünmüş hariç tutma kullanmalı mıyım?

Tüketiciler için bölünmüş hariç tutma genellikle daha güvenlidir; her şey varsayılan olarak korunur; doğrudan erişim gerektiren belirli uygulamaları devre dışı bırakırsınız. Tanımlı bir kurumsal uygulama listesine sahip kuruluşlar için bölünmüş dahil etme yaygındır; yalnızca kurumsal uygulamalar kurumsal VPN'den geçer.

Bölünmüş tünel Netflix'i daha hızlı izlememi sağlar mı?

Çoğu zaman evet. Akış hizmetleri sıklıkla VPN bağlantılarını kısıtlar veya engeller; bunu yapmasalar bile, VPN atlama noktasının ekstra gecikmesi akış kalitesini düşürebilir. Akış uygulamasının tünelden hariç tutulması, uygulamanın tam hızda doğrudan bağlanmasına olanak tanır.

Tüneli web sitesine göre bölebilir miyim?

Bazı VPN'ler (Surfshark'ın Bypasser'ı, belirli platformlardaki NordVPN, tarayıcı uzantıları) URL'yi veya etki alanı tabanlı bölünmüş tünellemeyi destekler. Diğerleri yalnızca uygulama düzeyini destekler (tarayıcı işleminin tamamı tünelin içinde veya dışındadır). Belirli VPN'in belgelerini kontrol edin.

ExpressVPN DNS sızıntısı hatası neden oluştu?

Windows bölünmüş tünel uygulamasında, Mayıs 2022 ile Şubat 2024 arasında tünelin dışında tutulması gereken uygulamalardan DNS sorgularının sızdırılmasına neden olan bir kusur vardı. Hata özellikle bölünmüş tünelleme ile sistem DNS çözümleyicisi arasındaki etkileşimi etkiledi. ExpressVPN 2024'ün başlarında yama uyguladı. Bu bölüm, bölünmüş tünel kullanıcılarının neden kurulumlarını bir sızıntı testiyle periyodik olarak doğrulamaları gerektiğine dair standart bir örnek olay incelemesidir.

Bölünmüş Tünelleme Açıklaması: VPN'inizi Ne Zaman Atlamalı ve Ne Zaman Atlamamalısınız

Bölünmüş tünelleme, bazı uygulamaları VPN'niz üzerinden, bazılarını ise doğrudan yönlendirmenize olanak tanır. Bant genişliğinden tasarruf sağlar, uygulama akışındaki garipliği giderir ve iş VPN'indeyken ev yazıcınızı kullanmanıza olanak tanır. Ayrıca, yanlış yapılandırmanız durumunda gerçek güvenlik ödünleşimleri de yaratır. Bu pratik kılavuzdur: nedir, ne zaman kullanılır, ne zaman bırakılmalıdır ve her büyük VPN'in bunu nasıl uyguladığı.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

Bölünmüş tünelleme gerçekte ne işe yarar

Varsayılan olarak bir VPN, her şeyi'i şifreli tünel üzerinden yönlendirir. İş e-postanız, Netflix akışınız, DNS aramalarınız, yazılım güncellemeleriniz; hepsi önce VPN çıkış sunucusuna, ardından hedefe gider. Bu "tam tünel açmadır."

Bölünmüş tünel açma bu rotalardan bazılarını tersine çevirir. Belirli uygulamalar, URL'ler veya IP aralıkları VPN yerine doğrudan internete gider. Bölünme işletim sistemi düzeyinde gerçekleşir; yönlendirme tablosu çekirdeğe "Slack masaüstü uygulamasını VPN arayüzü aracılığıyla gönder, Spotify'ı normal Wi-Fi arayüzü aracılığıyla gönder" der.

İki tat

Split-include (en yaygın olanı): "Yalnızca bu belirli uygulamalar/URL'ler/IP'ler VPN üzerinden geçer. Geriye kalan her şey doğrudan gider." Varsayılan çıkış, tünele katılım.
Split-exclude (veya ters bölünmüş tünel): "Her şey VPN üzerinden gider. Bu belirli uygulamalar/URL'ler/IP'ler dışında doğrudan gider." Varsayılan olarak girme, tünelden çıkma.

Çoğu tüketici senaryosu için, bölünmüş hariç tutma daha güvenli varsayılandır; siz açıkça istisnalar oluşturmadığınız sürece her şey korunur. Kurumsal dağıtımlar için bölünmüş dahil etme daha yaygındır; yalnızca kurumsal uygulamalar kurumsal VPN üzerinden geçer, diğer her şey kullanıcının doğrudan bağlantısını kullanır.

Üç ayrıntı düzeyi

Uygulama tabanlı: işlemin bağlantıyı başlattığı yol. "Firefox VPN'den geçiyor, Slack geçmiyor." En kullanıcı dostu. Windows, Android, modern macOS (Netns veya eBPF aracılığıyla) ve Linux'ta (netns veya eBPF aracılığıyla) çalışır.
URL/etki alanı tabanlı: hedef ana bilgisayar adına göre yönlendirme. "work-app.company.com VPN aracılığıyla, diğer her şey doğrudan." Tünel kararından önce hangi etki alanına bağlandığınızı bilmek için VPN istemcisinin DNS ile entegre olmasını gerektirir.
IP/CIDR tabanlı: hedef IP'ye göre yönlendirme. "10.0.0.0/8 VPN aracılığıyla, geri kalan her şey doğrudan." Orijinal ve en düşük seviye yöntemi. Her yerde çalışır ancak IP aralıklarının önceden bilinmesini gerektirir.

Bölünmüş tünelleme mantıklı olduğunda

Yerel içerik akışı ve oyun oynama

Birçok akış hizmeti ve oyun, bir VPN üzerinde daha kötü performans gösterir; ek gecikme ve ara sıra IP engellemeleri. Bölünmüş tünelleme, gizliliğe duyarlı uygulamalarınız (tarayıcı, mesajlaşma programları) tünelde kalırken Netflix veya Steam'in doğrudan bağlanmasına olanak tanır. Yaygın tüketici kullanım örneği.

Ev ağı cihazına erişim

Bir VPN'ye bağlıysanız, dizüstü bilgisayarınız 192.168.1.x'teki ev yazıcınızı, NAS'ınızı veya akıllı ev cihazlarınızı göremez. Yerel alt ağın tünelden hariç tutulması, VPN'in internet trafiğindeki gizliliğinden ödün vermeden LAN erişimini geri yükler.

Bankacılık ve VPN'leri engelleyen uygulamalar

Bazı bankalar, ödeme uygulamaları ve devlet hizmetleri, dolandırıcılığa karşı koruma olarak VPN IP'lerini engeller. Bölünmüş tünelleme, diğer her şey korunurken yalnızca bu uygulamaları doğrudan çalışacak şekilde oluşturmanıza olanak tanır. (VPN'i tamamen kapatmaktan daha iyidir.)

Enterprise: M365 bölünmüş tünel

Microsoft, M365 uç noktalarının (Teams, Outlook, OneDrive, SharePoint) güncellenmiş bir listesini yayınlar ve bunların kurumsal VPN'lerden hariç tutulmasını açıkça önerir. Aksi takdirde uzak bir iş gücünden gelen M365 trafiğinin hacmi VPN yoğunlaştırıcıyı doyurur. Doğrudan M365'e yönlendirme, güvenlikten ödün vermeden darboğazı ortadan kaldırır çünkü M365'in kendi modern kimlik doğrulaması ve şifrelemesi vardır.

Bant genişliği açısından yoğun, hassas olmayan trafik

Yazılım güncellemeleri, oyun indirmeleri, kamu hizmetlerine video konferans. Bunları tünellemek VPN sağlayıcı bant genişliğini boşa harcar ve gizlilik avantajı olmadan gecikme ekler.

Tünel ne zaman bölünmemeli

Hangi uygulamaların nereye yönlendirdiğini tam olarak anlamıyorsanız. Yanlış yapılandırılmış bölünmüş tüneller, korunduğunu düşündüğünüz şeyleri açığa çıkarır.
Eğer düşmanca bir ağdasınız ve kapsamlı bir gizlilik istiyorsunuz. Kamuya açık Wi-Fi, otel ağları, sansürlenen ülkeler — tam tünelleme daha güvenlidir.
Sansürü alt etmeye çalışıyorsanız. Doğrudan giden her şey sansürcü tarafından görülebilir; VPN'in tüm amacı her şeyi gizlemektir.
Anonimliğe duyarlı bir iş akışı için VPN kullanıyorsanız. Tek bir doğrudan bağlantı bile (DNS araması, tarayıcı eklentisi, telemetri) kimlik sızdırır.

Güvenlik değiş tokuşları

Bölünmüş tünelleme kasıtlı olarak delikler açar VPN'nin korumasında. Her bir hariç tutma:

VPN'in DNS korumasını atlayan bir bağlantı.
Fiziksel olarak hangi ağda olursanız olun görünen bir bağlantı.
Gerçek IP'nizi hedefine gösteren bir bağlantı.
Bir saldırı yüzeyi — kötü amaçlı bir site bir şekilde atlama listesindeyse, gerçek IP'niz açığa çıkar.

The standart tavsiye: bölünmüş dahil etme yerine bölünmüş hariç tutmayı tercih edin (varsayılan olarak daha güvenli), hariç tutma listesini kısa tutun, periyodik olarak denetleyin.

Büyük VPN'ler arasında uygulama

NordVPN: Windows + Android'de bölünmüş tünel oluşturma, uygulama tabanlı. macOS.
ExpressVPN ile sınırlıdır: tüm önemli platformlarda uygulama başına. Windows bölünmüş tünellemede Mayıs 2022'den Şubat 2024'e kadar kayda değer bir DNS sızıntısı hatası yaşandı.
Surfshark: "Bypasser" — Windows ve Android'de uygulama tabanlı ve URL tabanlı.
PIA: Windows, macOS, Linux'ta uygulama tabanlı ve IP tabanlı, Android.
Mullvad: tüm platformlarda komut satırı/CLI bölünmüş tünelleme; daha az gösterişli UI.
ProtonVPN: tüm önemli platformlarda uygulama tabanlı ve IP tabanlı bölünmüş tünelleme.
Windscribe: özellikle ayrıntılı, yerleşik tarayıcı uzantısı bölünmüş tünelleme.

Bölünmüş tünelinizin çalıştığını nasıl test edersiniz amaçlandığı gibi

Bölünmüş tünelleme yapılandırılmış olarak VPN'nize bağlanın.
Tünelde olan bir tarayıcı açın — ana sayfamızı ziyaret edin ve IP'nizin VPN çıkışını gösterdiğini doğrulayın.
hariç olan bir tarayıcı veya uygulamayı açın — gerçek adresinizi gösterdiğini doğrulayın IP.
DNS sızıntı testimizi çalıştırın her ikisinde de — DNS, trafikle aynı yönlendirmeyi izlemelidir.
WebRTC ve IPv6 sızıntılarının ağ bağlantınızı atlamadığını doğrulamak için tam VPN sızıntı testimizi çalıştırın config.

Şaşırtıcı yapılandırma hataları yaygındır. ExpressVPN'in 21 aylık DNS sızıntısı hatası yalnızca özel olarak bölünmüş tünel kullanıcılarını etkiledi; testler bunu nihai açıklamadan önce yakalayabilirdi.

Sık sorulan sorular

Bölünmüş tünelleme güvenli midir?: Bu bir değiş-tokuştur, doğası gereği güvenli veya güvensiz değildir. Hariç tutulan her uygulama veya URL, VPN'in gizlilik korumalarını atlar. Hassas olmayan trafik için (akış, yazılım güncellemeleri, ev ağı erişimi) bu denge iyidir ve bant genişliğinden tasarruf sağlar. Hassas trafik için tam tünel açmak daha güvenlidir.
Bölünmüş dahil etme veya bölünmüş hariç tutma kullanmalı mıyım?: Tüketiciler için bölünmüş hariç tutma genellikle daha güvenlidir; her şey varsayılan olarak korunur; doğrudan erişim gerektiren belirli uygulamaları devre dışı bırakırsınız. Tanımlı bir kurumsal uygulama listesine sahip kuruluşlar için bölünmüş dahil etme yaygındır; yalnızca kurumsal uygulamalar kurumsal VPN'den geçer.
Bölünmüş tünel Netflix'i daha hızlı izlememi sağlar mı?: Çoğu zaman evet. Akış hizmetleri sıklıkla VPN bağlantılarını kısıtlar veya engeller; bunu yapmasalar bile, VPN atlama noktasının ekstra gecikmesi akış kalitesini düşürebilir. Akış uygulamasının tünelden hariç tutulması, uygulamanın tam hızda doğrudan bağlanmasına olanak tanır.
Tüneli web sitesine göre bölebilir miyim?: Bazı VPN'ler (Surfshark'ın Bypasser'ı, belirli platformlardaki NordVPN, tarayıcı uzantıları) URL'yi veya etki alanı tabanlı bölünmüş tünellemeyi destekler. Diğerleri yalnızca uygulama düzeyini destekler (tarayıcı işleminin tamamı tünelin içinde veya dışındadır). Belirli VPN'in belgelerini kontrol edin.
ExpressVPN DNS sızıntısı hatası neden oluştu?: Windows bölünmüş tünel uygulamasında, Mayıs 2022 ile Şubat 2024 arasında tünelin dışında tutulması gereken uygulamalardan DNS sorgularının sızdırılmasına neden olan bir kusur vardı. Hata özellikle bölünmüş tünelleme ile sistem DNS çözümleyicisi arasındaki etkileşimi etkiledi. ExpressVPN 2024'ün başlarında yama uyguladı. Bu bölüm, bölünmüş tünel kullanıcılarının neden kurulumlarını bir sızıntı testiyle periyodik olarak doğrulamaları gerektiğine dair standart bir örnek olay incelemesidir.