דף זה מספק הנחיות למפעילי רשתות כדי להבטיח שאפליקציות רשת וירטואלית פרטית (VPN) לצרכנים ולארגונים מספקים חווית משתמש קצה טובה ברשתות שלהם. אנדרואיד מספקת את מחלקת VpnManager למפתחים ליצירת פתרונות VPN, המשמשים צרכנים וארגונים כדי להצפין את התקשורת שלהם או לנתב אותם לרשתות שונות.
אנו ממליצים למפעילי רשת לפעול לפי ההנחיות הבאות:
- תמיכה ב-IPv6 Encapsulating Security Payload (ESP) (Next Header 50) מנות ברשת שלך , מה שמבטיח לתעבורה זו ביצועים דומים לחיבורי פרוטוקול Datagram User (UDP) או פרוטוקול בקרת שידור (TCP). יש לאפשר מפגשי ESP להיכנס למכשירים, או להגדיר אותם לזמן קצוב גבוה מאוד, ולהעביר אותם בקצב קו.
- הגדר תרגום כתובות רשת (NAT) ותקופות זמן קצובות של חומת אש שהם מינימום של 600 שניות עבור חיבורי UDP ביציאה 4500 כדי להבטיח שפתרונות VPN יכולים לשמור על קישוריות אמינה מבלי להיגרר בעלויות חשמל מוגזמות.
תמיכה במנות פרוטוקול IPv6 ESP (Next Header 50).
Encapsulating Security Payload (ESP) הוא פורמט החבילות המוגדר כחלק ממערך הפרוטוקולים של Internet Protocol Security (IPSec) להצפנה ואימות מנות בפתרון VPN. מערכת ההפעלה אנדרואיד מיישמת פרוטוקול אבטחה סטנדרטי זה בפתרון ה-VPN המובנה שלה.
ברשתות המתאימות ל-IPv6, מנות ESP מועברות ישירות בחבילות IPv6 עם שדה Next Header של 50. אם רשת אינה תומכת כראוי בסוגי מנות אלו, הדבר עלול לגרום לחוסר קישוריות עבור פתרונות VPN שמטרתם להשתמש בזה פרוטוקול ללא עטיפה נוספת של החבילות. הרשת עלולה להפיל מנות אלה עקב תצורת חומת האש. לחלופין, מנות ESP עשויות להגיע לנתיבים איטיים ברשת, עם ביצועי תפוקה פגומים מאוד בהשוואה לחיבורי TCP או UDP.
ה-Internet Engineering Task Force (IETF) ממליץ לאפשר ל-IPsec דרך חומות אש המשמשות שירותי גישה לאינטרנט לצרכנים. לדוגמה, ראה RFC 6092 סעיף 3.2.4 . ניתן לאפשר בבטחה מנות ESP דרך חומות אש בשני הכיוונים מכיוון שאם מכשיר מקבל חבילת ESP שאינה חלק משיוך אבטחה קיים, המכשיר מפיל את החבילה. כתוצאה מכך, המכשיר לא צריך לשלוח מנות Keepalive כדי לשמור על קישוריות VPN, מה שחוסך חיי סוללה. אנו ממליצים שרשתות יאפשרו מנות ESP למכשירים בכל עת, או פסק זמן של הפעלות ESP רק לאחר תקופות ארוכות של חוסר פעילות (לדוגמה, 30 דקות).
אנו ממליצים למפעילי רשת לתמוך במנות פרוטוקול ESP (מנות IPv6 עם כותרת הבאה של 50) ברשתות שלהם ולהעביר מנות אלו בחומרה בקצב קו. זה מבטיח שפתרונות VPN לא יתקלו בבעיות קישוריות ויספקו ביצועים דומים לחיבורי UDP או TCP.
הגדר מספיק זמן קצוב של NAT וחומת אש
כדי לשמור על אמינות החיבור, פתרון VPN צריך לשמור על חיבור ארוך חיים לשרת ה-VPN המספק קישוריות יוצאת ונכנסת (לדוגמה, כדי לקבל הודעות דחיפה נכנסות, הודעות צ'אט ושיחות שמע/וידאו). רוב אפליקציות IPsec VPN משתמשות ב-ESP המובלעות במנות IPv4 UDP עם יציאת יעד 4500, כמתואר ב- RFC 3948 .
כדי לשמור על חיבור זה, המכשיר צריך לשלוח מעת לעת מנות לשרת. מנות אלו חייבות להישלח בתדירות גבוהה יותר מה-NAT וחומת האש שהוטלה על ידי מפעיל הרשת. חיי שמירה תכופים הם צריכת חשמל מצד הלקוח, ויש להם השפעה רבה על חיי הסוללה. הם גם מייצרים תעבורת איתות ניכרת ברשת, גם אם המכשיר אינו פעיל.
אנו ממליצים למפעילים להעלות את תקופות הזמן הקצובות של NAT ו-Stateful של חומת אש גבוה מספיק כדי להימנע מהשפעת הסוללה. הזמן הקצוב המומלץ עבור אנקפסולציה של IPsec UDP (יציאה 4500) הוא 600 שניות או יותר.
ברשתות סלולריות, פסק זמן של UDP NAT נשמר לעתים קרובות נמוך מכיוון שמחסור בכתובות IPv4 כופה גורמי שימוש חוזר ביציאות גבוהים. עם זאת, כאשר נוצר VPN, רשת המכשירים אינה צריכה לתמוך בחיבורי TCP ארוכים, כגון אלה המשמשים להעברת הודעות נכנסות. אז מספר החיבורים הארוכים שהרשת צריכה לתמוך זהה או נמוך יותר כאשר VPN פועל בהשוואה לזמן שבו VPN אינו פועל.