Bu sayfada, tüketici ve kurumsal sanal özel ağ (VPN) uygulamalarının ağlarında iyi bir son kullanıcı deneyimi sunmasını sağlamak için ağ operatörlerine yönelik yönergeler sağlanmaktadır. Android, geliştiricilerin VPN çözümleri oluşturması için VpnManager sınıfını sağlar. Bu sınıf, tüketiciler ve kuruluşlar tarafından iletişimlerini şifrelemek veya farklı ağlara yönlendirmek için kullanılır.
Ağ operatörlerinin aşağıdaki kurallara uymasını öneririz:
- Ağınızda IPv6 Encapsulating Security Payload (ESP) protokolü (Sonraki Başlık 50) paketlerini destekleyin. Bu sayede, bu trafiğin kullanıcı datagram protokolü (UDP) veya iletim denetimi protokolü (TCP) bağlantılarıyla benzer performansa sahip olmasını sağlayabilirsiniz. ESP oturumlarına gelen cihazlara gelene izin verilmeli veya çok yüksek zaman aşımlarına ayarlanmalı ve satır hızında yönlendirilmelidir.
- VPN çözümlerinin aşırı güç maliyetine yol açmadan güvenilir bağlantıyı sürdürebilmesi için 4500 numaralı bağlantı noktasındaki UDP bağlantıları için en az 600 saniyelik ağ adresi dönüştürme (NAT) ve durum bilgili güvenlik duvarı zaman aşımları ayarlayın.
IPv6 ESP protokolünü (Sonraki Başlık 50) destekleyen paketler
Güvenlik Yükünü kaplayan (ESP), bir VPN çözümündeki paketleri şifrelemek ve kimliklerini doğrulamak için kullanılan İnternet Protokol Güvenliği (IPSec) protokol grubunun bir parçası olarak tanımlanan paket biçimidir. Android OS, bu standart güvenlik protokolünü yerleşik VPN çözümünde uygular.
IPv6 uyumlu ağlarda ESP paketleri, 50'lik bir Sonraki Başlık alanıyla doğrudan IPv6 paketlerinde taşınır. Bir ağ bu tür paketleri düzgün şekilde desteklemiyorsa paketlerin daha fazla kapsüllenmeden bu protokolü kullanmayı amaçlayan VPN çözümlerinde bağlantı eksikliğine neden olabilir. Ağ, güvenlik duvarı yapılandırması nedeniyle bu paketleri düşürebilir. ESP paketleri, TCP veya UDP bağlantılarına kıyasla aktarım performansının ciddi şekilde düştüğü ağdaki yavaş yollarla karşılaşabilir.
İnternet Mühendisliği Görev Gücü (IETF), tüketici internet erişimi hizmetleri tarafından kullanılan güvenlik duvarları üzerinden IPsec'e izin verilmesini önerir. Örneğin, RFC 6092 bölüm 3.2.4'e bakın. Bir cihaz mevcut bir güvenlik ilişkisinin parçası olmayan bir ESP paketi alırsa paketi düşürdüğü için ESP paketlerine güvenlik duvarlarından her iki yönde de güvenli bir şekilde izin verilebilir. Sonuç olarak, cihazın VPN bağlantısını korumak için keepalive paketleri göndermesi gerekmez. Bu da pil ömrünü uzatır. Ağların cihazlara yönelik ESP paketlerine her zaman izin vermesini veya ESP oturumlarını yalnızca uzun süre (örneğin, 30 dakika) işlem yapılmadığında zaman aşımına uğratmasını öneririz.
Ağ operatörlerinin ağlarında ESP protokol paketlerini (Sonraki Başlığı 50 olan IPv6 paketleri) desteklemesini ve bu paketleri hat hızında donanımda yönlendirmesini öneririz. Bu sayede VPN çözümleri bağlantı sorunlarıyla karşılaşmaz ve UDP veya TCP bağlantılarına benzer performans sağlar.
Yeterli NAT ve durum bilgili güvenlik duvarı zaman aşımları ayarlayın
Bağlantı güvenilirliğini korumak için VPN çözümünün, giden ve gelen bağlantı sağlayan (örneğin gelen push bildirimlerini, sohbet mesajlarını ve sesli ya da görüntülü aramaları almak için) VPN sunucusuyla uzun ömürlü bir bağlantı sağlaması gerekir. Çoğu IPsec VPN uygulaması, RFC 3948'de açıklandığı gibi, hedef bağlantı noktası 4500 olan IPv4 UDP paketleri içine alınmış ESP'yi kullanır.
Bu bağlantıyı sürdürmek için cihazın sunucuya düzenli olarak paket göndermesi gerekir. Bu paketler, ağ operatörü tarafından uygulanan NAT ve güvenlik duvarı zaman aşımlarından daha yüksek bir sıklıkta gönderilmelidir. Sık keepalive isteklerinin istemci tarafında güç tüketimi yüksektir ve pil ömrünü önemli ölçüde etkiler. Ayrıca, cihaz boşta olsa bile ağda önemli miktarda sinyal trafiği oluşturur.
Operatörlerin, pil üzerindeki etkiyi önlemek için NAT ve durum bilgisine sahip güvenlik duvarı zaman aşımlarını yeterince yüksek bir değere ayarlamalarını öneririz. IPsec UDP kapsülleme (4500 numaralı bağlantı noktası) için önerilen zaman aşımı 600 saniye veya daha uzundur.
Mobil ağlarda, IPv4 adres sıkıntısı nedeniyle bağlantı noktası yeniden kullanım faktörleri yüksek olduğundan UDP NAT zaman aşımları genellikle düşük tutulur. Ancak bir VPN oluşturulduğunda cihaz ağının, gelen bildirimleri iletmek için kullanılanlar gibi uzun ömürlü TCP bağlantılarını desteklemesine gerek yoktur. Bu nedenle, VPN çalışırken ağın desteklemesi gereken uzun süreli bağlantı sayısı, VPN çalışmadığındaki aynı veya daha düşüktür.