Bu sayfada, ağ operatörlerinin tüketici ve kurumsal sanal özel ağ (VPN) uygulamalarının ağlarında iyi bir son kullanıcı deneyimi sunmasını sağlamaya yönelik yönergeler yer almaktadır. Android, geliştiricilerin VPN çözümleri oluşturması için VpnManager sınıfını sağlar. Bu çözümler, tüketiciler ve işletmeler tarafından iletişimlerini şifrelemek veya farklı ağlara yönlendirmek için kullanılır.
Ağ operatörlerinin aşağıdaki yönergelere uymasını öneririz:
- Ağınızda IPv6 Encapsulating Security Payload (ESP) protokolü (Next Header 50) paketlerini destekleyin. Bu sayede, bu trafiğin kullanıcı datagram protokolü (UDP) veya iletim kontrol protokolü (TCP) bağlantılarıyla karşılaştırılabilir bir performansa sahip olmasını sağlayın. ESP oturumlarına cihazlara gelen bağlantı izni verilmelidir veya oturum zaman aşımı çok yüksek bir değere ayarlanmalı ve satır hızında yönlendirilmelidir.
- VPN çözümlerinin aşırı güç maliyetine yol açmadan güvenilir bağlantıyı sürdürebilmesi için ağ adresi çevirisi (NAT) ve durum bilgisi olan güvenlik duvarı zaman aşımlarını, 4500 numaralı bağlantı noktasındaki UDP bağlantıları için en az 600 saniye olacak şekilde ayarlayın.
IPv6 ESP protokolü (Sonraki Başlık 50) paketlerini destekler.
Encapsulating Security Payload (ESP), bir VPN çözümünde paketleri şifrelemek ve kimliğini doğrulamak için İnternet Protokolü Güvenliği (IPSec) protokol kümesinin bir parçası olarak tanımlanan paket biçimidir. Android işletim sistemi, bu standart güvenlik protokolünü yerleşik VPN çözümünde uygular.
IPv6 özellikli ağlarda ESP paketleri, 50 olan bir Sonraki Başlık alanı ile doğrudan IPv6 paketlerinde taşınır. Bir ağ bu tür paketleri düzgün şekilde desteklemiyorsa paketlerin daha fazla kapsüllenmesi olmadan bu protokolü kullanmayı amaçlayan VPN çözümlerinde bağlantı eksikliğine neden olabilir. Ağ, güvenlik duvarı yapılandırması nedeniyle bu paketleri bırakabilir. Alternatif olarak, ESP paketleri ağdaki yavaş yollara ulaşabilir ve TCP veya UDP bağlantılarına kıyasla ciddi şekilde düşen bir aktarım hızı performansı gösterebilir.
İnternet Mühendisliği Görev Gücü (IETF), tüketici internet erişim hizmetleri tarafından kullanılan güvenlik duvarlarında IPsec'e izin verilmesini önerir. Örneğin, RFC 6092 bölüm 3.2.4'e bakın. ESP paketlerinin her iki yönde de güvenlik duvarlarından güvenli bir şekilde geçmesine izin verilebilir. Bunun nedeni, bir cihazın mevcut bir güvenlik ilişkilendirmesinin parçası olmayan bir ESP paketi alması durumunda paketi bırakmasıdır. Bu nedenle, cihazın VPN bağlantısını sürdürmek için canlı tutma paketleri göndermesi gerekmez. Bu da pil ömrünü uzatır. Ağların, ESP paketlerinin cihazlara her zaman ulaşmasına izin vermesini veya ESP oturumlarının yalnızca uzun süre etkinlik olmadıktan sonra (ör. 30 dakika) zaman aşımına uğramasını öneririz.
Ağ operatörlerinin, ağlarında ESP protokolü paketlerini (50 Next Header'a sahip IPv6 paketleri) desteklemesini ve bu paketleri donanımda hat hızında iletmesini öneririz. Bu sayede VPN çözümlerinde bağlantı sorunları yaşanmaz ve UDP veya TCP bağlantılarına benzer performans sağlanır.
Yeterli NAT ve durum bilgisi olan güvenlik duvarı zaman aşımları ayarlayın
Bağlantı güvenilirliğini korumak için VPN çözümünün, giden ve gelen bağlantı sağlayan VPN sunucusuyla uzun süreli bir bağlantı kurması gerekir (ör. gelen anlık bildirimleri, sohbet mesajlarını ve sesli ya da görüntülü aramaları almak için). Çoğu IPsec VPN uygulaması, RFC 3948'de açıklandığı gibi hedef bağlantı noktası 4500 olan IPv4 UDP paketlerinde kapsüllenmiş ESP kullanır.
Bu bağlantının sürdürülmesi için cihazın sunucuya düzenli olarak paket göndermesi gerekir. Bu paketler, ağ operatörü tarafından uygulanan NAT ve güvenlik duvarı zaman aşımlarından daha yüksek bir sıklıkta gönderilmelidir. Sık sık gönderilen canlı tutma paketleri, istemci tarafında güç tüketimini artırır ve pil ömrünü önemli ölçüde etkiler. Ayrıca, cihaz başka bir şekilde boşta olsa bile ağda önemli ölçüde sinyal trafiği oluştururlar.
Operatörlerin, pilin etkilenmemesi için NAT ve durum bilgisi olan güvenlik duvarı zaman aşımlarını yeterince yükseltmesini öneririz. IPsec UDP kapsülleme (bağlantı noktası 4500) için önerilen zaman aşımı 600 saniye veya daha fazladır.
Mobil ağlarda, IPv4 adreslerinin kıtlığı yüksek bağlantı noktası yeniden kullanım faktörlerine yol açtığından UDP NAT zaman aşımları genellikle düşük tutulur. Ancak VPN kurulduğunda cihaz ağının, gelen bildirimleri iletmek için kullanılanlar gibi uzun süreli TCP bağlantılarını desteklemesi gerekmez. Bu nedenle, VPN çalışırken ağın desteklemesi gereken uzun süreli bağlantı sayısı, VPN çalışmadığı zamana kıyasla aynı veya daha düşüktür.