Auf dieser Seite finden Netzwerkbetreiber Richtlinien, die sicherstellen sollen, dass VPN-Apps (Virtual Private Network) für Verbraucher und Unternehmen in ihren Netzwerken eine gute Nutzererfahrung bieten. Android bietet die Klasse VpnManager, mit der Entwickler VPN-Lösungen erstellen können, die von Nutzern und Unternehmen verwendet werden, um ihre Kommunikation zu verschlüsseln oder an andere Netzwerke weiterzuleiten.
Wir empfehlen Netzwerkbetreibern, diese Richtlinien zu befolgen:
- Unterstützen Sie das IPv6-Encapsulating Security Payload-Protokoll (ESP) (Next Header 50) in Ihrem Netzwerk und sorgen Sie dafür, dass dieser Traffic eine vergleichbare Leistung wie User Datagram Protocol- (UDP) oder Transmission Control Protocol- (TCP) Verbindungen hat. ESP-Sitzungen sollten eingehend auf Geräten zugelassen oder auf sehr hohe Zeitüberschreitungen festgelegt und mit Leitungsgeschwindigkeit weitergeleitet werden.
- Legen Sie Timeouts für die Netzwerkadressübersetzung (NAT) und die Stateful Firewall von mindestens 600 Sekunden für UDP-Verbindungen an Port 4500 fest, damit VPN-Lösungen eine zuverlässige Verbindung aufrechterhalten können, ohne dass übermäßige Stromkosten entstehen.
Unterstützung von IPv6-ESP-Protokollpaketen (Next Header 50)
Encapsulating Security Payload (ESP) ist das Paketformat, das als Teil der Internet Protocol Security (IPSec)-Protokolle zum Verschlüsseln und Authentifizieren von Paketen in einer VPN-Lösung definiert ist. Das Android-Betriebssystem implementiert dieses standardmäßige Sicherheitsprotokoll in seiner integrierten VPN-Lösung.
In IPv6-fähigen Netzwerken werden ESP-Pakete direkt in IPv6-Paketen mit dem Feld „Next Header“ (Nächster Header) 50 übertragen. Wenn ein Netzwerk diese Arten von Paketen nicht richtig unterstützt, kann dies zu einer fehlenden Konnektivität für VPN-Lösungen führen, die dieses Protokoll ohne weitere Kapselung der Pakete verwenden möchten. Das Netzwerk verwirft diese Pakete möglicherweise aufgrund der Firewallkonfiguration. Oder ESP-Pakete durchlaufen langsame Pfade im Netzwerk, was zu einer erheblich verringerten Durchsatzleistung im Vergleich zu TCP- oder UDP-Verbindungen führt.
Die Internet Engineering Task Force (IETF) empfiehlt, IPsec durch Firewalls zuzulassen, die von Internetzugangsdiensten für Verbraucher verwendet werden. Ein Beispiel finden Sie in RFC 6092, Abschnitt 3.2.4. ESP-Pakete können in beide Richtungen sicher durch Firewalls zugelassen werden, da ein Gerät ein ESP-Paket, das nicht Teil einer bestehenden Sicherheitszuordnung ist, verwirft. Daher muss das Gerät keine Keep-Alive-Pakete senden, um die VPN-Verbindung aufrechtzuerhalten. Das spart Akku. Wir empfehlen, dass Netzwerke ESP-Pakete jederzeit an Geräte zulassen oder ESP-Sitzungen erst nach längeren Inaktivitätszeiten (z. B. 30 Minuten) beenden.
Wir empfehlen Netzbetreibern, ESP-Protokollpakete (IPv6-Pakete mit einem „Next Header“ von 50) in ihren Netzwerken zu unterstützen und diese Pakete mit Leitungsgeschwindigkeit in Hardware weiterzuleiten. So wird sichergestellt, dass bei VPN-Lösungen keine Verbindungsprobleme auftreten und die Leistung mit UDP- oder TCP-Verbindungen vergleichbar ist.
Ausreichende NAT- und Stateful Firewall-Zeitlimits festlegen
Damit die Verbindung zuverlässig ist, muss eine VPN-Lösung eine dauerhafte Verbindung zum VPN-Server aufrechterhalten, der ausgehende und eingehende Verbindungen ermöglicht (z. B. zum Empfangen eingehender Push-Benachrichtigungen, Chatnachrichten sowie Audio- oder Videoanrufe). Die meisten IPsec-VPN-Apps verwenden ESP, das in IPv4-UDP-Pakete mit dem Zielport 4500 eingebettet ist, wie in RFC 3948 beschrieben.
Damit diese Verbindung aufrechterhalten werden kann, muss das Gerät regelmäßig Pakete an den Server senden. Diese Pakete müssen mit einer höheren Häufigkeit gesendet werden als die NAT- und Firewall-Timeouts, die vom Netzbetreiber festgelegt werden. Häufige Keep-Alive-Signale sind clientseitig sehr energieintensiv und haben einen großen Einfluss auf die Akkulaufzeit. Sie verursachen auch erheblichen Signalisierungstraffic im Netzwerk, selbst wenn das Gerät ansonsten im Leerlauf ist.
Wir empfehlen Betreibern, die NAT- und Stateful Firewall-Timeouts so hoch wie möglich zu setzen, um den Akkuverbrauch zu minimieren. Das empfohlene Zeitlimit für die IPsec-UDP-Kapselung (Port 4500) beträgt mindestens 600 Sekunden.
In Mobilfunknetzen werden UDP-NAT-Timeouts oft niedrig gehalten, da die Knappheit von IPv4-Adressen hohe Port-Wiederverwendungsfaktoren erfordert. Wenn jedoch eine VPN-Verbindung hergestellt wird, muss das Gerätenetzwerk keine langlebigen TCP-Verbindungen unterstützen, wie sie beispielsweise für den Empfang eingehender Benachrichtigungen verwendet werden. Die Anzahl der langlebigen Verbindungen, die das Netzwerk unterstützen muss, ist also gleich oder geringer, wenn ein VPN ausgeführt wird, als wenn kein VPN ausgeführt wird.