VPN Kill Switch Nedir?

VPN kill switch, VPN tüneli beklenmedik biçimde bağlantısını kestiğinde ağ trafiğini engelleyen bir özelliktir. Bu makalede kill switch'in gerçekte ne yaptığını, işletim sistemi düzeyinde nasıl uygulandığını ve özelliğin doğru çalışıp çalışmadığını nasıl doğrulayacağınızı açıklıyoruz.

Tanım

Kill switch, VPN nominal olarak etkinken trafiğin korumasız bir arayüzden cihazı terk etmesini engelleyen ağ düzeyinde bir denetimdir. VPN tüneli bağlantısı kesilirse — ağ değişiklikleri, sunucu arızası veya herhangi bir başka neden yüzünden olsun — kill switch, trafiğin sessizce varsayılan ağ arayüzüne düşmemesini sağlar.

Bu özelliğe zaman zaman "network lock," "always-on protection" veya "internet kill switch" de denir. Ad ne olursa olsun davranış aynıdır.

Kill Switch Neden Gerekli

VPN tünelleri her zaman mükemmel biçimde kararlı değildir. Ağ değişiklikleri — Wi-Fi'den hücresel ağa geçiş, erişim noktaları arasında hareket, tünelden geçiş — bağlantıyı kısa süreliğine kesebilir. Sunucu bakımı, aralıklı eşleme sorunları veya nadir görülen protokol hataları da bağlantı kopuklığına yol açabilir.

Kill switch olmadan işletim sistemi, trafiği mevcut olan her arayüzden yönlendirir. Kullanıcı açısından cihaz normal çalışmaya devam ediyor gibi görünür — web sayfaları yüklenir, uygulamalar bağlanır — ancak trafik artık VPN üzerinden değil, yerel ağ ve ISP üzerinden akar.

VPN'i gizlilik veya konuma özgü hizmetlere erişim için kullanan kişiler için bu sessiz geri dönüş, VPN kullanmanın amacını ortadan kaldırır. Kill switch, bağlantının sessizce yönlendirilmek yerine askıya alınmasını sağlar.

Nasıl Uygulanır

Kill switch uygulamaları platforma göre farklılık gösterir. İki genel yaklaşım mevcuttur.

Sistem Düzeyinde Uygulama

Yerleşik VPN desteği olan platformlarda kill switch, işletim sistemi tarafından zorunlu kılınır. iOS'ta Network Extension çerçevesi, uygun yönlendirme kurallarıyla birleştirildiğinde trafiğin tünelden başka bir arayüzden cihazı terk etmesini engelleyen bir "includeAllNetworks" seçeneği sunar. Bu, çekirdek düzeyinde zorunlu kılınır ve arka planda çalışanlar dahil tüm uygulamalara uygulanır.

Linux'ta kill switch'ler genellikle güvenlik duvarı kuralları — iptables veya nftables — kullanılarak uygulanır; bu kurallar VPN sunucusunun adresine gönderilen paketler dışındaki tüm trafiği engeller. Kurallar tünel kurulduğunda eklenir, kasıtlı olarak bağlantı kesildiğinde kaldırılır.

Uygulama Düzeyinde Uygulama

Bazı VPN uygulamaları kill switch'i uygulamanın kendisinde hayata geçirerek tüneli izler ve bağlantı kesilmesine karşılık yönlendirme veya güvenlik duvarı kurallarını ayarlar. Uygulama düzeyinde uygulamalar daha esnektir; ancak politikayı zorunlu kılmak için uygulamanın etkin kalmasına bağımlıdır.

Sistem düzeyinde zorunlu kılma, VPN uygulaması çökse veya sonlandırılsa bile çalışmayı sürdürdüğünden genellikle daha güvenilirdir.

Kill Switch Türleri

Kill switch'ler, trafiği engelleme konusundaki agresiflik düzeylerine göre farklılık gösteren çeşitli modlarda yapılandırılabilir.

• Kalıcı kill switch. Uygulama başlatılmamış olsa bile VPN etkin biçimde bağlı değilken trafik engellenir. En güçlü güvenceyi sağlar; ancak devre dışı bırakmak için açık bir işlem gerektirir.
• Oturum kill switch'i. Trafik yalnızca etkin bir VPN oturumu sırasında engellenir. Kullanıcı manuel olarak bağlantıyı keserse kill switch devre dışı kalır ve normal trafik yeniden başlar.
• Uygulamaya özgü kill switch. Bazı masaüstü platformlarında kullanılabilir olan bu mod, VPN kapalıyken belirli uygulamaları engellerken diğerlerinin normal şekilde çalışmaya devam etmesine izin verir. Yapılandırma, hassas verilerle ilgilenen araçlar için kullanışlıdır; ancak ayrıntı düzeyi karmaşıklık katmaktadır.

Kill Switch Ne Zaman Devreye Girer

Kill switch, işletim sisteminin normalde arıza olarak değerlendirmeyeceği koşulları ele almak üzere tasarlanmıştır. Yaygın tetikleyiciler şunlardır:

• Ağ kesintileri veya sunucu tarafı bakımı nedeniyle VPN sunucusuna ulaşılamaz hale gelmesi.
• Cihazın ağ arayüzünün değişmesi — örneğin Wi-Fi'den hücresel ağa geçiş — ve tünelin hızla yeniden kurulamaması.
• Protokol düzeyinde bir hatanın tüneli sonlandırması.
• Yerel ağın belirli captive portal senaryoları dahil VPN sunucusuna gidip gelen paketleri düşürmesi.

Bu koşulların her birinde kill switch, tünel yeniden kurulana ya da kullanıcı kill switch'i kasıtlı olarak devre dışı bırakana kadar trafiği askıya alır.

Sınırlılıklar

Kill switch, savunma amaçlı bir özellik olup eksiksiz bir çözüm değildir. İki sınırlılığın bilinmesi önemlidir.

Geçiş her zaman anlık değildir.Tünelin başarısız olduğu an ile kill switch'in tamamen devreye girdiği an arasında teorik olarak trafiğin sızabileceği kısa bir pencere oluşabilir. İyi tasarlanmış sistemlerde bu pencere pratikte ihmal edilebilecek kadar kısadır — genellikle birkaç milisaniye — ancak her zaman sıfır değildir. Sistem düzeyinde uygulamalar bu pencereyi uygulama düzeyindekilerden daha güvenilir biçimde kapatır.

DNS sızıntıları ayrı bir konudur. Kill switch, IP trafiğinin korumasız arayüzlerden çıkmasını engeller; ancak DNS istekleri zaman zaman sistem varsayılanları aracılığıyla tüneli atlayabilir. Eksiksiz bir yapılandırma hem kill switch hem de tünel üzerinden DNS yönlendirmesini birlikte kullanır. Snap VPN varsayılan olarak her ikisini de yapılandırır.

Doğrulama

Kill switch, bir tünel arızası simüle edilerek ve trafiğin engellendiği doğrulanarak test edilebilir.

1. VPN'e bağlanın ve bir IP raporlama hizmetinin sunucunun adresini gösterdiğini doğrulayın.
2. Uygulamadan bağlantıyı kesmeden VPN'in kullandığı ağ arayüzünü devre dışı bırakın — örneğin tünel etkinken Wi-Fi'yi kapatarak.
3. Bir web sayfası yüklemeye çalışın. Çalışan bir kill switch ile tünel yeniden kurulana ya da kill switch kasıtlı olarak devre dışı bırakılana kadar sayfa yüklenmemelidir.

iOS'ta kill switch, VPN profili uygun seçeneklerle yapılandırıldığında sistem düzeyinde zorunlu kılınır. Snap VPN, kill switch'i varsayılan olarak etkinleştirir ve bunu isteğe bağlı bir ayar olarak sunmaz — özellik, yanlışlıkla devre dışı bırakılabilecek bir ayar olmaktan ziyade standart yapılandırmanın bir parçasıdır.

VPN yapılandırması ve bir VPN'den neler beklenebileceği hakkında daha fazla bilgi için VPN'lere giriş yazımıza ve iPhone kurulum kılavuzuna bakabilirsiniz.