DTLS Nedir, SSL VPN Performansında Neden Önemlidir?
Kurumsal ağlara uzaktan erişim için en yaygın yöntemlerden biri SSL VPN’dir. Klasik SSL VPN tünelleri, TLS üzerinden TCP kullanarak çalışır. Yani kullanıcı ile FortiGate arasındaki trafik TCP bağlantısı içinde şifrelenir. Bu yöntem güvenlidir fakat her senaryoda performans açısından ideal değildir. Özellikle dosya transferi, RDP, VoIP ve yüksek gecikmeli (yüksek RTT’li) hatlarda TCP içinde TCP tünellemesi ciddi yavaşlamalara neden olabilir.
Bu noktada devreye DTLS girer. DTLS, “Datagram Transport Layer Security” ifadesinin kısaltmasıdır. Temelde TLS’in sağladığı tüm kriptografik güvenliği korur ancak taşıma katmanında TCP yerine UDP kullanır. Böylece hem güvenlik hem de düşük gecikme ve daha yüksek hız elde etmek mümkün olur.
Klasik SSL VPN (TLS over TCP) ile DTLS Arasındaki Fark
TLS over TCP yaklaşımında güvenli tünelin kendisi de TCP’dir. Tünelin içinden geçen trafik de çoğu zaman TCP protokolünü kullanır (RDP, SMB, HTTP, vb.). Böyle olunca iki katmanlı bir TCP istiflenmesi ortaya çıkar. Paket kaybı olduğunda her iki seviyede de yeniden iletim mekanizması devreye girebildiği için, az miktarda paket kaybı bile gecikmenin katlanarak artmasına yol açar. Özellikle mobil bağlantılarda, 4G erişimlerde veya yurt dışı hatlarda bu durum kullanıcıya “RDP donuyor, dosya kopyalarken hız çok düşük, oturum kopuyor” şeklinde yansır.
DTLS ise TLS’i UDP üzerinde çalıştırır. UDP bağlantısız ve hafif bir protokoldür; yeniden iletim, sıra kontrolü gibi mekanizmalar taşıma katmanında yapılmaz. Bu özellik sayesinde paket kaybına rağmen bağlantı daha akıcı kalır, gecikme hissi azalır. Güvenlik tarafında ise TLS’te olan sertifika doğrulama, şifreleme, bütünlük kontrolü gibi fonksiyonlar aynı şekilde korunur. Yani güvenlik seviyesi TCP tabanlı tünelle kıyaslanabilir, fark taşıma katmanının davranışındadır.
Özetle:
– TLS over TCP daha muhafazakâr ve her ortamda çalışmaya yatkın fakat yüksek RTT ve paket kaybında yavaştır.
– DTLS ise UDP sayesinde düşük gecikme ve daha yüksek throughput sunar, özellikle RDP, VoIP, video ve büyük dosya aktarımında ciddi performans farkı yaratır.
FortiGate ve FortiClient Tarafında DTLS’in Etkinleştirilmesi
FortiGate cihazlarında SSL VPN yapılandırılırken, ayarlarda DTLS kullanılmasını sağlayan bir seçenek bulunur. Varsayılan bazı sürümlerde kapalı gelebilir.
Bu adım FortiGate tarafında DTLS desteğini açar. İkinci adım olarak FortiClient istemcisinde de DTLS seçeneğinin işaretli olduğundan emin olmak gerekir. FortiClient arayüzünde, ilgili bağlantının ayarlarında “Enable DTLS” benzeri bir kutucuk yer alır; bunun aktif olması gerekir. Böylece istemci önce UDP/DTLS ile bağlantı kurmayı deneyecek, başarısız olursa TLS/TCP moduna geri dönecektir.
Performans Problemleri ve Fortinet’in Önerdiği Ayarlar
Bazı senaryolarda SSL VPN üzerinden dosya transferi çok yavaş olabilir ya da oturum kendiliğinden düşebilir. Fortinet’in resmi dokümanlarında, özellikle yavaş dosya transferi ve SSL VPN hata mesajları için DTLS’in aktif edilmesi ilk önerilerden biridir. DTLS’e geçmek çoğu zaman tek başına ciddi iyileşme sağlar.
Buna ek olarak, belirli FortiGate modellerinde SSL VPN trafiği donanım hızlandırma birimlerine (NP / ASIC) her zaman ideal şekilde aktarılamayabilir. Bu durumda Fortinet, ilgili SSL VPN politikasında auto-asic-offload seçeneğinin devre dışı bırakılmasını önerebilmektedir. Örnek konfigürasyon:
config firewall policy
edit ID_NUMARASI
set auto-asic-offload disable
end
Bu ayar, ilgili politikanın trafiğini yazılım tabanlı işlemden geçmeye zorlar. Bazı yonga seti veya yazılım sürümü kombinasyonlarında bu yöntem, SSL VPN altındaki anormal yavaşlama ve kopma problemlerini azaltabilmektedir. Her ortamda gerekli değildir, bu yüzden sadece Fortinet’in önerdiği veya test ortamında doğrulanan durumlarda kullanılmalıdır.
DTLS Ne Zaman Tercih Edilmeli?
Aşağıdaki durumlarda DTLS kullanımı özellikle tavsiye edilir:
– Kullanıcılar ağırlıklı olarak RDP üzerinden sunuculara bağlanıyorsa
– Dosya transferi, yedek alma, büyük dosya iletimi yoğun ise
– Kullanıcıların önemli bir kısmı mobil erişim (4G, paylaşımlı Wi-Fi, otel, kafe) kullanıyorsa
– Yurt dışı ofisler veya yüksek gecikmeli MPLS, internet hatları üzerinden erişim varsa
– Teams, Zoom, VoIP gibi gerçek zamanlı ses ve görüntü uygulamaları SSL VPN tünelinin içinden geçiyorsa
Buna karşılık, kurumun bulunduğu ağ dışındaki birçok noktada UDP trafiği sıkı şekilde kısıtlanıyorsa, bazı captive portal çözümleri UDP’yi agresif filtreliyorsa veya regülasyon gereği sadece TCP kullanılmasına izin veriliyorsa DTLS’in devreye girememesi söz konusu olabilir. Bu tip ortamlarda SSL VPN otomatik olarak TLS/TCP moduna düşer. Yani DTLS’in etkin olması her zaman kullanılacağı anlamına gelmez; ortam izin vermiyorsa istemci fallback yapar.
Güvenlik Perspektifi
Güvenlik açısından bakıldığında DTLS, TLS’in sunduğu mekanizmaları tekrar kullanır. Kimlik doğrulama için sertifikalar, güçlü şifre paketleri, bütünlük kontrolleri çalışmaya devam eder. Fark sadece aktarımın UDP ile yapılmasıdır. Bu nedenle kurumlar TLS/TCP tünelleri için uyguladıkları güvenlik politikalarını DTLS için de geçerli kabul edebilirler. Önemli nokta, zayıf şifre paketlerinin devre dışı bırakılması, uygun sertifika yönetimi ve güncel FortiOS sürümlerinin kullanılmasıdır.
DTLS, SSL VPN altyapılarında performans ve kullanıcı deneyimini iyileştirmek için geliştirilmiş, pratikte kendini kanıtlamış bir teknolojidir. FortiGate ve FortiClient üzerinde birkaç basit ayarla etkinleştirilerek, özellikle RDP ve dosya transferi senaryolarında hissedilir bir hızlanma sağlar. Standart TLS/TCP tünelleri güvenlik açısından yeterli olsa bile, modern kurumlarda artan uzak çalışma ve yüksek bant genişliği ihtiyacı, DTLS’i neredeyse bir “olması gereken” özellik haline getirmiş durumdadır. Doğru yapılandırma, gerekli durumlarda auto-asic-offload ayarının gözden geçirilmesi ve güncel yazılım sürümleriyle birlikte DTLS, SSL VPN altyapınızın verimliliğini önemli ölçüde artırabilir.
yazar: Asrın Haktan Şahin