Teknik konular
Mullvad VPN'in üzerine kurulu olduğu protokoller, ilkeller ve diğer şaşırtıcı teknik ayrıntılar hakkında daha fazla bilgi edinmek ister misiniz? İşte burada!
Uygulamadaki VPN protokolleri
VPN tüneli için iki protokolü destekliyoruz, OpenVPN ve WireGuard:
- OpenVPN'i TLS 1.3 (kontrol kanalı için) ve AES-256-GCM (veri kanalı için) ile sınırlandırıyoruz. Bu OpenSSL'de uygulanmaktadır.
- WireGuard için, varsa standart Linux çekirdek uygulamasını kullanırız. Aksi takdirde Wireguard-go kullanırız.
Uygulama API'si bağlantısı
Uygulama, API ile iletişimi şifrelemek için Rustls*'ta uygulanan TLS 1.2 veya 1.3'ü kullanır. Bu iki özellik sağlar:
- Bağlantı, MitM saldırılarını önlemek için sertifika sabitlemeyi kullanır.
- Uygulama, DNS sahtekarlığını engellemek için API’nin IP'sini almak üzere DNS kullanmaz.
*iOS'ta, URLSession tarafından desteklenen varsayılan TLS kullanılır Uygulama güvenlik duvarı ve güvenlik
Uygulama mimarisi
Uygulama, ayrıcalıklara sahip bir kullanıcı olarak çalıştırılan kod sayısını kısıtlamak için iki bölüme ayrılmıştır:
- ayrıcalıksız ön uçlar (CLI) dâhildir)
- arka planda çalışan, tünel ve cihaz güvenliğini izleyen ayrıcalıklı bir sistem hizmeti.
GitHub sayfamızdan daha fazla bilgi edinin Sunucular
Tüm sunucularımızda, her tünel protokolü için mevcut olan en güçlü şifrelemeyi sağlamak üzere varsayılan ayarlar ve şifreleme öncelik sıraları belirledik.
OpenVPN sunucuları
OpenVPN sunucularımız aşağıdaki özelliklere sahiptir:
WireGuard sunucuları
WireGuard sabit fikirlidir ve yalnızca bir dizi kriptografik set sunar. Ayrıntılar için WireGuard web sitesine göz atın.
Köprü sunucular
Köprülerimiz, erişimin engellendiği yerlerde web sitemize, API'mize ve OpenVPN ve WireGuard sunucularımıza bağlanmayı kolaylaştırır. Yapılandırma ayarlarımız, onlar tarafından şifrelenmeyen her şeye erişmeyi zorlaştırıyor veya imkansız kılıyor, bu nedenle kullanılan şifreleme türünün çok bir önemi yoktur.
Sunucu engelleme
Kendimizi, müşterilerimizi ve hizmet kalitemizi korumak için herhangi bir IP adresini veya portu engelleme hakkımızı saklı tutuyoruz. Aşağıdaki portlara giden trafiği her zaman engelleriz:
- port 25 – spam postaları önlemek için
- port 137, 138, 139, 445 – müşterileri Microsoft SMB/CIFS güvenlik sorunundan korumak için
- port 1900 ve 2869 – müşterileri kötü niyetli UPnP yapılandırmalarından korumak için.