Vad är IKEv2? (Din guide till IKEV2 VPN-protokollet) |


Vad är IKEv2?

IKEv2 (Internet Key Exchange version 2) är ett VPN-krypteringsprotokoll som hanterar begäran och svar. Det ser till att trafiken är säker genom att etablera och hantera SA (Security Association) -attributet i en autentiseringssvit – vanligtvis IPSec eftersom IKEv2 i princip är baserat på det och inbyggt i det.

IKEv2 utvecklades av Microsoft tillsammans med Cisco och det är efterträdaren till IKEv1.

Så här fungerar IKEv2

Liksom alla VPN-protokoll är IKEv2 ansvarig för att skapa en säker tunnel mellan VPN-klienten och VPN-servern. Det gör det genom att först autentisera både klienten och servern och sedan komma överens om vilka krypteringsmetoder som kommer att användas

Vi nämnde redan att IKEv2 hanterar SA-attributet, men vad är SA? Enkelt uttryckt är det processen att skapa säkerhetsattribut mellan två nätverksenheter (i detta fall VPN-klienten och VPN-servern). Det gör det genom att generera samma symmetriska krypteringsnyckel för båda enheterna. Nämnda nyckel används sedan för att kryptera och dekryptera all data som reser genom VPN-tunneln.

Allmänna tekniska detaljer om IKEv2

  • IKEv2 stöder IPSecs senaste krypteringsalgoritmer, tillsammans med flera andra krypteringsciprar.
  • IKE körs iKE-demonen (ett program som körs som en bakgrundsprocess) i användarutrymmet (systemminne tillägnad att köra applikationer) medan IPSec-stacken körs i kärnutrymme (operativsystemets kärna). Det hjälper till att öka prestandan.
  • IKE-protokollet använder UDP-paket och UDP-port 500. Normalt är fyra till sex paket nödvändiga för att skapa SA.
  • IKE är baserad på följande underliggande säkerhetsprotokoll:
    • ISAKMP (Internet Security Association and Key Management Protocol)
    • SKEME (mångsidig Secure Key Exchange Mechanism)
    • OAKLEY (Oakley Key Determination Protocol)
  • IKEv2 VPN-protokollet stöder MOBIKE (IKEv2 Mobility and Multihoming Protocol), en funktion som gör att protokollet kan motstå nätverksändringar.
  • IKEv2 stöder PFS (Perfect Forward Secrecy).
  • Medan IKEv2 utvecklades av Microsoft tillsammans med Cisco finns det öppna källkodsimplementeringar av protokollet (som OpenIKEv2, Openwan och strongSwan).
  • IKE använder X.509-certifikat när den hanterar autentiseringsprocessen.

IKEv1 vs. IKEv2

Här är en lista över de viktigaste skillnaderna mellan IKEv2 och IKEv1:

  • IKEv2 erbjuder som standard stöd för fjärråtkomst tack vare sin EAP-autentisering.
  • IKEv2 är programmerad för att konsumera mindre bandbredd än IKEv1.
  • IKEv2 VPN-protokollet använder krypteringsnycklar för båda sidor, vilket gör det säkrare än IKEv1.
  • IKEv2 har MOBIKE-stöd, vilket innebär att det kan motstå nätverksförändringar.
  • IKEv1 har inte inbyggd NAT-genomgång som IKEv2 gör.
  • Till skillnad från IKEv1 kan IKEv2 faktiskt upptäcka om en VPN-tunnel är “levande” eller inte. Den här funktionen gör att IKEv2 automatiskt kan återupprätta en tappad anslutning.
  • IKEv2-kryptering stöder fler algoritmer än IKEv1.
  • IKEv2 erbjuder bättre tillförlitlighet genom förbättrade sekvensnummer och kvittenser.
  • IKEv2-protokollet kommer först att avgöra om förfrågan faktiskt finns innan du fortsätter med att utföra några åtgärder. Därför är det mer motståndskraftigt mot DoS-attacker.

Är IKEv2 Secure?

Ja, IKEv2 är ett protokoll som är säkert att använda. Den stöder 256-bitars kryptering och kan använda chiffer som AES, 3DES, Camellia och ChaCha20. Dessutom stöder IKEv2 / IPSec också PFS + protokollets MOBIKE-funktion gör att din anslutning inte tappas när du byter nätverk.

En annan sak som är värd att nämna är att IKEv2s certifikatbaserade autentiseringsprocess ser till att inga åtgärder vidtas förrän identiteten för den som begärs har fastställts och bekräftats.

Det är också sant att Microsoft arbetade på IKEv2, och det är inte ett särskilt pålitligt företag. De fungerade dock inte bara på protokollet utan tillsammans med Cisco. Dessutom är IKEv2 inte helt sluten eftersom källkodsimplementeringar av protokollet finns.

Vi bör fortfarande ta itu med tre säkerhetsrelaterade frågor angående IKEv2 / IPSec:

1. Lösenordsproblem

Tillbaka 2018 kom en del forskning fram som lyfte fram de potentiella säkerhetssvagheterna för både IKEv1 och IKEv2. IKEv1-problemen borde inte riktigt beröra dig så länge du inte använder protokollet. När det gäller IKEv2-frågan verkar det som om det relativt lätt kan hackas om inloggningslösenordet som används av det är svagt.

Fortfarande är det normalt inte ett stort säkerhetsproblem om du använder ett starkt lösenord. Detsamma kan sägas om du använder en tredjeparts VPN-tjänst eftersom de kommer att hantera IKEv2-inloggningslösenord och verifiering för dina räkning. Så länge du väljer en anständig, säker leverantör, bör det inte vara några problem.

2. NSA-utnyttjande av ISAKMP

Den tyska tidningen Der Spiegel släppte läckta NSA-presentationer som hävdade att NSA kunde utnyttja IKE och ISAKMP för att dekryptera IPSec-trafik. Om du inte visste det, används ISAKMP av IPSec för att genomföra VPN-serviceförhandlingar.

Tyvärr är detaljerna lite vaga, och det finns inget exakt sätt att garantera att presentationerna är giltiga. Om du är mycket orolig för det här problemet bör du undvika att ställa upp anslutningen på egen hand och istället få en IKEv2-anslutning från en pålitlig VPN-leverantör som använder kraftfulla krypteringsciprar.

3. Man-in-the-Middle Attacks

Det verkar som om IPSec VPN-konfigurationer som är avsedda att möjliggöra flera konfigurationer kan förhandlas potentiellt kan utsättas för nedgraderingsattacker (en typ av Man-in-the-Middle-attacker). Det kan hända även om IKEv2 används istället för IKEv1.

Lyckligtvis kan problemet undvikas om striktare konfigurationer används och om klientsystemen är noggrant segregerade på flera serviceaccesspunkter. Vad det betyder på engelska är att om VPN-leverantören gör sitt jobb rätt, du inte behöver oroa dig för detta.

Är IKEv2 snabb?

Ja, IKEv2 / IPSec erbjuder anständiga hastigheter på nätet. Faktum är att det är ett av de snabbaste VPN-protokollen som är tillgängliga för onlineanvändare – potentiellt till och med så snabbt som PPTP eller SoftEther. Och det är allt tack vare den förbättrade arkitekturen och den effektiva processen för utbyte av svar / förfrågan. Det faktum att det körs på UDP-port 500 garanterar också att det är låg latens.

Ännu bättre, på grund av sin MOBIKE-funktion, behöver du inte oroa dig för IKEv2: s hastigheter att minska eller avbrytas när du byter nätverk.

IKEv2 Fördelar och nackdelar

fördelar

  • IKEv2-säkerheten är ganska stark eftersom den stöder flera avancerade chiffer.
  • Trots sin höga säkerhetsstandard erbjuder IKEv2 snabba onlinehastigheter.
  • IKEv2 kan enkelt motstå nätverksändringar på grund av dess MOBIKE-stöd och kan automatiskt återställa tappade anslutningar.
  • IKEv2 är naturligt tillgängligt på BlackBerry-enheter och kan också konfigureras på andra mobila enheter.
  • Att installera en IKEv2 VPN-anslutning är relativt enkelt.

nackdelar

  • Eftersom IKEv2 endast använder UDP-port 500 kan en brandvägg eller nätverksadministrator blockera den.
  • IKEv2 erbjuder inte så mycket plattformskompatibilitet som andra protokoll (PPTP, L2TP, OpenVPN, SoftEther).

Vad är IKEv2 VPN-support?

IKEv2 VPN-stöd är i princip när en tredjeparts VPN-leverantör erbjuder tillgång till IKEv2 / IPSec-anslutningar genom sin tjänst. Lyckligtvis har fler och fler VPN-leverantörer börjat inse hur viktigt detta protokoll är för mobilanvändare, så det är mer troligt att du hittar tjänster som erbjuder IKEv2-anslutningar nu än tidigare.

Vi rekommenderar fortfarande att du väljer en VPN-leverantör som erbjuder tillgång till flera VPN-protokoll. Medan IKEv2 / IPSec är ett bra protokoll på mobilen skadar det inte att ha en anständig säkerhetskopia (som OpenVPN eller SoftEther) när du använder andra enheter hemma

Behöver du en IKEv2 VPN som du kan lita på?

CactusVPN är bara den tjänst du behöver. Vi erbjuder höghastighets IKEv2 / IPSec-anslutningar som är säkrade med AES, 256-bitars NIST Elliptic Curve, SHA-256 och RSA-2048. Dessutom skyddar vi din integritet genom att inte logga in någon av dina data, och vår tjänst är utrustad med DNS-läckskydd och en Killswitch också

Dessutom bör du veta att IKEv2 inte kommer att vara det enda alternativet till ditt förfogande. Vi erbjuder också åtkomst till andra VPN-protokoll: OpenVPN, SoftEther, SSTP, L2TP / IPSec och PPTP.

Ställ in en IKEv2-anslutning med extremt lätthet

Du kan ställa in en IKEv2 / IPSec-tunnel med bara några klick om du använder CactusVPN. Vi erbjuder flera plattformar kompatibla klienter som är mycket användarvänliga.

CactusVPN-app

Prova våra tjänster gratis just nu

Intresserad av att se vad CactusVPN kan göra för dig? Varför inte prova vår gratis 24-timmarsperiod först? Du behöver inte lämna ut några kreditkortsuppgifter, och du kan enkelt registrera dig med din sociala medieinformation.

Dessutom, när du blivit en CactusVPN-användare kommer du gärna att veta att vi erbjuder en 30-dagars återbetalningsgaranti om tjänsten inte fungerar som annonseras.

IKEv2 kontra andra VPN-protokoll

Innan vi börjar bör vi nämna att när vi diskuterar IKEv2 i det här avsnittet kommer vi att hänvisa till IKEv2 / IPSec eftersom det är protokollet som VPN-leverantörer vanligtvis erbjuder. Dessutom kan IKEv2 normalt inte användas på egen hand eftersom det är ett protokoll som är byggt i IPSec (varför det är ihopkopplat med det). Låt oss börja med det ur vägen:

1. IKEv2 vs. L2TP / IPSec

Både L2TP och IKEv2 är i allmänhet parade med IPSec när de erbjuds av VPN-leverantörer. Det betyder att de tenderar att erbjuda samma säkerhetsnivå. Även om L2TP / IPSec är sluten källa finns det öppna källkodsimplementeringar av IKEv2. Det och Snowden har hävdat att NSA har försvagat L2TP / IPSec, även om det inte finns några verkliga bevis för att stödja detta påstående.

IKEv2 / IPSec är snabbare än L2TP / IPSec eftersom L2TP / IPSec är mer resurskrävande på grund av den dubbla inkapslingsfunktionen och tar också längre tid att förhandla om en VPN-tunnel. Och även om båda protokollen ganska mycket använder samma portar på grund av att de är ihopkopplade med IPSec, kan L2TP / IPSec vara lättare att blockera med en NAT-brandvägg eftersom L2TP tenderar att ibland inte fungera bra med NAT – särskilt om L2TP Passthrough inte är aktiverat på routern.

Även om vi har ämnet stabilitet, bör det nämnas att IKEv2 är mycket stabilare än L2TP / IPSec eftersom det kan motstå nätverksförändringar. I grund och botten betyder det att du kan växla från en WiFi-anslutning till en dataplananslutning utan att IKEv2-anslutningen går ner. För att inte tala om att även om en IKEv2-anslutning avbryts, återställs den omedelbart.

Vad gäller tillgänglighet är L2TP / IPSec naturligt tillgängligt på fler plattformar än IKEv2 / IPSec är, men IKEv2 är tillgängligt på BlackBerry-enheter.

Sammantaget verkar det som om IKEv2 / IPSec är ett bättre val för mobilanvändare, medan L2TP / IPSec fungerar bra för andra enheter.

Om du vill veta mer om L2TP, följ denna länk.

2. IKEv2 vs. IPSec

IKEv2 / IPSec är ganska mycket bättre i alla avseenden än IPSec eftersom det erbjuder IPSecs säkerhetsfördelar tillsammans med IKEv2s höga hastigheter och stabilitet. Du kan inte riktigt jämföra IKEv2 på egen hand med IPSec eftersom IKEv2 är ett protokoll som används i IPSec-protokollsviten. Dessutom är IKEv2 i huvudsak baserad på IPSec-tunneling.

Om du vill läsa mer om IPSec, kolla in vår artikel om det.

3. IKEv2 mot OpenVPN

OpenVPN är extremt populär bland onlineanvändare på grund av dess förbättrade säkerhet, men du bör veta att IKEv2 kan erbjuda en liknande skyddsnivå. Det är sant att IKEv2 säkrar information på IP-nivå medan OpenVPN gör det på transportnivå, men det är inte riktigt något som borde göra en stor skillnad.

Vi kan dock inte förneka det faktum att OpenVPN är öppen källkod gör det till ett mer tilltalande alternativ än IKEv2. Naturligtvis blir det inte längre ett så stort problem om du använder open source-implementationer av IKEv2.

När det gäller onlinehastigheter är IKEv2 vanligtvis snabbare än OpenVPN – även när OpenVPN använder UDP-överföringsprotokollet. Å andra sidan är det mycket svårare för en nätverksadministrator att blockera OpenVPN-anslutningar eftersom protokollet använder port 443, som är HTTPS-trafikporten. IKEv2 använder tyvärr endast UDP-port 500 som en nätverksadministrator kan blockera utan att behöva oroa sig för att stoppa annan viktig onlinetrafik.

Beträffande anslutningsstabilitet går båda protokollen ganska bra, men IKEv2 överträffar OpenVPN på mobila enheter eftersom det kan motstå nätverksförändringar. Det är sant att OpenVPN kan konfigureras för att göra samma sak med “float” -kommandot, men det är inte så effektivt och stabilt som IKEv2 är.

Beträffande plattformsstöd är IKEv2 lite bakom OpenVPN, men det fungerar på BlackBerry-enheter. Dessutom är IKEv2 vanligtvis lite enklare att installera eftersom den normalt är integrerad i de plattformar den finns på.

Vill du veta mer om OpenVPN? Här är en djupgående guide som vi skrev om den

4. IKEv2 vs. PPTP

IKEv2 är i allmänhet ett mycket bättre val än PPTP helt enkelt för att det är långt säkrare än det. För det första erbjuder det stöd för 256-bitars krypteringsnycklar och avancerade chiffer som AES. Såvitt vi vet har IKEv2-trafiken ännu inte knäckts av NSA. Detsamma kan inte sägas om PPTP-trafik.

Förutom det är PPTP mycket mindre stabil än IKEv2. Det kan inte motstå nätverksförändringar med lätthet som IKEv2, och – ännu värre – det är extremt enkelt att blockera med en brandvägg – särskilt en NAT-brandvägg eftersom PPTP inte stöds naturligt på NAT. Om PPTP Passthrow inte är aktiverat i en router kan en PPTP-anslutning inte ens upprättas.

Normalt är en av PPTP: s främsta höjdpunkter som gör att den sticker ut från sin konkurrens mycket hög hastighet. Det roliga är att IKEv2 faktiskt kan erbjuda hastigheter som liknar de som PPTP erbjuder.

I grund och botten är det enda sättet att PPTP är bättre än IKEv2 när det gäller tillgänglighet och enkel installation. Du förstår, PPTP är inbyggt inbyggt i massor av plattformar, så att konfigurera en anslutning är extremt enkel. Fortfarande kan det kanske inte vara fallet i framtiden eftersom det ursprungliga stödet för PPTP har börjat tas bort från nyare versioner av vissa operativsystem. Exempelvis är PPTP inte längre tillgängligt på iOS 10 och macOS Sierra.

Sammantaget bör du alltid välja IKEv2 över PPTP om möjligt.

Om du vill lära dig mer om PPTP och ta reda på varför det är ett så riskabelt alternativ, följ denna länk.

5. IKEv2 vs. Wireguard

Wireguard är ett mycket nytt VPN-protokoll med öppen källkod som tydligen syftar till att bli betydligt bättre än IPSec (tunnelnprotokollet IKEv2 bygger på). Enligt den logiken borde Wireguard vara säkrare, snabbare och bekvämare att använda än IKEv2 – och det kan mycket väl vara fallet i framtiden.

Ändå är Wireguard för tillfället bara i experimentfasen och är inte särskilt stabil och fungerar inte heller på flera plattformar. I själva verket just nu fungerar Wireguard oftast bara på Linux-distributioner. Enligt dessa riktmärken är Wireguard mycket snabbare än IPSec, men det betyder inte nödvändigtvis att det är snabbare än IKEv2 för närvarande eftersom IKEv2 är snabbare än IPSec också.

Så det är fortfarande säkrare att använda IKEv2 när du är på Internet.

Om du vill veta mer om Wireguard, här är en länk till vår guide.

6. IKEv2 vs. SoftEther

Både IKEv2 och SoftEther är ganska säkra protokoll, och även om SoftEther kanske är mer pålitliga eftersom det är öppen källkod, kan du också hitta öppna källkodsimplementeringar av IKEv2. Båda protokollen är också mycket snabba, men SoftEther kan vara lite snabbare än IKEv2.

När det gäller stabilitet är saker annorlunda. För det första är SoftEther mycket svårare att blockera med en brandvägg eftersom den körs på port 443 (HTTPS-porten). Å andra sidan tillåter IKEv2s MOBIKE-funktion den att sömlöst motstå nätverksändringar (som när du byter från en WiFi-anslutning till en dataplan).

Det kan också intressera dig att veta att SoftEther VPN-servern har stöd för IPSec- och L2TP / IPSec-protokollen (bland andra), men den har inget stöd för IKEv2 / IPSec-protokollet.

I slutändan är SoftEther ganska mycket ett bättre alternativ än IKEv2, men du kanske föredrar att använda IKEv2 om du är en mobilanvändare – särskilt eftersom det är tillgängligt på BlackBerry-enheter.

Om du vill veta mer om SoftEther kan du kolla in den här länken.

7. IKEv2 vs. SSTP

IKEv2 och SSTP erbjuder en liknande säkerhetsnivå, men SSTP är mycket mer brandväggsbeständig eftersom den använder TCP-port 443, en port som normalt inte kan blockeras. Å andra sidan är SSTP inte tillgängligt på så många plattformar som IKEv2 är. SSTP är bara inbyggt i Windows-system (Vista och högre), och det kan vidare konfigureras på routrar, Linux och Android. IKEv2 fungerar på alla dessa plattformar och mer (macOS, iOS, FreeBSD och BlackBerry-enheter).

Både IKEv2 och SSTP utvecklades av Microsoft, men IKEv2 utvecklades av Microsoft tillsammans med Cisco. Det gör det lite mer pålitligt än SSTP som enbart ägs av Microsoft – ett företag som har gett NSA åtkomst till krypterade meddelanden tidigare, och det är också en del av PRISM-övervakningsprogrammet.

När det gäller anslutningshastigheter är båda protokollen ganska bundna, men det är mycket troligt att IKEv2 är snabbare än SSTP. Varför? Eftersom SSTP: s hastigheter ofta jämförs med OpenVPN: s hastigheter, och vi har redan nämnt att IKEv2 är snabbare än OpenVPN. Dessutom finns det också det faktum att SSTP endast använder TCP, vilket är långsammare än UDP (det överföringsprotokoll som används av IKEv2).

Vill du veta mer om SSTP? Här är en artikel som vi skrev om den.

Så är IKEv2-protokollet ett bra val?

Ja, IKEv2 är ett bra alternativ för en säker, smidig onlineupplevelse. Vi rekommenderar fortfarande att du använder antingen OpenVPN eller SoftEther, men om dessa alternativ inte är tillgängliga av någon anledning fungerar IKEv2 också bra – särskilt om du använder din mobil och reser ganska ofta.

Vad är IKEv2? Sammanfattningsvis

IKEv2 är både ett VPN-protokoll och ett krypteringsprotokoll som används i IPSec-sviten.

I huvudsak används det för att upprätta och verifiera en säker kommunikation mellan en VPN-klient och en VPN-server.

IKEv2 är väldigt säkert att använda, eftersom det har stöd för kraftfulla krypteringsciprar, och det förbättrade också alla säkerhetsfel som fanns i IKEv1. IKEv2 är också ett utmärkt val för mobilanvändare på grund av sitt MOBIKE-stöd som gör att IKEv2-anslutningar kan motstå nätverksförändringar.

Vi rekommenderar fortfarande att du väljer en VPN-leverantör som erbjuder tillgång till flera protokoll tillsammans med IKEv2. Även om det är ett bra alternativ för mobilanvändare skadar det inte att ha ännu bättre protokoll (som OpenVPN och SoftEther) som ett alternativ för andra enheter.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map