Mis on IKEv2? (Teie juhend IKEV2 VPN-protokolli kohta)


Mis on IKEv2?

IKEv2 (Interneti-võtmevahetuse versioon 2) on VPN-i krüptimisprotokoll, mis tegeleb päringute ja vastuste toimingutega. See tagab liikluse turvalisuse, luues autentimiskomplekti atribuudi SA (Security Association) ja haldades seda – tavaliselt IPSec, kuna IKEv2 põhineb sellel peamiselt ja sinna sisse ehitatakse.

IKEv2 töötas välja Microsoft koos Ciscoga ja see on IKEv1 järeltulija.

Siit saate teada, kuidas IKEv2 töötab

Nagu iga VPN-protokoll, vastutab IKEv2 turvalise tunneli loomise eest VPN-kliendi ja VPN-serveri vahel. See tehakse nii, et esmalt autentitakse nii klient kui ka server ja seejärel lepitakse kokku, milliseid krüpteerimismeetodeid kasutatakse

Me juba mainisime, et IKEv2 haldab atribuuti SA, kuid mis on SA? Lihtsamalt öeldes on see kahe võrguüksuse (antud juhul VPN-kliendi ja VPN-serveri) vahel turvaatribuutide loomise protsess. Seda tehakse, luues mõlemale üksusele sama sümmeetrilise krüptimisvõtme. Seda võtit kasutatakse seejärel kõigi VPN-tunnelis liikuvate andmete krüptimiseks ja dekrüptimiseks.

Üldised tehnilised üksikasjad IKEv2 kohta

  • IKEv2 toetab paljude teiste krüptimisšifrite kõrval ka IPSeci uusimaid krüptimisalgoritme.
  • Üldiselt töötab IKE deemon (taustprotsessina töötav programm) kasutajaruumis (süsteemimälu, mis on pühendatud rakenduste käitamiseks), samal ajal kui IPSeci pinu töötab kerneli ruumis (opsüsteemi tuum). See aitab jõudlust tõsta.
  • IKE protokoll kasutab UDP-pakette ja UDP-porti 500. SA loomiseks on tavaliselt vaja neli kuni kuus paketti.
  • IKE põhineb järgmistel aluseks olevatel turvaprotokollidel:
    • ISAKMP (Interneti-turbe ühing ja võtmehaldusprotokoll)
    • SKEME (mitmekülgne turvaline võtmevahetusmehhanism)
    • OAKLEY (Oakley võtme määramise protokoll)
  • IKEv2 VPN-protokoll toetab MOBIKE-d (IKEv2-i mobiilsus- ja mitmekordne protokoll), funktsiooni, mis võimaldab protokollil vastu pidada võrgu muudatustele.
  • IKEv2 toetab PFS-i (täiuslik edasisaladus).
  • Kuigi IKEv2 töötas välja Microsoft koos Ciscoga, on protokolli avatud lähtekoodiga rakendused (nagu OpenIKEv2, Openswan ja strongSwan).
  • IKE kasutab autentimisprotsessis X.509 sertifikaate.

IKEv1 vs IKEv2

Siin on nimekiri peamistest erinevustest IKEv2 ja IKEv1 vahel:

  • Tänu EAP autentimisele pakub IKEv2 vaikimisi kaugjuurdepääsu tuge.
  • IKEv2 on programmeeritud tarbima vähem ribalaiust kui IKEv1.
  • IKEv2 VPN-protokoll kasutab mõlema poole jaoks krüpteerimisvõtmeid, muutes selle turvalisemaks kui IKEv1.
  • IKEv2-l on MOBIKE tugi, mis tähendab, et see suudab vastu pidada võrgumuutustele.
  • IKEv1-l pole sisseehitatud NAT-i läbipääsu nagu IKEv2-l.
  • Erinevalt IKEv1-st suudab IKEv2 tegelikult tuvastada, kas VPN-tunnel on “elus” või mitte. See funktsioon võimaldab IKEv2-l katkestatud ühenduse automaatselt taastada.
  • IKEv2 krüptimine toetab rohkem algoritme kui IKEv1.
  • IKEv2 pakub paremat töökindlust täiustatud järjekorranumbrite ja kinnituste abil.
  • Enne mis tahes toimingute tegemist tuvastab IKEv2-protokoll kõigepealt, kas taotleja on tegelikult olemas. Seetõttu on see vastupidavam DoS-i rünnakutele.

Kas IKEv2 on turvaline?

Jah, IKEv2 on ohutu kasutamise protokoll. See toetab 256-bitist krüptimist ja võib kasutada selliseid šifre nagu AES, 3DES, Camellia ja ChaCha20. Lisaks toetab IKEv2 / IPSec ka PFS + protokolli funktsiooni MOBIKE, mis tagab, et võrkude vahetamisel teie ühendus ei katke.

Veel väärib märkimist, et IKEv2 sertifikaadipõhine autentimisprotsess tagab, et enne taotleja identiteedi kindlakstegemist ja kinnitamist ei võeta midagi ette..

Samuti on tõsi, et Microsoft töötas IKEv2 kallal ja see pole eriti usaldusväärne ettevõte. Kuid nad ei töötanud ainult protokolli kallal, vaid koos Ciscoga. Samuti pole IKEv2 täielikult suletud lähtekoodiga, kuna protokolli avatud lähtekoodiga rakendused on olemas.

Siiski peaksime IKEv2 / IPSeciga tegelema kolme turvalisusega seotud küsimusega:

1. Paroolide väljastamine

2018. aastal tuli ilmsiks mõni uurimus, mis tõi välja nii IKEv1 kui ka IKEv2 potentsiaalsed turvanõrkused. IKEv1 probleemid ei peaks teid tegelikult puudutama, kui te ei kasuta protokolli. Mis puutub IKEv2 väljaandesse, siis tundub, et seda saab suhteliselt hõlpsalt häkkida, kui selle kasutatav sisselogimisparool on nõrk.

Siiski, kui kasutate tugevat parooli, pole see tavaliselt suur turvaprobleem. Sama võib öelda ka siis, kui kasutate kolmanda osapoole VPN-teenust, kuna nad käsitlevad teie nimel IKEv2 sisselogimisparoole ja autentimist. Kuni valite korraliku ja turvalise pakkuja, ei tohiks probleeme tekkida.

2. ISSAMP kasutamine NSA poolt

Saksa ajakiri Der Spiegel avaldas lekkinud NSA esitlused, mis väitsid, et NSA suutis ära kasutada IKE ja ISAKMP IPSeci liikluse dekrüpteerimiseks. Juhul, kui te ei teadnud, kasutab IPSec ISAKMP-d VPN-teenuse läbirääkimiste rakendamiseks.

Kahjuks on üksikasjad pisut ebamäärased ja esitluste õigsuse tagamiseks pole täpset viisi. Kui olete selle probleemi pärast väga mures, peaksite vältima ühenduse loomist ise ja selle asemel hankima IKEv2-ühenduse usaldusväärselt VPN-i pakkujalt, kes kasutab võimsaid krüptimisšifreid.

3. Rünnakud keset inimest

Näib, et IPSeci VPN-i konfiguratsioonid, mille eesmärk on võimaldada mitme konfiguratsiooni läbirääkimist, võidakse potentsiaalselt ohustada madalama astme rünnakutega (teatud tüüpi keset rünnakut). See võib juhtuda isegi siis, kui IKEv1 asemel kasutatakse IKEv2.

Õnneks saab seda probleemi vältida, kui kasutatakse rangemaid konfiguratsioone ja kui kliendisüsteemid on hoolikalt eraldatud mitmele teenuse pöörduspunktile. See tähendab inglise keeles seda, et kui VPN-i pakkuja teeb oma tööd õigesti, ei peaks te selle pärast muretsema.

Kas IKEv2 on kiire?

Jah, IKEv2 / IPSec pakub korralikke võrgukiirusi. Tegelikult on see üks kiiremaid VPN-protokolle, mis on veebikasutajatele saadaval – potentsiaalselt isegi nii kiire kui PPTP või SoftEther. Ja see on kõik tänu täiustatud arhitektuurile ja tõhusale vastuse / päringu sõnumite vahetamise protsessile. Ka asjaolu, et see töötab UDP-pordil 500, tagab madala latentsusaja.

Veelgi parem, selle MOBIKE-funktsiooni tõttu ei pea te muretsema selle pärast, et IKEv2 kiirused vähenevad või katkevad võrgu muutmisel.

IKEv2 eelised ja puudused

Eelised

  • IKEv2 turvalisus on üsna tugev, kuna see toetab mitut nutitelefoni.
  • Vaatamata kõrgele turvastandardile pakub IKEv2 kiiret veebikiirust.
  • IKEv2 suudab tänu MOBIKE toele kergesti võrgumuutustele vastu seista ja suudab katkenud ühendused automaatselt taastada.
  • IKEv2 on natiivselt saadaval BlackBerry seadmetes ja seda saab konfigureerida ka teistes mobiilseadmetes.
  • IKEv2 VPN-ühenduse seadistamine on suhteliselt lihtne.

Puudused

  • Kuna IKEv2 kasutab ainult UDP porti 500, võib tulemüür või võrguadministraator selle blokeerida.
  • IKEv2 ei paku nii palju platvormidevahelist ühilduvust nagu teised protokollid (PPTP, L2TP, OpenVPN, SoftEther).

Mis on IKEv2 VPN-i tugi?

IKEv2 VPN-i tugi on põhimõtteliselt siis, kui kolmanda osapoole VPN-i pakkuja pakub oma teenuse kaudu juurdepääsu IKEv2 / IPSeci ühendustele. Õnneks on üha enam VPN-i pakkujaid hakanud mõistma, kui oluline on see protokoll mobiilikasutajate jaoks, nii et leiate suurema tõenäosusega teenuseid, mis pakuvad IKEv2-ühendust nüüd kui varem.

Sellegipoolest soovitame valida VPN-i pakkuja, kes pakub juurdepääsu mitmele VPN-protokollile. Kuigi IKEv2 / IPSec on suurepärane protokoll mobiilis, ei kahjusta see, kui teil on kodus muid seadmeid, korraliku varukoopia olemasolu (nt OpenVPN või SoftEther).

Vaja IKEv2 VPN-i, millele saate tugineda?

CactusVPN on lihtsalt teenus, mida vajate. Pakume kiireid IKEv2 / IPSec ühendusi, mis on turvatud AES, 256-bitise NIST elliptilise kõvera, SHA-256 ja RSA-2048 abil. Veelgi enam, kaitseme teie privaatsust sellega, et ei logita ühtegi teie andmeid, ja meie teenus on varustatud DNS-i lekkekaitsega ja ka Killswitchiga

Lisaks peaksite teadma, et IKEv2 ei ole teie käsutuses ainus võimalus. Pakume juurdepääsu ka teistele VPN-protokollidele: OpenVPN, SoftEther, SSTP, L2TP / IPSec ja PPTP.

Seadistage IKEv2-ühendus ülikergelt

Kui soovite kasutada CactusVPN-i, saate IKEv2 / IPSeci tunneli seadistada vaid mõne klõpsuga. Pakume mitut platvormiülest ühilduvat klienti, mis on väga kasutajasõbralikud.

Rakendus CactusVPN

Proovige meie teenuseid kohe tasuta

Kas soovite näha, mida CactusVPN teie heaks teha saab? Miks mitte proovida kõigepealt meie tasuta 24-tunnist prooviversiooni? Te ei pea krediitkaardiandmeid välja andma ja saate hõlpsalt registreeruda oma sotsiaalmeedia teabega.

Lisaks saate pärast CactusVPN-i kasutajaks saamist rõõmuga teada, et pakume 30-päevast raha tagasi garantii, kui teenus ei tööta reklaamitud viisil.

IKEv2 vs muud VPN-protokollid

Enne alustamist peaksime mainima, et kui arutame selles jaotises IKEv2, siis räägime IKEv2 / IPSec-ist, kuna seda pakuvad VPN-i pakkujad üldiselt protokolli. Samuti ei saa IKEv2 tavapäraselt iseseisvalt kasutada, kuna see on IPSeci sisseehitatud protokoll (seetõttu on see sellega seotud). Alustades sellega, alustame:

1. IKEv2 vs. L2TP / IPSec

Nii L2TP kui ka IKEv2 on tavaliselt IPSeciga seotud, kui VPN-i pakkujad neid pakuvad. See tähendab, et nad pakuvad tavaliselt samal tasemel turvalisust. Kuigi L2TP / IPSec on suletud lähtekoodiga, on IKEv2 avatud lähtekoodiga rakendusi. Seda ja Snowden väitis, et NSA on nõrgendanud L2TP / IPSec-i, kuigi selle väite toetuseks puuduvad tõesed tõendid.

IKEv2 / IPSec on kiirem kui L2TP / IPSec, kuna L2TP / IPSec on topeltkapseldamisfunktsiooni tõttu ressursimahukam ning võtab VPN-tunneli läbirääkimiseks kauem aega. Ja kuigi mõlemad protokollid kasutavad IPSec-iga paaritamise tõttu samu sadamaid, võib L2TP / IPSeci NAT-tulemüüriga hõlpsamini blokeerida, kuna L2TP kipub mõnikord NAT-iga hästi mitte töötama – eriti kui L2TP Passthrough pole sisse lülitatud ruuter.

Kui räägime stabiilsuse teemast, tuleks mainida, et IKEv2 on palju stabiilsem kui L2TP / IPSec, kuna see suudab vastu pidada võrgu muudatustele. Põhimõtteliselt tähendab see, et saate WiFi-ühendusest üle minna andmeplaani ühendusele ilma, et IKEv2-ühendus katkeks. Rääkimata sellest, et isegi kui IKEv2-ühendus langeb, taastatakse see kohe.

Ligipääsetavuse osas on L2TP / IPSec natiivselt saadaval rohkematel platvormidel kui IKEv2 / IPSec, kuid IKEv2 on saadaval BlackBerry seadmetes.

Üldiselt näib, et IKEv2 / IPSec on parem valik mobiilikasutajatele, samas kui L2TP / IPSec töötab hästi ka teiste seadmete puhul.

Kui soovite lisateavet L2TP kohta, siis järgige seda linki.

2. IKEv2 vs. IPSec

IKEv2 / IPSec on igas suhtes päris palju parem kui IPSec, kuna lisaks IKEv2 suurtele kiirustele ja stabiilsusele pakub see ka IPSeci turvalisuse eeliseid. Samuti ei saa te IKEv2 iseseisvalt IPSec-iga võrrelda, kuna IKEv2 on protokoll, mida kasutatakse IPSec-i protokollikomplektis. Ka IKEv2 põhineb sisuliselt IPSeci tunneldamisel.

Kui soovite lugeda rohkem IPSeci kohta, vaadake meie artiklit selle kohta.

3. IKEv2 vs OpenVPN

OpenVPN on oma täiustatud turvalisuse tõttu veebikasutajate seas äärmiselt populaarne, kuid peaksite teadma, et IKEv2 võib pakkuda sarnast kaitset. On tõsi, et IKEv2 kaitseb teavet IP-tasemel, OpenVPN aga transporditasemel, kuid see pole tegelikult midagi, mis peaks tohutult muutma.

Kuid me ei saa eitada asjaolu, et OpenVPN on avatud lähtekoodiga versioon, mis muudab selle ahvatlevamaks võimaluseks kui IKEv2. Muidugi ei muutu see enam nii suureks probleemiks, kui kasutate IKEv2 avatud lähtekoodiga rakendusi.

Veebikiiruste osas on IKEv2 tavaliselt kiirem kui OpenVPN – isegi siis, kui OpenVPN kasutab UDP edastusprotokolli. Teisest küljest on võrguadministraatoril palju raskem OpenVPN-ühendusi blokeerida, kuna protokoll kasutab porti 443, mis on HTTPS-i liikluse port. Kahjuks kasutab IKEv2 ainult UDP porti 500, mille võrguadministraator saab blokeerida, ilma et peaksite muretsema muu elutähtsa veebiliikluse peatamise pärast.

Mis puutub ühenduse stabiilsusesse, siis mõlemad protokollid on üsna head, kuid IKEv2 ületab mobiilseadmete OpenVPN-i, kuna see suudab vastu pidada võrgu muudatustele. On tõsi, et OpenVPNi saab konfigureerida sama tegema käsuga “hõljumine”, kuid see pole nii tõhus ja stabiilne kui IKEv2.

Mis puudutab platvormidevahelist tuge, siis IKEv2 jääb OpenVPN-ist pisut maha, kuid töötab siiski BlackBerry seadmetes. Samuti on IKEv2 seadistamine tavaliselt pisut lihtsam, kuna see on tavaliselt algselt integreeritud platvormidesse, kus see on saadaval.

Kas soovite OpenVPN-i kohta rohkem teada saada? Siin on põhjalik juhend, millest me selle kohta kirjutasime

4. IKEv2 vs PPTP

IKEv2 on üldiselt palju parem valik kui PPTP lihtsalt seetõttu, et see on palju turvalisem. Ühe jaoks pakub see tuge 256-bitiste krüptimisvõtmete ja tippklasside šifrite nagu AES jaoks. Samuti, niipalju kui me teame, peab IKEv2 liiklust NSA veel hävitama. Sama ei saa öelda PPTP liikluse kohta.

Peale selle on PPTP palju vähem stabiilne kui IKEv2. See ei suuda võrgumuutustele kerge vaevaga vastu panna, nagu IKEv2, ja mis veelgi hullem – seda on äärmiselt lihtne tulemüüriga blokeerida – eriti NAT-tulemüüri, kuna NAT ei toeta PPTP-d loomulikult. Tegelikult, kui PPTP läbipääsu ruuteris ei lubata, ei saa PPTP-ühendust isegi luua.

Tavaliselt on PPTP üks peamisi tipphetki, mis eristab teda konkurentsist, väga kõrge kiirus. Noh, naljakas on see, et IKEv2 on tegelikult võimeline pakkuma kiirusi, mis sarnanevad PPTP pakutavatega.

Põhimõtteliselt on PPTP parem kui IKEv2 parem, kui tegemist on saadavuse ja seadistamise lihtsusega. Näete, et PPTP on loomulikult sisse ehitatud paljudesse platvormidesse, nii et ühenduse konfigureerimine on äärmiselt lihtne. Sellegipoolest ei pruugi see tulevikus nii olla, sest mõnede opsüsteemide uuematest versioonidest on PPTP loomulik tugi eemaldatud. Näiteks pole PPTP enam iOS 10 ja macOS Sierra korral natiivselt saadaval.

Kokkuvõttes peaksite võimalusel alati valima IKEv2 PPTP-st.

Kui soovite teada saada rohkem PPTP-d ja teada saada, miks see on selline riskantne võimalus, siis järgige seda linki.

5. IKEv2 vs traatkaabel

Wireguard on väga uus avatud lähtekoodiga VPN-protokoll, mille eesmärk on ilmselt muutuda oluliselt paremaks kui IPSec (põhineb tunneliprotokollil IKEv2). Selle loogika järgi peaks Wireguard olema turvalisem, kiirem ja mugavam kasutada kui IKEv2 – ja see võib tulevikus nii olla.

Sellegipoolest on Wireguard praegu alles katseetapis ja pole eriti stabiilne ega tööta mitmel platvormil. Tegelikult töötab Wireguard praegu just Linuxi distributsioonides. Nende võrdlusnäitajate kohaselt on Wireguard palju kiirem kui IPSec, kuigi see ei tähenda tingimata, et oleks praegu kiirem kui IKEv2, kuna IKEv2 on kiirem kui IPSec.

Seega on ikka turvalisem kasutada IKEv2, kui olete Internetis.

Juhul, kui soovite lisateavet Wireguardi kohta, leiate siit meie lingi lingi.

6. IKEv2 vs. SoftEther

Nii IKEv2 kui ka SoftEther on üsna turvalised protokollid ja kuigi SoftEther võib olla usaldusväärsem, kuna see on avatud lähtekoodiga, võite leida ka IKEv2 avatud lähtekoodiga rakendusi. Mõlemad protokollid on samuti väga kiired, ehkki SoftEther võib olla natuke kiirem kui IKEv2.

Stabiilsuse osas on asjad teisiti. Ühe jaoks on SoftEtherit tulemüüriga palju raskem blokeerida, kuna see töötab pordil 443 (HTTPS-pordil). Teisest küljest võimaldab IKEv2 funktsioon MOBIKE tal võrgumuutustele sujuvalt vastu seista (näiteks kui lülitate WiFi-ühenduse pealt andmepakettide juurde)..

Samuti võiks teile huvi pakkuda, et ehkki SoftEtheri VPN-server toetab IPSeci ja L2TP / IPSeci protokolle (muu hulgas), ei toeta see IKEv2 / IPSeci protokolli..

Lõpuks on SoftEther üsna palju parem valik kui IKEv2, ehkki eelistaksite IKEv2 kasutamist, kui olete mobiilikasutaja – eriti kuna see on saadaval BlackBerry seadmetes.

Kui soovite lisateavet SoftEtheri kohta, siis vaadake seda linki.

7. IKEv2 vs. SSTP

IKEv2 ja SSTP pakuvad sarnast turvataset, kuid SSTP on palju tulemüürikindlam, kuna kasutab TCP porti 443 – porti, mida tavaliselt ei saa blokeerida. Teisest küljest pole SSTP saadaval nii paljudel platvormidel kui IKEv2. SSTP on sisse ehitatud ainult Windowsi süsteemidesse (Vista ja uuemad) ning seda saab täiendavalt konfigureerida ruuterites, Linuxis ja Androidis. IKEv2 töötab kõigil neil platvormidel ja mujal (macOS, iOS, FreeBSD ja BlackBerry seadmed).

Nii IKEv2 kui ka SSTP töötasid välja Microsoft, kuid IKEv2 töötas välja Microsoft koos Ciscoga. See muudab selle pisut usaldusväärsemaks kui SSTP, mis kuulub ainult Microsoftile – ettevõttele, kes on varem andnud NSA-le juurdepääsu krüptitud sõnumitele ja mis on samuti osa PRISMi jälgimisprogrammist.

Ühenduse kiiruse osas on mõlemad protokollid üsna seotud, kuid on väga tõenäoline, et IKEv2 on kiirem kui SSTP. Miks? Kuna SSTP kiirust võrreldakse sageli OpenVPN kiirusega ja me juba mainisime, et IKEv2 on kiirem kui OpenVPN. Lisaks sellele on ka asjaolu, et SSTP kasutab ainult TCP-d, mis on aeglasem kui UDP (IKEv2 kasutatav edastusprotokoll).

Kas olete huvitatud SSTP-st rohkem teada saama? Siin on artikkel, mille me sellest kirjutasime.

Niisiis, kas IKEv2 protokoll on hea valik?

Jah, IKEv2 on hea võimalus turvaliseks ja sujuvaks veebikogemuseks. Soovitame ikkagi kasutada OpenVPN-i või SoftEtherit, kuid kui need valikud pole mingil põhjusel saadaval, töötab ka IKEv2 – eriti kui kasutate oma mobiili ja reisite üsna sageli.

Mis on IKEv2? Kokkuvõtteks

IKEv2 on nii VPN-i protokoll kui ka krüpteerimisprotokoll, mida kasutatakse IPSeci komplektis.

Põhimõtteliselt kasutatakse seda VPN-kliendi ja VPN-serveri vahelise turvatud ühenduse loomiseks ja autentimiseks.

IKEv2 on väga ohutu kasutada, kuna sellel on tugevate krüptimisšifrite tugi ja see parandas ka kõiki IKEv1-s esinevaid turvavigu. Samuti on IKEv2 suurepärane valik mobiilikasutajatele tänu oma MOBIKE tugile, mis võimaldab IKEv2 ühendustel vastu pidada võrgu muudatustele.

Sellegipoolest soovitame valida IKEv2 kõrval ka VPN-i pakkuja, mis pakub juurdepääsu mitmele protokollile. Ehkki see on suurepärane võimalus mobiilikasutajatele, ei tee see haiget teistele seadmetele alternatiivina veel paremate protokollide (nt OpenVPN ja SoftEther) olemasolul.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map