Što je IKEv2? (Vaš vodič za IKEV2 VPN protokol) |


Što je IKEv2?

IKEv2 (Internet Exchange Exchange inačica 2) je VPN protokol za šifriranje koji upravlja radnjama zahtjeva i odgovora. Osigurava siguran promet postavljanjem i rukovanjem atributom SA (Security Association) unutar paketa za provjeru autentičnosti – obično IPSec jer se IKEv2 u osnovi temelji na njemu i ugrađen je u njega.

IKEv2 razvio je Microsoft zajedno sa Ciscom i on je nasljednik IKEv1.

Evo kako funkcionira IKEv2

Kao i svaki VPN protokol, IKEv2 je odgovoran za uspostavljanje sigurnog tunela između VPN klijenta i VPN poslužitelja. To se postiže najprije provjerom autentičnosti i klijenta i poslužitelja, a zatim dogovorom o tome koji će se način šifriranja koristiti

Već smo spomenuli da IKEv2 obrađuje atribut SA, ali što je SA? Jednostavno rečeno, to je postupak uspostavljanja sigurnosnih atributa između dva mrežna entiteta (u ovom slučaju VPN klijenta i VPN poslužitelja). To čini generiranjem istog simetričnog ključa za enkripciju za oba entiteta. Spomenuti ključ tada se koristi za šifriranje i dešifriranje svih podataka koji prolaze kroz VPN tunel.

Opće tehničke pojedinosti o IKEv2

  • IKEv2 podržava IPSec najnovije algoritme za enkripciju, zajedno s više drugih šifrirnih šifri.
  • Općenito, IKE daemon (program koji se izvodi kao pozadinski proces) pokreće se u korisničkom prostoru (sistemska memorija namijenjena pokretanjem aplikacija), dok se IPSec stack pokreće u prostoru kernela (jezgri operativnog sustava). To pomaže povećati performanse.
  • IKE protokol koristi UDP pakete i UDP ulaz 500. Normalno je četiri do šest paketa potrebno za stvaranje SA.
  • IKE se temelji na sljedećim temeljnim sigurnosnim protokolima:
    • ISAKMP (Udruženje za internetsku sigurnost i protokol za upravljanje ključevima)
    • SKEME (Svestran mehanizam za sigurnu razmjenu ključeva)
    • OAKLEY (Oakleyov ključni protokol o utvrđivanju)
  • IKEv2 VPN protokol podržava MOBIKE (IKEv2 Mobility and Multihoming Protocol), funkciju koja protokolu omogućuje otpor prema mrežnim promjenama.
  • IKEv2 podržava PFS (savršena tajna naprijed).
  • Dok je IKEv2 Microsoft razvio zajedno s Ciscom, postoje implementacije protokola otvorenog koda (poput OpenIKEv2, Openswan i strongSwan).
  • IKE koristi X.509 certifikate za postupanje s postupkom autentifikacije.

IKEv1 naspram IKEv2

Evo popisa glavnih razlika između IKEv2 i IKEv1:

  • IKEv2 nudi podršku za daljinski pristup prema zadanim postavkama zahvaljujući svojoj EAP autentifikaciji.
  • IKEv2 je programiran da troši manje propusnosti od IKEv1.
  • IKEv2 VPN protokol koristi šifrirajuće ključeve za obje strane, što ga čini sigurnijim od IKEv1.
  • IKEv2 ima podršku za MOBIKE, što znači da može odoljeti mrežnim promjenama.
  • IKEv1 nema ugrađen NAT traverzalan kao IKEv2.
  • Za razliku od IKEv1, IKEv2 zapravo može otkriti je li VPN tunel “živ” ili ne. Ta značajka omogućuje IKEv2 da automatski ponovno uspostavi odustanu vezu.
  • IKEv2 enkripcija podržava više algoritama od IKEv1.
  • IKEv2 nudi bolju pouzdanost kroz poboljšane redne brojeve i potvrde.
  • IKEv2 protokol prvo će utvrditi postoji li tražitelj zahtjeva prije nego što započne bilo koje radnje. Zbog toga je otpornija na DoS napade.

Je li IKEv2 siguran?

Da, IKEv2 je protokol koji je siguran za upotrebu. Podržava 256-bitnu enkripciju i može koristiti šifre poput AES, 3DES, Camellia i ChaCha20. Štoviše, IKEv2 / IPSec također podržava PFS + značajka MOBIKE protokola osigurava da vaša veza neće biti prekinuta pri promjeni mreža.

Drugo što vrijedi spomenuti je da postupak provjere autentičnosti utemeljen na IKEv2 osigurava da se ništa ne poduzme dok se ne utvrdi identitet podnositelja zahtjeva.

Također je istina da je Microsoft radio na IKEv2 i da to nije baš pouzdana korporacija. Međutim, protokol nisu radili sami, već zajedno sa Ciscom. Također, IKEv2 nije u potpunosti zatvoreni izvor budući da postoje open-source implementacije protokola.

Ipak bismo trebali riješiti tri sigurnosna pitanja koja se tiču ​​IKEv2 / IPSec:

1. Problemi sa zaporkom

Još u 2018. godini pojavila su se neka istraživanja koja su istakla potencijalne sigurnosne slabosti IKEv1 i IKEv2. Problemi s IKEv1 ne bi se trebali baš ti brinuti sve dok ne koristiš protokol. Što se tiče izdanja IKEv2, čini se da bi se mogao relativno lako hakirati ako je lozinka za prijavu koja se koristi bila slaba..

Ipak, to obično nije velika briga za sigurnost ako koristite jaku lozinku. Isto se može reći ako koristite VPN uslugu treće strane, jer će oni u vaše ime obraditi IKEv2 lozinke za prijavu i provjeru autentičnosti. Sve dok odaberete pristojnog, sigurnog pružatelja usluga, ne bi trebalo biti problema.

2. NSA eksploatacija ISAKMP-a

Njemački časopis Der Spiegel objavio je propuštene prezentacije NSA u kojima se tvrdilo da je NSA mogla iskoristiti IKE i ISAKMP za dešifriranje IPSec prometa. U slučaju da niste znali, ISAKMP IPSec koristi za provođenje pregovora o VPN usluzi.

Nažalost, detalji su malo nejasni, i ne postoji tačan način koji bi jamčio da su prezentacije valjane. U slučaju da ste vrlo zabrinuti zbog ovog problema, trebali biste izbjegavati postavljanje veze samostalno i umjesto toga dobiti IKEv2 vezu pouzdanog VPN davatelja koji koristi moćne šifrirajuće šifre.

3. Napadi čovjek-u-sredini

Čini se da bi IPSec VPN konfiguracije namijenjene omogućavanju pregovaranja više konfiguracija potencijalno mogle biti podvrgnute napadima smanjenja (vrsta napada Man-in-the Middle). To se može dogoditi čak i ako se umjesto IKEv1 koristi IKEv2.

Srećom, problem se može izbjeći ako se koriste strože konfiguracije i ako se klijentski sustavi pažljivo razdvoje na više pristupnih točaka usluge. To na engleskom znači, da ako davatelj VPN-a obavi svoj posao dobro, ne biste se trebali brinuti zbog toga.

Je li IKEv2 brz?

Da, IKEv2 / IPSec nudi pristojne brzine na mreži. U stvari, to je jedan od najbržih VPN protokola koji su dostupni mrežnim korisnicima – potencijalno čak i brz kao PPTP ili SoftEther. I to je sve zahvaljujući poboljšanoj arhitekturi i učinkovitom postupku razmjene odgovora / zahtjeva. Također, činjenica da se radi na UDP priključku 500 osigurava nisku latenciju.

Još bolje, zbog MOBIKE značajke, ne trebate brinuti o brzini IKEv2 koja pada ili se prekida prilikom promjene mreže.

Prednosti i nedostaci IKEv2

prednosti

  • Sigurnost IKEv2 prilično je jaka jer podržava višestruke šifre vrhunskog kvaliteta.
  • Unatoč visokom sigurnosnom standardu, IKEv2 nudi velike brzine na mreži.
  • IKEv2 se lako može oduprijeti mrežnim promjenama zbog svoje MOBIKE podrške i može automatski obnoviti prekinute veze.
  • IKEv2 izvorno je dostupan na BlackBerry uređajima, a može se konfigurirati i na ostalim mobilnim uređajima.
  • Postavljanje IKEv2 VPN veze relativno je jednostavno.

Nedostaci

  • Budući da IKEv2 koristi samo UDP priključak 500, vatrozid ili mrežni administrator mogu ga blokirati.
  • IKEv2 ne nudi takvu kompatibilnost na više platformi kao ostali protokoli (PPTP, L2TP, OpenVPN, SoftEther).

Što je podrška IKEv2 VPN?

Podrška za IKEv2 VPN u osnovi je kada pružatelj VPN treće strane nudi pristup IKEv2 / IPSec vezama putem svoje usluge. Srećom, sve više i više pružatelja VPN-a počelo je prepoznavati koliko je ovaj protokol važan za mobilne korisnike, tako da je vjerovatnije da ćete naći usluge koje nude IKEv2 veze sada nego prije.

Ipak, preporučujemo da odaberete pružatelja VPN-a koji nudi pristup više VPN protokola. Iako je IKEv2 / IPSec sjajan protokol za mobilne uređaje, ne boli vam pristojna sigurnosna kopija (poput OpenVPN ili SoftEther-a) kada koristite druge uređaje kod kuće

Trebate IKEv2 VPN na koji se možete osloniti?

CactusVPN je samo usluga koja vam je potrebna. Nudimo brze IKEv2 / IPSec veze koje su osigurane AES, 256-bitnom NIST Elliptic krivuljom, SHA-256 i RSA-2048. Štoviše, štitimo vašu privatnost tako što ne zapisujemo nikakve vaše podatke, a naša usluga dolazi opremljena DNS zaštitom od propuštanja i Killswitch

Uz to, trebali biste znati da IKEv2 neće biti jedina opcija na raspolaganju. Također nudimo pristup ostalim VPN protokolima: OpenVPN, SoftEther, SSTP, L2TP / IPSec i PPTP.

Uspostavite IKEv2 vezu s izuzetnom lakoćom

Možete postaviti IKEv2 / IPSec tunel sa samo nekoliko klikova ako koristite CactusVPN. Nudimo više kompatibilnih klijenata sa više platformi koji su vrlo razumljivi.

Aplikacija CactusVPN

Isprobajte naše usluge besplatno odmah

Zanima vas vidjeti što CactusVPN može učiniti za vas? Zašto prvo ne isprobati naše besplatno 24-satno probno razdoblje? Ne morate davati nikakve podatke o kreditnoj kartici i lako se možete prijaviti sa svojim podacima o društvenim mrežama.

Osim toga, nakon što postanete CactusVPN korisnik, rado ćete znati da nudimo 30-dnevno jamstvo povrata novca ako usluga ne bude funkcionirala kao reklamirana.

IKEv2 naspram ostalih VPN protokola

Prije nego što započnemo, trebali bismo spomenuti da ćemo u ovom odjeljku raspravljati o IKEv2, odnosit ćemo se na IKEv2 / IPSec jer to pružatelji protokola VPN pružaju u pravilu. Isto tako, IKEv2 se ne može normalno samostalno koristiti jer je to protokol izgrađen unutar IPSeca (zbog čega je uparen s njim). Krenimo od toga:

1. IKEv2 naspram L2TP / IPSec

I L2TP i IKEv2 su u pravilu upareni s IPSec-om kada ih nude pružatelji VPN-a. To znači da imaju tendenciju da nude istu razinu sigurnosti. Ipak, iako je L2TP / IPSec zatvorenog koda, postoje IKEv2 implementacije otvorenog koda. To je, a Snowden je tvrdio da je NSA oslabila L2TP / IPSec, iako nema stvarnih dokaza koji bi to potkrepili.

IKEv2 / IPSec je brži od L2TP / IPSec, jer je L2TP / IPSec intenzivniji resursima zbog svoje dvostruke enkapsulacije, a također treba duže vremena za pregovaranje o VPN tunelu. I dok oba protokola prilično često koriste iste portove zbog uparivanja s IPSec-om, L2TP / IPSec može biti lakše blokirati s NAT vatrozidom jer L2TP ponekad ne radi dobro s NAT-om, posebno ako L2TP Prolaz nije omogućen usmjerivač.

Također, dok smo na temu stabilnosti, treba napomenuti da je IKEv2 daleko stabilniji od L2TP / IPSec jer može odoljeti mrežnim promjenama. To u osnovi znači da možete prebaciti s WiFi veze na vezu za podatkovni plan bez pada IKEv2. Da ne spominjemo da čak i ako veza IKEv2 padne, ona se odmah vraća.

Što se pristupačnosti, L2TP / IPSec izvorno je dostupan na više platformi nego što je IKEv2 / IPSec, ali IKEv2 je dostupan na BlackBerry uređajima.

Općenito, čini se da je IKEv2 / IPSec bolji izbor za mobilne korisnike, dok L2TP / IPSec djeluje dobro za ostale uređaje.

U slučaju da želite saznati više o L2TP-u, slijedite ovu vezu.

2. IKEv2 protiv IPSec

IKEv2 / IPSec je poprilično bolji u odnosu na IPSec jer nudi sigurnosne prednosti IPSeca zajedno s visokim brzinama i stabilnosti IKEv2. Također, IKEv2 ne možete samostalno usporediti s IPSec-om jer je IKEv2 protokol koji se koristi unutar skupa protokola IPSec. Također, IKEv2 se u osnovi temelji na IPSec tuneliranju.

Ako želite pročitati više o IPSecu, pogledajte naš članak o tome.

3. IKEv2 vs OpenVPN

OpenVPN je iznimno popularan kod mrežnih korisnika zbog svoje poboljšane sigurnosti, ali trebali biste znati da IKEv2 može ponuditi sličnu razinu zaštite. Točno je da IKEv2 osigurava podatke na IP razini, dok OpenVPN to čini na Transportnoj razini, ali to nije nešto što bi trebalo napraviti veliku razliku.

Međutim, ne možemo poreći činjenicu da to što OpenVPN bude open-source čini privlačnijom opcijom od IKEv2. Naravno, to više ne postaje tako veliki problem ako koristite open-source implementacije IKEv2.

U pogledu brzine na mreži, IKEv2 je obično brži od OpenVPN – čak i kad OpenVPN koristi UDP protokol prijenosa. S druge strane, mrežnom administratoru je puno teže blokirati OpenVPN veze jer protokol koristi priključak 443, koji je HTTPS prometni priključak. Nažalost, IKEv2 koristi samo UDP ulaz 500 koji mrežni administrator može blokirati bez brige o zaustavljanju drugog vitalnog internetskog prometa.

Što se tiče stabilnosti veze, oba protokola djeluju prilično dobro, ali IKEv2 nadmašuje OpenVPN na mobilnim uređajima jer može odoljeti mrežnim promjenama. Istina je da OpenVPN može biti konfiguriran da radi isto s naredbom “float”, ali nije tako učinkovit i stabilan kao IKEv2.

Što se tiče podrške za više platformi, IKEv2 malo zaostaje za OpenVPN-om, ali djeluje i na BlackBerry uređajima. Također je IKEv2 malo jednostavnije postaviti jer je normalno izvorno integriran u platforme na kojima je dostupan.

Želite saznati više o OpenVPN-u? Evo detaljnog vodiča o kojem smo pisali

4. IKEv2 vs PPTP

IKEv2 je općenito puno bolji izbor od PPTP-a samo zato što je mnogo sigurniji od njega. Za jednu, nudi podršku za 256-bitne ključeve za enkripciju i visokokvalitetne šifre poput AES-a. Isto tako, koliko znamo, IKEv2 promet tek treba probiti prema NSA. Isto se ne može reći za PPTP promet.

Uz to je PPTP mnogo manje stabilan od IKEv2. Ne može se oduprijeti mrežnim promjenama s lakoćom poput IKEv2, a što je još gore – izuzetno je jednostavno blokirati vatrozidom – posebno NAT vatrozidom jer PPTP izvorno ne podržava NAT. U stvari, ako PPTP prolazak nije omogućen na usmjerivaču, PPTP veza ne može se ni uspostaviti.

Normalno, jedan od glavnih aduta koji se izdvaja od konkurencije je njegova velika brzina. Pa, smiješno je to što je IKEv2 zapravo u mogućnosti ponuditi brzine slične onima koje nudi PPTP.

U osnovi, jedini način na koji je PPTP bolji od IKEv2 jest kada je u pitanju dostupnost i jednostavnost podešavanja. Vidite, PPTP je izvorno ugrađen u mnoštvo platformi, pa je konfiguriranje veze krajnje jednostavno. Ipak, to možda neće biti ubuduće budući da se izvorna podrška za PPTP počela uklanjati iz novijih verzija nekih operativnih sustava. Na primjer, PPTP više nije izvorno dostupan na iOS 10 i macOS Sierra.

Sve u svemu, uvijek biste trebali odabrati IKEv2 preko PPTP-a ako je moguće.

Ako želite saznati više o PPTP-u i otkriti zašto je to tako rizična opcija, slijedite ovu vezu.

5. IKEv2 protiv Žice

Wireguard je vrlo novi VPN protokol otvorenog koda koji naizgled želi postati značajno bolji od IPSeca (na tu se osnovi temelji Inelv protokol tuneliranja). Po toj logici, Wireguard bi trebao biti sigurniji, brži i praktičniji za upotrebu od IKEv2 – a to bi moglo biti slučaj u budućnosti.

Ipak, za sada je Wireguard tek u eksperimentalnoj fazi i nije baš stabilan, niti radi na više platformi. U stvari, Wireguard uglavnom samo radi na Linux distribucijama. Prema ovim referentnim vrijednostima, Wireguard je puno brži od IPSeca, mada to ne mora nužno značiti da je brži od IKEv2, jer je IKEv2 brži i od IPSeca.

Dakle, još je sigurnije koristiti IKEv2 dok ste na internetu.

U slučaju da želite saznati više o Wireguard-u, evo linka do našeg vodiča.

6. IKEv2 vs. SoftEther

I IKEv2 i SoftEther prilično su sigurni protokoli, a iako je SoftEther možda pouzdaniji jer je open source, možete pronaći i open-source implementacije IKEv2. Oba protokola su također vrlo brza, iako je SoftEther možda malo brži od IKEv2.

Kad je u pitanju stabilnost, stvari su drugačije. Za jednu, SoftEther je puno teže blokirati vatrozidom jer radi na priključku 443 (HTTPS priključak). S druge strane, IKEv2-ova značajka MOBIKE omogućuje besprijekorno odupiranje mrežnim promjenama (poput prelaska s WiFi veze u podatkovni plan).

Možda bi vas moglo zanimati i to da iako SoftEther VPN poslužitelj ima podršku za protokole IPSec i L2TP / IPSec (između ostalih), nema podršku za IKEv2 / IPSec protokol.

Na kraju, SoftEther je prilično bolja opcija od IKEv2, iako biste radije koristili IKEv2 ako ste mobilni korisnik, posebno jer je dostupan na BlackBerry uređajima.

Ako želite saznati više o SoftEther-u, pogledajte ovu vezu.

7. IKEv2 vs SSTP

IKEv2 i SSTP nude sličnu razinu sigurnosti, ali SSTP je mnogo otporniji na vatrozid jer koristi TCP port 443, port koji se ne može normalno blokirati. S druge strane, SSTP nije dostupan na toliko platformi koliko je IKEv2. SSTP je ugrađen samo u Windows sustave (Vista i noviji) i može se dodatno konfigurirati na usmjerivačima, Linuxu i Androidu. IKEv2 radi na svim tim platformama i više (macOS, iOS, FreeBSD i BlackBerry uređaji).

IKEv2 i SSTP razvio je Microsoft, ali IKEv2 je razvio Microsoft zajedno sa Ciscom. To ga čini malo pouzdanijim od SSTP-a koji je u vlasništvu isključivo Microsofta – tvrtke koja je NSA-u u prošlosti predala NSA pristup šifriranim porukama, a to je također dio programa za nadzor PRISM-a..

U pogledu brzine veze oba protokola su prilično povezana, ali vrlo je vjerojatno da je IKEv2 brži od SSTP. Zašto? Budući da se brzine SSTP-a često uspoređuju s brzinama OpenVPN-a, a već smo spomenuli da je IKEv2 brži od OpenVPN-a. Pored toga, postoji i činjenica da SSTP koristi samo TCP, koji je sporiji od UDP-a (protokol prijenosa koji koristi IKEv2).

Želite li saznati više o SSTP-u? Evo članka o kojem smo pisali.

Je li IKEv2 protokol dobar izbor?

Da, IKEv2 je dobra opcija za sigurno i glatko online iskustvo. I dalje preporučujemo upotrebu OpenVPN-a ili SoftEther-a, ali ako ove opcije iz nekog razloga nisu dostupne, IKEv2 funkcionira dobro – pogotovo ako koristite svoj mobilni i često putujete.

Što je IKEv2? U zaključku

IKEv2 je i VPN protokol i protokol šifriranja koji se koristi unutar IPSec paketa.

U osnovi se koristi za uspostavljanje i provjeru autentičnosti zaštićene komunikacije između VPN klijenta i VPN poslužitelja.

IKEv2 je vrlo siguran za upotrebu, jer ima podršku za moćne šifrirajuće šifre, a također je poboljšao sve sigurnosne nedostatke koji su bili prisutni u IKEv1. Također, IKEv2 je izvrstan izbor za mobilne korisnike zbog MOBIKE podrške koja omogućuje IKEv2 vezama da odolijevaju mrežnim promjenama..

Ipak preporučujemo odabir davatelja VPN-a koji uz IKEv2 nudi pristup više protokola. Iako je to sjajna opcija za mobilne korisnike, ne boli je imati još bolje protokole (poput OpenVPN i SoftEther) kao alternativu za druge uređaje.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map