¿Qué es IKEv2? (Su guía para el protocolo VPN IKEV2) |


¿Qué es IKEv2??

IKEv2 (Internet Key Exchange versión 2) es un protocolo de encriptación VPN que maneja las acciones de solicitud y respuesta. Se asegura de que el tráfico sea seguro al establecer y manejar el atributo SA (Asociación de seguridad) dentro de un conjunto de autenticación, generalmente IPSec, ya que IKEv2 se basa básicamente en él y está integrado en él..

IKEv2 fue desarrollado por Microsoft junto con Cisco, y es el sucesor de IKEv1.

Así es como funciona IKEv2

Como cualquier protocolo VPN, IKEv2 es responsable de establecer un túnel seguro entre el cliente VPN y el servidor VPN. Lo hace autenticando primero tanto el cliente como el servidor, y luego acordando qué métodos de cifrado se utilizarán

Ya mencionamos que IKEv2 maneja el atributo SA, pero ¿qué es SA? En pocas palabras, es el proceso de establecer atributos de seguridad entre dos entidades de red (en este caso, el cliente VPN y el servidor VPN). Lo hace al generar la misma clave de cifrado simétrico para ambas entidades. Dicha clave se utiliza para cifrar y descifrar todos los datos que viajan a través del túnel VPN..

Detalles técnicos generales sobre IKEv2

  • IKEv2 es compatible con los últimos algoritmos de cifrado de IPSec, junto con muchos otros cifrados de cifrado.
  • En general, el demonio IKE (un programa que se ejecuta como un proceso en segundo plano) se ejecuta en el espacio del usuario (memoria del sistema dedicada a ejecutar aplicaciones) mientras que la pila IPSec se ejecuta en el espacio del núcleo (el núcleo del sistema operativo). Eso ayuda a aumentar el rendimiento.
  • El protocolo IKE utiliza paquetes UDP y el puerto UDP 500. Normalmente, se necesitan de cuatro a seis paquetes para crear el SA.
  • IKE se basa en los siguientes protocolos de seguridad subyacentes:
    • ISAKMP (Asociación de seguridad de Internet y protocolo de administración de claves)
    • SKEME (Mecanismo versátil de intercambio seguro de claves)
    • OAKLEY (Protocolo de determinación de claves de Oakley)
  • El protocolo VPN IKEv2 es compatible con MOBIKE (Movilidad IKEv2 y Protocolo Multihoming), una función que permite que el protocolo resista los cambios de red..
  • IKEv2 es compatible con PFS (Perfect Forward Secrecy).
  • Si bien Microsoft desarrolló IKEv2 junto con Cisco, existen implementaciones de código abierto del protocolo (como OpenIKEv2, Openswan y strongSwan).
  • IKE utiliza certificados X.509 cuando maneja el proceso de autenticación.

IKEv1 contra IKEv2

Aquí hay una lista de las principales diferencias entre IKEv2 e IKEv1:

  • IKEv2 ofrece soporte para acceso remoto por defecto gracias a su autenticación EAP.
  • IKEv2 está programado para consumir menos ancho de banda que IKEv1.
  • El protocolo VPN IKEv2 utiliza claves de cifrado para ambos lados, lo que lo hace más seguro que IKEv1.
  • IKEv2 tiene soporte MOBIKE, lo que significa que puede resistir cambios en la red.
  • IKEv1 no tiene una NAT transversal incorporada como IKEv2.
  • A diferencia de IKEv1, IKEv2 puede detectar si un túnel VPN está “vivo” o no. Esa característica permite a IKEv2 restablecer automáticamente una conexión caída.
  • El cifrado IKEv2 admite más algoritmos que IKEv1.
  • IKEv2 ofrece una mayor confiabilidad a través de números de secuencia mejorados y reconocimientos.
  • El protocolo IKEv2 determinará primero si el solicitante realmente existe antes de proceder a realizar alguna acción. Por eso, es más resistente a los ataques DoS.

¿Es seguro IKEv2??

Sí, IKEv2 es un protocolo seguro de usar. Admite cifrado de 256 bits y puede utilizar cifrados como AES, 3DES, Camellia y ChaCha20. Además, IKEv2 / IPSec también es compatible con PFS +, la función MOBIKE del protocolo asegura que su conexión no se caiga al cambiar de red..

Otra cosa que vale la pena mencionar es que el proceso de autenticación basado en certificados de IKEv2 asegura que no se tome ninguna medida hasta que se determine y confirme la identidad del solicitante..

Además, es cierto que Microsoft trabajó en IKEv2, y esa no es una corporación muy confiable. Sin embargo, no trabajaron solo en el protocolo, sino junto con Cisco. Además, IKEv2 no es completamente de código cerrado ya que existen implementaciones de código abierto del protocolo.

Aún así, debemos abordar tres problemas relacionados con la seguridad con respecto a IKEv2 / IPSec:

1. Problemas de contraseña

En 2018, surgieron algunas investigaciones que resaltaron las debilidades potenciales de seguridad tanto de IKEv1 como de IKEv2. Los problemas de IKEv1 no deberían preocuparte realmente mientras no uses el protocolo. En cuanto al problema de IKEv2, parece que podría ser pirateado con relativa facilidad si la contraseña de inicio de sesión que utiliza es débil.

Aún así, eso normalmente no es un gran problema de seguridad si está utilizando una contraseña segura. Lo mismo puede decirse si está utilizando un servicio VPN de terceros, ya que manejarán las contraseñas de inicio de sesión IKEv2 y la autenticación en su nombre. Mientras elija un proveedor decente y seguro, no debería haber problemas.

2. Explotación de la NSA de ISAKMP

La revista alemana Der Spiegel lanzó presentaciones filtradas de la NSA que afirmaban que la NSA pudo explotar IKE e ISAKMP para descifrar el tráfico de IPSec. En caso de que no lo supiera, IPSec utiliza ISAKMP para implementar negociaciones de servicio VPN.

Desafortunadamente, los detalles son un poco vagos y no hay una forma exacta de garantizar que las presentaciones sean válidas. En caso de que esté muy preocupado por este problema, debe evitar configurar la conexión por su cuenta y, en su lugar, obtener una conexión IKEv2 de un proveedor de VPN confiable que utilice cifrados potentes de cifrado.

3. Ataques de hombre en el medio

Parece que las configuraciones de VPN IPSec que están destinadas a permitir la negociación de múltiples configuraciones podrían estar sujetas a ataques de degradación (un tipo de ataques Man-in-the-Middle). Eso puede suceder incluso si se usa IKEv2 en lugar de IKEv1.

Afortunadamente, el problema se puede evitar si se utilizan configuraciones más estrictas y si los sistemas del cliente se segregan cuidadosamente en múltiples puntos de acceso al servicio. Lo que eso significa en inglés es que si el proveedor de VPN hace bien su trabajo, no debería preocuparse por esto.

¿IKEv2 es rápido??

Sí, IKEv2 / IPSec ofrece velocidades en línea decentes. De hecho, es uno de los protocolos VPN más rápidos que están disponibles para los usuarios en línea, potencialmente incluso tan rápido como PPTP o SoftEther. Y eso es todo gracias a su arquitectura mejorada y al eficiente proceso de intercambio de mensajes de respuesta / solicitud. Además, el hecho de que se ejecute en el puerto UDP 500 garantiza que haya una baja latencia.

Mejor aún, debido a su función MOBIKE, no necesita preocuparse de que las velocidades de IKEv2 disminuyan o se vean interrumpidas cuando cambie de red..

IKEv2 Ventajas y desventajas

Ventajas

  • La seguridad de IKEv2 es bastante sólida ya que admite múltiples cifrados de alta gama..
  • A pesar de su alto estándar de seguridad, IKEv2 ofrece velocidades rápidas en línea.
  • IKEv2 puede resistir fácilmente los cambios de red debido a su soporte MOBIKE y puede restaurar automáticamente las conexiones caídas.
  • IKEv2 está disponible de forma nativa en dispositivos BlackBerry y también se puede configurar en otros dispositivos móviles.
  • Configurar una conexión VPN IKEv2 es relativamente simple.

Desventajas

  • Como IKEv2 solo usa el puerto UDP 500, un firewall o administrador de red podría bloquearlo.
  • IKEv2 no ofrece tanta compatibilidad multiplataforma como otros protocolos (PPTP, L2TP, OpenVPN, SoftEther).

¿Qué es el soporte de VPN IKEv2??

La compatibilidad con IKEv2 VPN es básicamente cuando un proveedor de VPN de terceros ofrece acceso a conexiones IKEv2 / IPSec a través de su servicio. Afortunadamente, cada vez más proveedores de VPN han comenzado a reconocer la importancia de este protocolo para los usuarios móviles, por lo que es más probable que encuentre servicios que ofrecen conexiones IKEv2 ahora que antes..

Aún así, recomendamos elegir un proveedor de VPN que ofrezca acceso a múltiples protocolos VPN. Si bien IKEv2 / IPSec es un excelente protocolo para dispositivos móviles, no está de más tener una copia de seguridad decente (como OpenVPN o SoftEther) cuando usa otros dispositivos en casa

Necesita una VPN IKEv2 en la que pueda confiar?

CactusVPN es el servicio que necesita. Ofrecemos conexiones IKEv2 / IPSec de alta velocidad que están aseguradas con AES, curva elíptica NIST de 256 bits, SHA-256 y RSA-2048. Lo que es más, protegemos su privacidad al no registrar ninguno de sus datos, y nuestro servicio viene equipado con protección contra fugas de DNS y un Killswitch también

Además de eso, debes saber que IKEv2 no será la única opción a tu disposición. También ofrecemos acceso a otros protocolos VPN: OpenVPN, SoftEther, SSTP, L2TP / IPSec y PPTP.

Configurar una conexión IKEv2 con facilidad extrema

Puede configurar un túnel IKEv2 / IPSec con solo unos pocos clics si usa CactusVPN. Ofrecemos múltiples clientes compatibles con múltiples plataformas que son muy fáciles de usar.

Aplicación CactusVPN

Pruebe nuestros servicios gratis ahora

¿Interesado en ver lo que CactusVPN puede hacer por usted? ¿Por qué no prueba primero nuestra prueba gratuita de 24 horas? No necesita dar detalles de su tarjeta de crédito, y puede registrarse fácilmente con su información de redes sociales.

Además, una vez que se convierta en usuario de CactusVPN, se alegrará de saber que ofrecemos una garantía de devolución de dinero de 30 días si el servicio no funciona como se anuncia.

IKEv2 frente a otros protocolos VPN

Antes de comenzar, debemos mencionar que cuando estemos discutiendo IKEv2 en esta sección, nos referiremos a IKEv2 / IPSec ya que ese es el protocolo que los proveedores de VPN generalmente ofrecen. Además, IKEv2 normalmente no se puede usar solo, ya que es un protocolo construido dentro de IPSec (por eso está emparejado con él). Con eso fuera del camino, comencemos:

1. IKEv2 vs. L2TP / IPSec

Tanto L2TP como IKEv2 generalmente están emparejados con IPSec cuando los proveedores de VPN los ofrecen. Eso significa que tienden a ofrecer el mismo nivel de seguridad. Aún así, aunque L2TP / IPSec es de código cerrado, existen implementaciones de código abierto de IKEv2. Eso, y Snowden ha afirmado que la NSA ha debilitado L2TP / IPSec, aunque no hay evidencia real que respalde esa afirmación..

IKEv2 / IPSec es más rápido que L2TP / IPSec ya que L2TP / IPSec consume más recursos debido a su función de doble encapsulación, y también lleva más tiempo negociar un túnel VPN. Y aunque ambos protocolos usan los mismos puertos debido a que están emparejados con IPSec, L2TP / IPSec podría ser más fácil de bloquear con un firewall NAT, ya que L2TP a veces no funciona bien con NAT, especialmente si L2TP Passthrough no está habilitado en el enrutador.

Además, si bien estamos en el tema de la estabilidad, debe mencionarse que IKEv2 es mucho más estable que L2TP / IPSec, ya que puede resistir los cambios en la red. Básicamente, eso significa que puede cambiar de una conexión WiFi a una conexión de plan de datos sin que la conexión IKEv2 se caiga. Sin mencionar que incluso si una conexión IKEv2 se cae, se restaura inmediatamente.

En cuanto a la accesibilidad, L2TP / IPSec está disponible de forma nativa en más plataformas que IKEv2 / IPSec, pero IKEv2 está disponible en dispositivos BlackBerry.

En general, parece que IKEv2 / IPSec es una mejor opción para usuarios móviles, mientras que L2TP / IPSec funciona bien para otros dispositivos.

En caso de que desee obtener más información sobre L2TP, siga este enlace..

2. IKEv2 vs. IPSec

IKEv2 / IPSec es bastante mejor en todos los aspectos que IPSec, ya que ofrece los beneficios de seguridad de IPSec junto con las altas velocidades y la estabilidad de IKEv2. Además, realmente no se puede comparar IKEv2 por sí solo con IPSec, ya que IKEv2 es un protocolo que se utiliza dentro del conjunto de protocolos IPSec. Además, IKEv2 se basa esencialmente en el túnel IPSec.

Si desea leer más sobre IPSec, consulte nuestro artículo al respecto.

3. IKEv2 vs. OpenVPN

OpenVPN es extremadamente popular entre los usuarios en línea debido a su seguridad mejorada, pero debe saber que IKEv2 puede ofrecer un nivel de protección similar. Es cierto que IKEv2 asegura la información a nivel de IP, mientras que OpenVPN lo hace a nivel de transporte, pero en realidad no es algo que deba marcar una gran diferencia.

Sin embargo, no podemos negar el hecho de que OpenVPN siendo de código abierto lo convierte en una opción más atractiva que IKEv2. Por supuesto, eso ya no se convierte en un problema tan grande si usa implementaciones de código abierto de IKEv2.

En términos de velocidades en línea, IKEv2 suele ser más rápido que OpenVPN, incluso cuando OpenVPN utiliza el protocolo de transmisión UDP. Por otro lado, es mucho más difícil para un administrador de red bloquear las conexiones OpenVPN ya que el protocolo usa el puerto 443, que es el puerto de tráfico HTTPS. IKEv2, desafortunadamente, usa solo el puerto UDP 500 que un administrador de red puede bloquear sin tener que preocuparse por detener otro tráfico en línea vital.

En cuanto a la estabilidad de la conexión, ambos protocolos funcionan bastante bien, pero IKEv2 supera a OpenVPN en dispositivos móviles, ya que puede resistir los cambios en la red. Es cierto que OpenVPN se puede configurar para hacer lo mismo con el comando “flotante”, pero no es tan eficiente y estable como IKEv2.

Con respecto al soporte multiplataforma, IKEv2 está un poco por detrás de OpenVPN, pero funciona en dispositivos BlackBerry. Además, IKEv2 suele ser un poco más fácil de configurar, ya que normalmente está integrado de forma nativa en las plataformas en las que está disponible.

¿Quieres saber más sobre OpenVPN? Aquí hay una guía detallada que escribimos al respecto.

4. IKEv2 vs. PPTP

IKEv2 es generalmente una opción mucho mejor que PPTP simplemente porque es mucho más seguro que él. Por un lado, ofrece soporte para claves de cifrado de 256 bits y cifrados de alta gama como AES. Además, hasta donde sabemos, el tráfico de IKEv2 aún no ha sido descifrado por la NSA. No se puede decir lo mismo sobre el tráfico PPTP.

Además de eso, PPTP es mucho menos estable que IKEv2. No puede resistir los cambios de red con facilidad como IKEv2 y, lo que es peor, es extremadamente fácil de bloquear con un firewall, especialmente un firewall NAT ya que PPTP no es compatible de forma nativa con NAT. De hecho, si PPTP Passthrough no está habilitado en un enrutador, ni siquiera se puede establecer una conexión PPTP.

Normalmente, uno de los aspectos más destacados de PPTP que lo distingue de su competencia es su velocidad muy alta. Bueno, lo curioso es que IKEv2 es capaz de ofrecer velocidades similares a las que ofrece PPTP.

Básicamente, la única forma en que PPTP es mejor que IKEv2 es cuando se trata de disponibilidad y facilidad de configuración. Verá, PPTP está integrado de forma nativa en toneladas de plataformas, por lo que configurar una conexión es extremadamente simple. Aún así, ese podría no ser el caso en el futuro ya que el soporte nativo para PPTP comenzó a eliminarse de las versiones más recientes de algunos sistemas operativos. Por ejemplo, PPTP ya no está disponible de forma nativa en iOS 10 y macOS Sierra.

Con todo, siempre debe elegir IKEv2 sobre PPTP si es posible.

Si desea obtener más información sobre PPTP y descubrir por qué es una opción tan arriesgada, siga este enlace.

5. IKEv2 vs. Wireguard

Wireguard es un protocolo VPN de código abierto muy nuevo que aparentemente pretende ser significativamente mejor que IPSec (el protocolo de túnel en el que se basa IKEv2). Según esa lógica, Wireguard debería ser más seguro, más rápido y más conveniente de usar que IKEv2, y ese podría ser el caso en el futuro.

Aún así, por el momento, Wireguard se encuentra en la etapa experimental, y no es muy estable, ni funciona en múltiples plataformas. De hecho, en este momento, Wireguard funciona principalmente en distribuciones de Linux. Según estos puntos de referencia, Wireguard es mucho más rápido que IPSec, aunque eso no significa necesariamente que sea más rápido que IKEv2 por ahora, ya que IKEv2 también es más rápido que IPSec.

Por lo tanto, aún es más seguro usar IKEv2 cuando estás en Internet.

En caso de que desee obtener más información sobre Wireguard, aquí hay un enlace a nuestra guía.

6. IKEv2 vs. SoftEther

Tanto IKEv2 como SoftEther son protocolos bastante seguros, y aunque SoftEther podría ser más confiable porque es de código abierto, también puede encontrar implementaciones de código abierto de IKEv2. Ambos protocolos también son muy rápidos, aunque SoftEther podría ser un poco más rápido que IKEv2.

Cuando se trata de estabilidad, las cosas son diferentes. Por un lado, SoftEther es mucho más difícil de bloquear con un firewall porque se ejecuta en el puerto 443 (el puerto HTTPS). Por otro lado, la función MOBIKE de IKEv2 le permite resistir sin problemas los cambios en la red (como cuando cambia de una conexión WiFi a una de plan de datos).

También podría interesarle saber que si bien el servidor SoftEther VPN tiene soporte para los protocolos IPSec y L2TP / IPSec (entre otros), no tiene ningún soporte para el protocolo IKEv2 / IPSec.

Al final, SoftEther es una opción bastante mejor que IKEv2, aunque es posible que prefiera usar IKEv2 si es un usuario móvil, especialmente porque está disponible en dispositivos BlackBerry.

Si desea obtener más información sobre SoftEther, consulte este enlace.

7. IKEv2 vs. SSTP

IKEv2 y SSTP ofrecen un nivel de seguridad similar, pero SSTP es mucho más resistente al firewall ya que utiliza el puerto TCP 443, un puerto que normalmente no se puede bloquear. Por otro lado, SSTP no está disponible en tantas plataformas como IKEv2. SSTP solo está integrado en los sistemas Windows (Vista y superior), y puede configurarse aún más en enrutadores, Linux y Android. IKEv2 funciona en todas esas plataformas y más (dispositivos macOS, iOS, FreeBSD y BlackBerry).

Tanto IKEv2 como SSTP fueron desarrollados por Microsoft, pero IKEv2 fue desarrollado por Microsoft junto con Cisco. Eso lo hace un poco más confiable que SSTP, que es propiedad exclusiva de Microsoft, una compañía que le otorgó a la NSA acceso a mensajes cifrados en el pasado, y que también es parte del programa de vigilancia PRISM.

En términos de velocidades de conexión, ambos protocolos están bastante vinculados, pero es muy probable que IKEv2 sea más rápido que SSTP. ¿Por qué? Debido a que las velocidades de SSTP a menudo se comparan con las velocidades de OpenVPN, y ya hemos mencionado que IKEv2 es más rápido que OpenVPN. Además de eso, también existe el hecho de que SSTP solo usa TCP, que es más lento que UDP (el protocolo de transmisión utilizado por IKEv2).

¿Interesado en aprender más sobre SSTP? Aquí hay un artículo que escribimos al respecto.

Entonces, ¿es el protocolo IKEv2 una buena opción??

Sí, IKEv2 es una buena opción para una experiencia en línea segura y fluida. Todavía le recomendamos que use OpenVPN o SoftEther, pero si esas opciones no están disponibles por alguna razón, IKEv2 también funciona bien, especialmente si usa su teléfono móvil y viaja con bastante frecuencia..

¿Qué es IKEv2? En conclusión

IKEv2 es tanto un protocolo VPN como un protocolo de cifrado utilizado dentro del conjunto de IPSec.

Esencialmente, se utiliza para establecer y autenticar una comunicación segura entre un cliente VPN y un servidor VPN.

IKEv2 es muy seguro de usar, ya que es compatible con cifrados potentes de cifrado, y también mejoró todos los defectos de seguridad que estaban presentes en IKEv1. Además, IKEv2 es una excelente opción para usuarios móviles debido a su soporte MOBIKE que permite que las conexiones IKEv2 resistan los cambios de red..

Aún así, recomendamos elegir un proveedor de VPN que ofrezca acceso a múltiples protocolos junto con IKEv2. Si bien es una excelente opción para usuarios móviles, no está de más tener protocolos aún mejores (como OpenVPN y SoftEther) como alternativa para otros dispositivos.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map