Che cos’è IKEv2? (La tua guida al protocollo VPN IKEV2) |


Che cos’è IKEv2?

IKEv2 (Internet Key Exchange versione 2) è un protocollo di crittografia VPN che gestisce le azioni di richiesta e risposta. Assicura che il traffico sia sicuro stabilendo e gestendo l’attributo SA (Security Association) all’interno di una suite di autenticazione – di solito IPSec poiché IKEv2 è sostanzialmente basato su di esso e incorporato in esso.

IKEv2 è stato sviluppato da Microsoft insieme a Cisco ed è il successore di IKEv1.

Ecco come funziona IKEv2

Come qualsiasi protocollo VPN, IKEv2 è responsabile della creazione di un tunnel sicuro tra il client VPN e il server VPN. Lo fa autenticando prima sia il client che il server e quindi concordando su quali metodi di crittografia verranno utilizzati

Abbiamo già detto che IKEv2 gestisce l’attributo SA, ma che cos’è SA? In poche parole, è il processo di definizione degli attributi di sicurezza tra due entità di rete (in questo caso, il client VPN e il server VPN). Lo fa generando la stessa chiave di crittografia simmetrica per entrambe le entità. Tale chiave viene quindi utilizzata per crittografare e decrittografare tutti i dati che viaggiano attraverso il tunnel VPN.

Dettagli tecnici generali su IKEv2

  • IKEv2 supporta gli ultimi algoritmi di crittografia di IPSec, insieme a più altre crittografie.
  • Generalmente, il demone IKE (un programma che viene eseguito come processo in background) viene eseguito nello spazio utente (memoria di sistema dedicata alle applicazioni in esecuzione) mentre lo stack IPSec viene eseguito nello spazio del kernel (il nucleo del sistema operativo). Questo aiuta a migliorare le prestazioni.
  • Il protocollo IKE utilizza i pacchetti UDP e la porta UDP 500. Normalmente, sono necessari da quattro a sei pacchetti per creare la SA.
  • IKE si basa sui seguenti protocolli di sicurezza sottostanti:
    • ISAKMP (Internet Security Association e Key Management Protocol)
    • SKEME (meccanismo di scambio chiave sicuro versatile)
    • OAKLEY (Oakley Key Determination Protocol)
  • Il protocollo VPN IKEv2 supporta MOBIKE (IKEv2 Mobility e Multihoming Protocol), una funzione che consente al protocollo di resistere alle modifiche della rete.
  • IKEv2 supporta PFS (Perfect Forward Secrecy).
  • Mentre IKEv2 è stato sviluppato da Microsoft insieme a Cisco, ci sono implementazioni open source del protocollo (come OpenIKEv2, Openswan e strongSwan).
  • IKE utilizza i certificati X.509 quando gestisce il processo di autenticazione.

IKEv1 vs. IKEv2

Ecco un elenco delle principali differenze tra IKEv2 e IKEv1:

  • IKEv2 offre supporto per l’accesso remoto per impostazione predefinita grazie alla sua autenticazione EAP.
  • IKEv2 è programmato per consumare meno larghezza di banda di IKEv1.
  • Il protocollo VPN IKEv2 utilizza chiavi di crittografia per entrambi i lati, rendendolo più sicuro di IKEv1.
  • IKEv2 ha il supporto MOBIKE, il che significa che può resistere ai cambiamenti di rete.
  • IKEv1 non ha un attraversamento NAT integrato come IKEv2.
  • A differenza di IKEv1, IKEv2 può effettivamente rilevare se un tunnel VPN è “vivo” o no. Questa funzione consente a IKEv2 di ristabilire automaticamente una connessione interrotta.
  • La crittografia IKEv2 supporta più algoritmi rispetto a IKEv1.
  • IKEv2 offre una migliore affidabilità attraverso numeri di sequenza e riconoscimenti migliorati.
  • Il protocollo IKEv2 determinerà innanzitutto se il richiedente esiste effettivamente prima di procedere con l’esecuzione di qualsiasi azione. Per questo motivo, è più resistente agli attacchi DoS.

IKEv2 è sicuro?

Sì, IKEv2 è un protocollo sicuro da usare. Supporta la crittografia a 256 bit e può utilizzare cifre come AES, 3DES, Camellia e ChaCha20. Inoltre, IKEv2 / IPSec supporta anche PFS + la funzionalità MOBIKE del protocollo assicura che la connessione non venga interrotta quando si cambia rete.

Un’altra cosa degna di nota è che il processo di autenticazione basato su certificato di IKEv2 si assicura che non venga intrapresa alcuna azione fino a quando l’identità del richiedente non viene determinata e confermata.

Inoltre, è vero che Microsoft ha lavorato su IKEv2 e non è una società molto affidabile. Tuttavia, non hanno funzionato solo sul protocollo, ma insieme a Cisco. Inoltre, IKEv2 non è completamente open-source poiché esistono implementazioni open source del protocollo.

Tuttavia, dovremmo affrontare tre problemi relativi alla sicurezza riguardanti IKEv2 / IPSec:

1. Problemi con la password

Nel 2018 sono emerse alcune ricerche che hanno messo in luce i potenziali punti deboli di sicurezza sia di IKEv1 che di IKEv2. I problemi di IKEv1 non dovrebbero davvero preoccuparti finché non utilizzi il protocollo. Per quanto riguarda il problema IKEv2, sembra che potrebbe essere facilmente hackerato se la password di accesso utilizzata da essa è debole.

Tuttavia, normalmente non è un grosso problema di sicurezza se si utilizza una password complessa. Lo stesso si può dire se si utilizza un servizio VPN di terze parti poiché gestiranno le password di accesso e l’autenticazione IKEv2 per tuo conto. Finché scegli un fornitore decente e sicuro, non dovrebbero esserci problemi.

2. Sfruttamento da parte dell’NSA di ISAKMP

La rivista tedesca Der Spiegel ha rilasciato presentazioni trapelate dalla NSA che affermavano che la NSA era in grado di sfruttare IKE e ISAKMP per decrittografare il traffico IPSec. Nel caso in cui non lo sapessi, ISAKMP viene utilizzato da IPSec per implementare le negoziazioni del servizio VPN.

Sfortunatamente, i dettagli sono un po ‘vaghi e non esiste un modo esatto per garantire che le presentazioni siano valide. Nel caso in cui tu sia molto preoccupato per questo problema, dovresti evitare di impostare la connessione da solo e ottenere invece una connessione IKEv2 da un provider VPN affidabile che utilizza potenti crittografie di crittografia.

3. Attacchi man-in-the-middle

Sembra che le configurazioni VPN IPSec destinate a consentire la negoziazione di più configurazioni potrebbero essere potenzialmente soggette ad attacchi di downgrade (un tipo di attacchi Man-in-the-Middle). Ciò può accadere anche se si utilizza IKEv2 anziché IKEv1.

Fortunatamente, il problema può essere evitato se si utilizzano configurazioni più rigide e se i sistemi client sono accuratamente separati su più punti di accesso al servizio. Ciò che significa in inglese è che se il provider VPN fa il suo lavoro nel modo giusto, non dovresti preoccuparti di questo.

IKEv2 è veloce?

Sì, IKEv2 / IPSec offre velocità online decenti. In realtà, è uno dei protocolli VPN più veloci disponibili per gli utenti online, potenzialmente anche veloce come PPTP o SoftEther. E tutto ciò grazie alla sua architettura migliorata e al processo efficiente di scambio di messaggi di risposta / richiesta. Inoltre, il fatto che venga eseguito sulla porta UDP 500 garantisce una bassa latenza.

Meglio ancora, grazie alla sua funzione MOBIKE, non devi preoccuparti che la velocità di IKEv2 diminuisca o venga interrotta quando cambi rete.

Vantaggi e svantaggi di IKEv2

vantaggi

  • La sicurezza IKEv2 è piuttosto forte poiché supporta più cifre di fascia alta.
  • Nonostante il suo elevato standard di sicurezza, IKEv2 offre velocità online elevate.
  • IKEv2 può facilmente resistere alle modifiche di rete grazie al suo supporto MOBIKE e può ripristinare automaticamente le connessioni interrotte.
  • IKEv2 è nativamente disponibile sui dispositivi BlackBerry e può essere configurato anche su altri dispositivi mobili.
  • La configurazione di una connessione VPN IKEv2 è relativamente semplice.

svantaggi

  • Poiché IKEv2 utilizza solo la porta UDP 500, un firewall o un amministratore di rete potrebbe bloccarlo.
  • IKEv2 non offre la stessa compatibilità multipiattaforma di altri protocolli (PPTP, L2TP, OpenVPN, SoftEther).

Che cos’è il supporto VPN IKEv2?

Il supporto VPN IKEv2 è fondamentalmente quando un provider VPN di terze parti offre l’accesso alle connessioni IKEv2 / IPSec attraverso il suo servizio. Fortunatamente, sempre più provider VPN hanno iniziato a riconoscere quanto sia importante questo protocollo per gli utenti di dispositivi mobili, quindi è più probabile trovare servizi che offrono connessioni IKEv2 ora rispetto a prima.

Tuttavia, ti consigliamo di scegliere un provider VPN che offra l’accesso a più protocolli VPN. Mentre IKEv2 / IPSec è un ottimo protocollo su dispositivo mobile, non fa male avere un backup decente (come OpenVPN o SoftEther) quando si utilizzano altri dispositivi a casa

Hai bisogno di una VPN IKEv2 su cui puoi contare?

CactusVPN è solo il servizio di cui hai bisogno. Offriamo connessioni IKEv2 / IPSec ad alta velocità protette con AES, curva ellittica NIST a 256 bit, SHA-256 e RSA-2048. Inoltre, proteggiamo la tua privacy non registrando nessuno dei tuoi dati e il nostro servizio è dotato di protezione dalle perdite DNS e anche di un Killswitch

Oltre a ciò, dovresti sapere che IKEv2 non sarà l’unica opzione a tua disposizione. Offriamo anche l’accesso ad altri protocolli VPN: OpenVPN, SoftEther, SSTP, L2TP / IPSec e PPTP.

Configurare una connessione IKEv2 con estrema facilità

È possibile impostare un tunnel IKEv2 / IPSec con pochi clic se si utilizza CactusVPN. Offriamo più client compatibili multipiattaforma che sono molto facili da usare.

App CactusVPN

Prova subito i nostri servizi gratuitamente

Ti interessa vedere cosa può fare per te CactusVPN? Perché non provare prima la nostra prova gratuita di 24 ore? Non è necessario fornire i dettagli della carta di credito e è possibile registrarsi facilmente con le informazioni sui social media.

Inoltre, una volta diventato un utente CactusVPN, sarai felice di sapere che offriamo una garanzia di rimborso di 30 giorni se il servizio non funziona come pubblicizzato.

IKEv2 vs. altri protocolli VPN

Prima di iniziare, dovremmo menzionare che quando discuteremo di IKEv2 in questa sezione, ci riferiremo a IKEv2 / IPSec poiché questo è il protocollo generalmente offerto dai provider VPN. Inoltre, IKEv2 non può normalmente essere utilizzato da solo poiché è un protocollo incorporato in IPSec (motivo per cui è accoppiato con esso). Detto questo, iniziamo:

1. IKEv2 vs. L2TP / IPSec

Sia L2TP che IKEv2 sono generalmente associati a IPSec quando vengono offerti dai provider VPN. Ciò significa che tendono a offrire lo stesso livello di sicurezza. Tuttavia, mentre L2TP / IPSec è a codice chiuso, esistono implementazioni open source di IKEv2. Ciò, e Snowden ha affermato che l’NSA ha indebolito L2TP / IPSec, anche se non ci sono prove concrete a sostegno di tale affermazione.

IKEv2 / IPSec è più veloce di L2TP / IPSec poiché L2TP / IPSec richiede più risorse grazie alla sua doppia funzione di incapsulamento e impiega più tempo a negoziare un tunnel VPN. E mentre entrambi i protocolli usano praticamente le stesse porte a causa dell’abbinamento con IPSec, L2TP / IPSec potrebbe essere più facile da bloccare con un firewall NAT poiché L2TP a volte non funziona bene con NAT, specialmente se L2TP Passthrough non è abilitato su il router.

Inoltre, mentre siamo sull’argomento della stabilità, va detto che IKEv2 è molto più stabile di L2TP / IPSec poiché può resistere alle modifiche della rete. Fondamentalmente, ciò significa che è possibile passare da una connessione WiFi a una connessione del piano dati senza che la connessione IKEv2 venga interrotta. Per non parlare del fatto che anche se una connessione IKEv2 si interrompe, viene ripristinata immediatamente.

Per quanto riguarda l’accessibilità, L2TP / IPSec è nativamente disponibile su più piattaforme rispetto a IKEv2 / IPSec, ma IKEv2 è disponibile sui dispositivi BlackBerry.

Nel complesso, sembrerebbe che IKEv2 / IPSec sia una scelta migliore per gli utenti mobili, mentre L2TP / IPSec funziona bene per altri dispositivi.

Nel caso in cui desideri saperne di più su L2TP, segui questo link.

2. IKEv2 vs. IPSec

IKEv2 / IPSec è praticamente migliore sotto tutti gli aspetti rispetto a IPSec poiché offre i vantaggi di sicurezza di IPSec insieme alle alte velocità e stabilità di IKEv2. Inoltre, non puoi davvero confrontare IKEv2 da solo con IPSec poiché IKEv2 è un protocollo utilizzato nella suite di protocolli IPSec. Inoltre, IKEv2 si basa essenzialmente sul tunneling IPSec.

Se desideri saperne di più su IPSec, consulta il nostro articolo al riguardo.

3. IKEv2 vs. OpenVPN

OpenVPN è estremamente popolare tra gli utenti online grazie alla sua maggiore sicurezza, ma dovresti sapere che IKEv2 può offrire un livello di protezione simile. È vero che IKEv2 protegge le informazioni a livello IP mentre OpenVPN lo fa a livello di trasporto, ma non è davvero qualcosa che dovrebbe fare una grande differenza.

Tuttavia, non possiamo negare il fatto che OpenVPN sia open-source lo rende un’opzione più interessante di IKEv2. Naturalmente, questo non diventa più un problema così grande se si utilizzano implementazioni open source di IKEv2.

In termini di velocità online, IKEv2 è generalmente più veloce di OpenVPN, anche quando OpenVPN utilizza il protocollo di trasmissione UDP. D’altra parte, per un amministratore di rete è molto più difficile bloccare le connessioni OpenVPN poiché il protocollo utilizza la porta 443, che è la porta del traffico HTTPS. IKEv2, sfortunatamente, utilizza solo la porta UDP 500 che un amministratore di rete può bloccare senza doversi preoccupare di bloccare altro traffico online vitale.

Per quanto riguarda la stabilità della connessione, entrambi i protocolli funzionano abbastanza bene, ma IKEv2 supera OpenVPN sui dispositivi mobili poiché può resistere alle modifiche della rete. È vero che OpenVPN può essere configurato per fare lo stesso con il comando “float”, ma non è efficiente e stabile come IKEv2.

Per quanto riguarda il supporto multipiattaforma, IKEv2 è leggermente indietro rispetto a OpenVPN, ma funziona sui dispositivi BlackBerry. Inoltre, IKEv2 è in genere un po ‘più semplice da configurare poiché è normalmente nativamente integrato nelle piattaforme su cui è disponibile.

Vuoi saperne di più su OpenVPN? Ecco una guida approfondita che abbiamo scritto al riguardo

4. IKEv2 vs. PPTP

IKEv2 è generalmente una scelta molto migliore di PPTP semplicemente perché è molto più sicuro di esso. Per uno, offre supporto per chiavi di crittografia a 256 bit e cifrature di fascia alta come AES. Inoltre, per quanto ne sappiamo, il traffico IKEv2 deve ancora essere violato dall’NSA. Lo stesso non si può dire del traffico PPTP.

Oltre a ciò, PPTP è molto meno stabile di IKEv2. Non può resistere alle modifiche della rete con facilità come IKEv2 e, ancora peggio, è estremamente facile da bloccare con un firewall, in particolare un firewall NAT poiché PPTP non è supportato nativamente su NAT. In effetti, se il Passthrough PPTP non è abilitato su un router, non è nemmeno possibile stabilire una connessione PPTP.

Normalmente, uno dei punti salienti di PPTP che lo distingue dalla concorrenza è la sua altissima velocità. Bene, la cosa divertente è che IKEv2 è effettivamente in grado di offrire velocità simili a quelle offerte da PPTP.

Fondamentalmente, l’unico modo in cui PPTP è migliore di IKEv2 è quando si tratta di disponibilità e facilità di installazione. Vedete, PPTP è nativamente integrato in tonnellate di piattaforme, quindi la configurazione di una connessione è estremamente semplice. Tuttavia, ciò potrebbe non essere il caso in futuro poiché il supporto nativo per PPTP ha iniziato a essere rimosso dalle versioni più recenti di alcuni sistemi operativi. Ad esempio, PPTP non è più disponibile in modo nativo su iOS 10 e macOS Sierra.

Tutto sommato, dovresti sempre scegliere IKEv2 su PPTP, se possibile.

Se desideri saperne di più sul PPTP e scoprire perché è un’opzione così rischiosa, segui questo link.

5. IKEv2 vs. Wireguard

Wireguard è un nuovissimo protocollo VPN open source che apparentemente punta a diventare significativamente migliore di IPSec (il protocollo di tunneling su cui si basa IKEv2). Secondo questa logica, Wireguard dovrebbe essere più sicuro, più veloce e più comodo da usare rispetto a IKEv2 – e potrebbe benissimo essere il caso in futuro.

Tuttavia, per il momento, Wireguard è solo nella fase sperimentale, non è molto stabile, né funziona su più piattaforme. In effetti, proprio ora, Wireguard lavora principalmente su distribuzioni Linux. Secondo questi benchmark, Wireguard è molto più veloce di IPSec, anche se questo non significa necessariamente che sia più veloce di IKEv2 per ora poiché IKEv2 è più veloce di IPSec.

Quindi, è ancora più sicuro usare IKEv2 quando sei su Internet.

Nel caso in cui desideri saperne di più su Wireguard, ecco un link alla nostra guida.

6. IKEv2 vs. SoftEther

Sia IKEv2 che SoftEther sono protocolli abbastanza sicuri e anche se SoftEther potrebbe essere più affidabile perché è open source, puoi trovare anche implementazioni open source di IKEv2. Entrambi i protocolli sono anche molto veloci, anche se SoftEther potrebbe essere un po ‘più veloce di IKEv2.

Quando si tratta di stabilità, le cose sono diverse. Per uno, SoftEther è molto più difficile da bloccare con un firewall perché funziona sulla porta 443 (la porta HTTPS). D’altra parte, la funzione MOBIKE di IKEv2 consente di resistere perfettamente alle modifiche della rete (come quando si passa da una connessione WiFi a una di un piano dati).

Potrebbe anche interessarti sapere che mentre il server VPN SoftEther supporta i protocolli IPSec e L2TP / IPSec (tra gli altri), non ha alcun supporto per il protocollo IKEv2 / IPSec.

Alla fine, SoftEther è praticamente un’opzione migliore di IKEv2, anche se potresti preferire utilizzare IKEv2 se sei un utente mobile, soprattutto perché è disponibile sui dispositivi BlackBerry.

Se vuoi saperne di più su SoftEther, dai un’occhiata a questo link.

7. IKEv2 vs. SSTP

IKEv2 e SSTP offrono un livello di sicurezza simile, ma SSTP è molto più resistente ai firewall poiché utilizza la porta TCP 443, una porta che normalmente non può essere bloccata. D’altra parte, SSTP non è disponibile su tutte le piattaforme come IKEv2. SSTP è integrato solo nei sistemi Windows (Vista e successivi) e può essere ulteriormente configurato su router, Linux e Android. IKEv2 funziona su tutte quelle piattaforme e altro (macOS, iOS, FreeBSD e dispositivi BlackBerry).

Sia IKEv2 che SSTP sono stati sviluppati da Microsoft, ma IKEv2 è stato sviluppato da Microsoft insieme a Cisco. Ciò lo rende un po ‘più affidabile di SSTP, che è di proprietà esclusiva di Microsoft, una società che in passato ha fornito all’NSA l’accesso a messaggi crittografati e che fa anche parte del programma di sorveglianza PRISM.

In termini di velocità di connessione, entrambi i protocolli sono piuttosto legati, ma è molto probabile che IKEv2 sia più veloce di SSTP. Perché? Perché le velocità di SSTP sono spesso confrontate con quelle di OpenVPN e abbiamo già detto che IKEv2 è più veloce di OpenVPN. Oltre a ciò, c’è anche il fatto che SSTP utilizza solo TCP, che è più lento di UDP (il protocollo di trasmissione utilizzato da IKEv2).

Ti interessa saperne di più su SSTP? Ecco un articolo che abbiamo scritto al riguardo.

Quindi, il protocollo IKEv2 è una buona scelta?

Sì, IKEv2 è una buona opzione per un’esperienza online sicura e fluida. Ti consigliamo comunque di utilizzare OpenVPN o SoftEther, ma se quelle opzioni non sono disponibili per qualche motivo, anche IKEv2 funziona bene, soprattutto se usi il tuo cellulare e viaggi abbastanza spesso.

Che cos’è IKEv2? In conclusione

IKEv2 è sia un protocollo VPN che un protocollo di crittografia utilizzato all’interno della suite IPSec.

In sostanza, è utilizzato per stabilire e autenticare una comunicazione protetta tra un client VPN e un server VPN.

IKEv2 è molto sicuro da usare, in quanto supporta le crittografie potenti e ha anche migliorato tutti i difetti di sicurezza presenti in IKEv1. Inoltre, IKEv2 è una scelta eccellente per gli utenti mobili grazie al suo supporto MOBIKE che consente alle connessioni IKEv2 di resistere alle modifiche della rete.

Tuttavia, ti consigliamo di scegliere un provider VPN che offra l’accesso a più protocolli insieme a IKEv2. Sebbene sia un’ottima opzione per gli utenti mobili, non fa male avere protocolli ancora migliori (come OpenVPN e SoftEther) in alternativa ad altri dispositivi.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map