Ce este IKEv2? (Ghidul dvs. pentru Protocolul VPN IKEV2) |


Ce este IKEv2?

IKEv2 (Internet Key Exchange versiunea 2) este un protocol de criptare VPN care gestionează acțiunile de solicitare și răspuns. Se asigură că traficul este sigur prin stabilirea și tratarea atributului SA (Security Association) într-o suită de autentificare – de obicei IPSec, deoarece IKEv2 se bazează practic pe acesta și este integrat în acesta.

IKEv2 a fost dezvoltat de Microsoft împreună cu Cisco și este succesorul lui IKEv1.

Iată cum funcționează IKEv2

Ca orice protocol VPN, IKEv2 este responsabil pentru stabilirea unui tun securizat între clientul VPN și serverul VPN. Face acest lucru prin autentificarea mai întâi atât a clientului, cât și a serverului, și apoi de acord asupra metodelor de criptare care vor fi utilizate

Am menționat deja că IKEv2 se ocupă de atributul SA, dar ce este SA? Mai simplu spus, este procesul de stabilire a atributelor de securitate între două entități de rețea (în acest caz, clientul VPN și serverul VPN). Face acest lucru prin generarea aceleiași chei de criptare simetrice pentru ambele entități. Această cheie este apoi utilizată pentru criptarea și decriptarea tuturor datelor care călătoresc prin tunelul VPN.

Detalii tehnice generale despre IKEv2

  • IKEv2 acceptă ultimele algoritmi de criptare ale IPSec, alături de mai multe cifre de criptare.
  • În general, demonul IKE (un program care rulează ca proces de fundal) rulează în spațiul utilizatorului (memoria sistemului dedicat rulării aplicațiilor) în timp ce stiva IPSec rulează în spațiul kernel-ului (nucleul sistemului de operare). Acest lucru ajută la creșterea performanței.
  • Protocolul IKE folosește pachete UDP și portul UDP 500. În mod normal, sunt necesare patru până la șase pachete pentru crearea SA.
  • IKE se bazează pe următoarele protocoale de securitate de bază:
    • ISAKMP (Internet Security Association and Key Management Protocol)
    • SKEME (Mecanism versatil de schimb de chei sigure)
    • OAKLEY (Protocolul de determinare a cheii Oakley)
  • Protocolul IKEv2 VPN acceptă MOBIKE (IKEv2 Mobility and Multihoming Protocol), o funcție care permite protocolului să reziste la modificările rețelei.
  • IKEv2 acceptă PFS (Perfect Forward Secret).
  • În timp ce IKEv2 a fost dezvoltat de Microsoft împreună cu Cisco, există implementări open-source ale protocolului (cum ar fi OpenIKEv2, Openswan și puternicSwan).
  • IKE utilizează certificate X.509 atunci când gestionează procesul de autentificare.

IKEv1 vs. IKEv2

Iată o listă a principalelor diferențe între IKEv2 și IKEv1:

  • IKEv2 oferă asistență pentru acces la distanță în mod implicit, datorită autentificării EAP.
  • IKEv2 este programat pentru a consuma mai puțin lățime de bandă decât IKEv1.
  • Protocolul VPN IKEv2 folosește chei de criptare pentru ambele părți, ceea ce îl face mai sigur decât IKEv1.
  • IKEv2 are suport MOBIKE, ceea ce înseamnă că poate rezista modificărilor din rețea.
  • IKEv1 nu are o traversare NAT încorporată, așa cum o face IKEv2.
  • Spre deosebire de IKEv1, IKEv2 poate detecta de fapt dacă un tunel VPN este „viu” sau nu. Această caracteristică permite IKEv2 să restabilească automat o conexiune abandonată.
  • Criptarea IKEv2 acceptă mai mulți algoritmi decât IKEv1.
  • IKEv2 oferă o mai bună fiabilitate prin numere și recunoaștere îmbunătățite.
  • Protocolul IKEv2 va determina mai întâi dacă solicitantul există de fapt înainte de a efectua orice acțiune. Din această cauză, este mai rezistent la atacurile DoS.

Este IKEv2 securizat?

Da, IKEv2 este un protocol care este sigur de utilizat. Suporta criptarea de 256 biți și poate utiliza cifre precum AES, 3DES, Camellia și ChaCha20. Mai mult, IKEv2 / IPSec acceptă, de asemenea, PFS + funcția MOBIKE a protocolului asigură că conexiunea dvs. nu va fi eliminată la schimbarea rețelelor.

Un alt lucru demn de menționat este faptul că procesul de autentificare bazat pe certificat IKEv2 asigură că nu se întreprinde nicio acțiune până când identitatea solicitantului este determinată și confirmată.

De asemenea, este adevărat că Microsoft a lucrat la IKEv2 și nu este o corporație foarte de încredere. Cu toate acestea, nu au lucrat doar la protocol, ci împreună cu Cisco. De asemenea, IKEv2 nu este complet închis, deoarece există implementări open-source ale protocolului.

Cu toate acestea, ar trebui să abordăm trei probleme legate de securitate cu privire la IKEv2 / IPSec:

1. Probleme cu parolă

În 2018, unele cercetări au ieșit în evidență care au evidențiat potențialele slăbiciuni de securitate atât ale IKEv1, cât și ale IKEv2. Problemele IKEv1 nu ar trebui să vă privească cu adevărat atât timp cât nu utilizați protocolul. În ceea ce privește problema IKEv2, se pare că ar putea fi relativ ușor hackat dacă parola de conectare folosită de acesta este slabă.

Totuși, în mod normal, nu este o problemă imensă de securitate dacă utilizați o parolă puternică. Același lucru se poate spune dacă utilizați un serviciu VPN terță parte, deoarece acestea vor gestiona parolele de autentificare IKEv2 și autentificarea în numele dvs. Atâta timp cât alegeți un furnizor decent, sigur, nu ar trebui să existe probleme.

2. Exploatarea NSA a ISAKMP

Revista germană Der Spiegel a lansat prezentări ale NSA, care susțineau că NSA este capabil să exploateze IKE și ISAKMP pentru a decripta traficul IPSec. În cazul în care nu știați, ISAKMP este folosit de IPSec pentru a implementa negocierile privind serviciul VPN.

Din păcate, detaliile sunt puțin vagi și nu există o modalitate exactă de a garanta că prezentările sunt valabile. În cazul în care sunteți foarte îngrijorat de această problemă, ar trebui să evitați configurarea conexiunii pe cont propriu și, în schimb, să obțineți o conexiune IKEv2 de la un furnizor VPN de încredere care utilizează cifre de criptare puternice.

3. Atacurile omului în mijloc

Se pare că configurațiile IPSec VPN care sunt destinate să permită negocierea mai multor configurații ar putea fi supuse atacurilor de downgrade (un tip de atacuri Man-in-the-Middle). Acest lucru se poate întâmpla chiar dacă IKEv2 este utilizat în loc de IKEv1.

Din fericire, problema poate fi evitată dacă se utilizează configurații mai stricte și dacă sistemele client sunt segregate cu atenție pe mai multe puncte de acces la servicii. Ce înseamnă asta în engleză este că, dacă furnizorul VPN își face treaba corect, nu ar trebui să vă faceți griji în acest sens.

Este IKEv2 rapid?

Da, IKEv2 / IPSec oferă viteze online decente. De fapt, acesta este unul dintre cele mai rapide protocoale VPN care sunt disponibile utilizatorilor online – potențial chiar la fel de rapid ca PPTP sau SoftEther. Și asta este totul datorită arhitecturii sale îmbunătățite și a procesului eficient de schimb de mesaje de răspuns / cerere. De asemenea, faptul că rulează pe portul UDP 500 asigură o latență scăzută.

Mai bine, datorită funcției MOBIKE, nu trebuie să vă faceți griji cu privire la scăderea sau întreruperea vitezei IKEv2 la schimbarea rețelelor.

IKEv2 Avantaje și dezavantaje

avantaje

  • Securitatea IKEv2 este destul de puternică, deoarece acceptă mai multe cifre de înaltă calitate.
  • În ciuda standardului ridicat de securitate, IKEv2 oferă viteze online rapide.
  • IKEv2 poate rezista cu ușurință schimbărilor din rețea datorită suportului MOBIKE și poate restabili automat conexiunile abandonate.
  • IKEv2 este disponibil nativ pe dispozitivele BlackBerry și poate fi configurat și pe alte dispozitive mobile.
  • Configurarea unei conexiuni VPN IKEv2 este relativ simplă.

Dezavantaje

  • Deoarece IKEv2 folosește doar portul UDP 500, un firewall sau un administrator de rețea l-ar putea bloca.
  • IKEv2 nu oferă la fel de mult compatibilitatea multiplelor platforme precum alte protocoale (PPTP, L2TP, OpenVPN, SoftEther).

Ce este suportul IKEv2 VPN?

Suportul VPN IKEv2 este practic atunci când un furnizor VPN terț oferă acces la conexiunile IKEv2 / IPSec prin serviciul său. Din fericire, din ce în ce mai mulți furnizori VPN au început să recunoască cât de important este acest protocol pentru utilizatorii de telefonie mobilă, așa că este mai probabil să găsiți servicii care oferă conexiuni IKEv2 acum decât înainte.

Cu toate acestea, recomandăm să alegeți un furnizor VPN care oferă acces la mai multe protocoale VPN. Deși IKEv2 / IPSec este un protocol excelent pe mobil, nu este rău să ai o copie de rezervă decentă (cum ar fi OpenVPN sau SoftEther) atunci când folosești alte dispozitive acasă

Aveți nevoie de un VPN IKEv2 pe care vă puteți baza?

CactusVPN este doar serviciul de care aveți nevoie. Oferim conexiuni IKEv2 / IPSec de mare viteză care sunt securizate cu AES, 256 biți NIST Elliptic Curve, SHA-256 și RSA-2048. Mai mult decât atât, vă protejăm confidențialitatea neînregistrând datele dvs., iar serviciul nostru este echipat cu protecție împotriva scurgerii DNS și un Killswitch

În afară de asta, trebuie să știți că IKEv2 nu va fi singura opțiune la dispoziția dvs. De asemenea, oferim acces la alte protocoale VPN: OpenVPN, SoftEther, SSTP, L2TP / IPSec și PPTP.

Configurați o conexiune IKEv2 cu Extreme Ease

Puteți configura un tunel IKEv2 / IPSec cu doar câteva clicuri dacă utilizați CactusVPN. Oferim mai mulți clienți compatibili cu mai multe platforme care sunt foarte ușor de utilizat.

Aplicația CactusVPN

Încercați serviciile noastre gratuit acum

Vrei să vezi ce poate face CactusVPN pentru tine? De ce nu încercați prima noastră probă gratuită de 24 de ore? Nu trebuie să dați detalii despre cardul de credit și vă puteți înscrie cu ușurință cu informațiile dvs. de socializare.

În plus, odată ce ai devenit utilizator CactusVPN, vei fi fericit să știi că oferim o garanție de returnare de 30 de zile în cazul în care serviciul nu funcționează ca publicitate..

IKEv2 vs. Alte protocoale VPN

Înainte de a începe, ar trebui să menționăm că, atunci când vom discuta despre IKEv2 în această secțiune, ne vom referi la IKEv2 / IPSec, deoarece acesta este în general oferit de furnizorii VPN de protocol. De asemenea, IKEv2 nu poate fi utilizat în mod normal, deoarece este un protocol construit în IPSec (motiv pentru care este asociat cu acesta). Cu asta, începem:

1. IKEv2 vs. L2TP / IPSec

Atât L2TP, cât și IKEv2 sunt în general asociate cu IPSec atunci când sunt oferite de furnizorii VPN. Asta înseamnă că tind să ofere același nivel de securitate. Cu toate acestea, în timp ce L2TP / IPSec este sursă închisă, există implementări IKEv2 cu sursă deschisă. Asta și Snowden a susținut că NSA a slăbit L2TP / IPSec, deși nu există dovezi reale pentru a susține această afirmație.

IKEv2 / IPSec este mai rapid decât L2TP / IPSec, deoarece L2TP / IPSec este mai intensiv în resurse datorită funcției de încapsulare dublă și necesită, de asemenea, mai mult timp pentru a negocia un tunel VPN. Și în timp ce ambele protocoale folosesc practic aceleași porturi, datorită faptului că sunt asociate cu IPSec, L2TP / IPSec ar putea fi mai ușor de blocat cu un firewall NAT, deoarece L2TP tinde să nu funcționeze bine cu NAT – mai ales dacă L2TP Passthrough nu este activat routerul.

De asemenea, în timp ce suntem pe tema stabilității, trebuie menționat faptul că IKEv2 este mult mai stabil decât L2TP / IPSec, deoarece poate rezista modificărilor din rețea. Practic, asta înseamnă că puteți trece de la o conexiune WiFi la o conexiune la planul de date fără ca conexiunea IKEv2 să scadă. Nu mai vorbim că, chiar dacă o conexiune IKEv2 se reduce, aceasta este restabilită imediat.

În ceea ce privește accesibilitatea, L2TP / IPSec este disponibil nativ pe mai multe platforme decât este IKEv2 / IPSec, dar IKEv2 este disponibil pe dispozitivele BlackBerry.

În general, s-ar părea că IKEv2 / IPSec este o alegere mai bună pentru utilizatorii de telefonie mobilă, în timp ce L2TP / IPSec funcționează bine pentru alte dispozitive.

În cazul în care doriți să aflați mai multe despre L2TP, urmați acest link.

2. IKEv2 vs. IPSec

IKEv2 / IPSec este mult mai bun din toate punctele de vedere decât IPSec, deoarece oferă beneficiile de securitate ale IPSec, alături de viteza mare și stabilitatea IKEv2. De asemenea, nu puteți compara IKEv2 într-adevăr singur cu IPSec, deoarece IKEv2 este un protocol utilizat în cadrul suitei de protocoale IPSec. De asemenea, IKEv2 se bazează esențial pe tunelarea IPSec.

Dacă doriți să citiți mai multe despre IPSec, consultați articolul nostru despre acesta.

3. IKEv2 vs. OpenVPN

OpenVPN este extrem de popular printre utilizatorii online datorită securității sporite, dar trebuie să știți că IKEv2 poate oferi un nivel similar de protecție. Este adevărat că IKEv2 securizează informații la nivel IP în timp ce OpenVPN face asta la nivel de Transport, dar nu este chiar ceva care ar trebui să facă o diferență uriașă.

Cu toate acestea, nu putem nega faptul că OpenVPN fiind open-source face o opțiune mai atrăgătoare decât IKEv2. Desigur, asta nu mai devine o problemă atât de mare dacă utilizați implementări IKEv2 open-source.

În ceea ce privește viteza online, IKEv2 este de obicei mai rapid decât OpenVPN – chiar și atunci când OpenVPN folosește protocolul de transmisie UDP. Pe de altă parte, pentru un administrator de rețea este mult mai greu să blocheze conexiunile OpenVPN, deoarece protocolul folosește portul 443, care este portul de trafic HTTPS. IKEv2, din păcate, folosește doar portul UDP 500 pe care un administrator de rețea îl poate bloca fără a fi nevoie să vă faceți griji cu privire la oprirea altui trafic vital online.

În ceea ce privește stabilitatea conexiunii, ambele protocoale ajung destul de bine, dar IKEv2 depășește OpenVPN pe dispozitivele mobile, deoarece poate rezista modificărilor din rețea. Este adevărat că OpenVPN poate fi configurat pentru a face același lucru cu comanda „float”, dar nu este la fel de eficient și stabil precum IKEv2 este.

În ceea ce privește suportul pentru platforme multiple, IKEv2 este puțin în spatele OpenVPN, dar funcționează pe dispozitivele BlackBerry. De asemenea, IKEv2 este de obicei puțin mai ușor de configurat, deoarece este integrat în mod normal în platformele pe care este disponibil pe.

Doriți să aflați mai multe despre OpenVPN? Iată un ghid detaliat pe care l-am scris despre acesta

4. IKEv2 vs. PPTP

IKEv2 este în general o alegere mult mai bună decât PPTP pur și simplu pentru că este mult mai sigur decât acesta. Pentru unul, oferă suport pentru cheile de criptare de 256 biți și cifre de înaltă calitate, cum ar fi AES. De asemenea, din câte știm, traficul IKEv2 încă nu a fost crăpat de NSA. Nu se poate spune același lucru despre traficul PPTP.

În afară de asta, PPTP este mult mai puțin stabil decât IKEv2. Nu poate rezista schimbărilor de rețea cu ușurință precum IKEv2 și, chiar și mai rău, este extrem de ușor de blocat cu un firewall – în special un firewall NAT, deoarece PPTP nu este acceptat nativ în NAT. De fapt, dacă PPTP Passthrough nu este activat pe un router, o conexiune PPTP nu poate fi chiar stabilită.

În mod normal, unul dintre punctele principale ale PPTP care îl fac să iasă în evidență de concurența sa este viteza foarte mare. Ei bine, lucru amuzant este că IKEv2 este capabil să ofere viteze similare cu cele oferite de PPTP.

Practic, singurul mod prin care PPTP este mai bun decât IKEv2 este atunci când vine vorba de disponibilitate și ușurință de instalare. Vedeți, PPTP este nativ construit în tone de platforme, deci configurarea unei conexiuni este extrem de simplă. Totuși, acest lucru ar putea să nu fie cazul în viitor, deoarece suportul nativ pentru PPTP a început să fie eliminat din versiunile mai noi ale unor sisteme de operare. De exemplu, PPTP nu mai este disponibil nativ pe iOS 10 și macOS Sierra.

În total, ar trebui să alegeți întotdeauna IKEv2 peste PPTP, dacă este posibil.

Dacă doriți să aflați mai multe despre PPTP și aflați de ce este o opțiune atât de riscantă, urmați acest link.

5. IKEv2 vs. Wireguard

Wireguard este un protocol VPN open-source foarte nou, care aparent își propune să devină semnificativ mai bun decât IPSec (pe care se bazează protocolul de tunel IKEv2). Conform acestei logici, Wireguard ar trebui să fie mai sigur, mai rapid și mai convenabil de utilizat decât IKEv2 – și asta ar putea fi foarte bine în viitor..

Totuși, deocamdată, Wireguard este doar în stadiu experimental și nu este foarte stabil și nici nu funcționează pe mai multe platforme. De fapt, chiar acum, Wireguard funcționează mai ales pe distribuții Linux. Conform acestor repere, Wireguard este mult mai rapid decât IPSec, deși asta nu înseamnă neapărat că este mai rapid decât IKEv2 de acum, deoarece IKEv2 este mai rapid decât IPSec.

Deci, este încă mai sigur să folosești IKEv2 atunci când te afli pe Internet.

În cazul în care doriți să aflați mai multe despre Wireguard, iată un link către ghidul nostru.

6. IKEv2 vs. SoftEther

Atât IKEv2 cât și SoftEther sunt protocoale destul de sigure și, chiar dacă SoftEther ar putea fi mai de încredere, deoarece este open source, puteți găsi implementări IKEv2 de tip open-source. Ambele protocoale sunt de asemenea foarte rapide, deși SoftEther ar putea fi ceva mai rapid decât IKEv2.

Când vine vorba de stabilitate, lucrurile stau altfel. Pentru unul, SoftEther este mult mai greu de blocat cu un firewall, deoarece rulează pe portul 443 (portul HTTPS). Pe de altă parte, funcția MOBIKE a IKEv2 îi permite să reziste fără probleme modificărilor de rețea (cum ar fi atunci când treceți de la o conexiune WiFi la una de plan de date).

De asemenea, v-ar putea interesa să știți că, deși serverul VPN SoftEther are suport pentru protocoalele IPSec și L2TP / IPSec (printre altele), nu are niciun suport pentru protocolul IKEv2 / IPSec.

În final, SoftEther este o opțiune mai bună decât IKEv2, deși poate preferați să folosiți IKEv2 dacă sunteți un utilizator mobil – mai ales că este disponibil pe dispozitivele BlackBerry.

Dacă doriți să aflați mai multe despre SoftEther, consultați acest link.

7. IKEv2 vs. SSTP

IKEv2 și SSTP oferă un nivel similar de securitate, dar SSTP este mult mai rezistent la firewall, deoarece folosește portul TCP 443, un port care nu poate fi blocat în mod normal. Pe de altă parte, SSTP nu este disponibil pe atât de multe platforme precum IKEv2. SSTP este încorporat doar în sistemele Windows (Vista și versiuni superioare) și poate fi configurat suplimentar pe routere, Linux și Android. IKEv2 funcționează pe toate acele platforme și altele (dispozitive MacOS, iOS, FreeBSD și BlackBerry).

Atât IKEv2 cât și SSTP au fost dezvoltate de Microsoft, dar IKEv2 a fost dezvoltat de Microsoft împreună cu Cisco. Acest lucru îl face un pic mai de încredere decât SSTP, care este deținut exclusiv de Microsoft – o companie care a dat accesul NSA la mesajele criptate în trecut și care face parte și din programul de supraveghere PRISM.

În ceea ce privește viteza de conectare, ambele protocoale sunt destul de legate, dar este foarte probabil ca IKEv2 să fie mai rapid decât SSTP. De ce? Deoarece viteza SSTP este adesea comparată cu viteza OpenVPN și am menționat deja că IKEv2 este mai rapid decât OpenVPN. În afară de asta, există și faptul că SSTP folosește doar TCP, care este mai lent decât UDP (protocolul de transmisie folosit de IKEv2).

Vrei să afli mai multe despre SSTP? Iată un articol despre care am scris.

Deci, Protocolul IKEv2 este o alegere bună?

Da, IKEv2 este o opțiune bună pentru o experiență online sigură și lină. Vă recomandăm în continuare să utilizați OpenVPN sau SoftEther, dar dacă aceste opțiuni nu sunt disponibile din anumite motive, IKEv2 funcționează prea bine – mai ales dacă utilizați telefonul mobil și călătoriți destul de des.

Ce este IKEv2? In concluzie

IKEv2 este atât un protocol VPN, cât și un protocol de criptare utilizat în suita IPSec.

În esență, este folosit pentru a stabili și autentifica o comunicare securizată între un client VPN și un server VPN.

IKEv2 este foarte sigur de utilizat, deoarece are suport pentru cifrele puternice de criptare și, de asemenea, a îmbunătățit toate defectele de securitate care au fost prezente în IKEv1. De asemenea, IKEv2 este o alegere excelentă pentru utilizatorii de telefonie mobilă datorită suportului MOBIKE care permite conexiunilor IKEv2 să reziste la schimbările din rețea.

Cu toate acestea, recomandăm să alegeți un furnizor VPN care oferă acces la mai multe protocoale alături de IKEv2. Deși este o opțiune excelentă pentru utilizatorii de telefonie mobilă, nu este rău să ai protocoale și mai bune (cum ar fi OpenVPN și SoftEther) ca o alternativă pentru alte dispozitive.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map