Co to jest IKEv2? (Twój przewodnik po protokole IKEV2 VPN) |


Co to jest IKEv2?

IKEv2 (Internet Key Exchange wersja 2) to protokół szyfrowania VPN, który obsługuje żądania i odpowiedzi. Zapewnia bezpieczeństwo ruchu, ustanawiając i obsługując atrybut SA (Security Association) w pakiecie uwierzytelniającym – zwykle IPSec, ponieważ IKEv2 jest w zasadzie na nim oparty i wbudowany.

IKEv2 został opracowany przez Microsoft wspólnie z Cisco i jest następcą IKEv1.

Oto jak działa IKEv2

Jak każdy protokół VPN, IKEv2 jest odpowiedzialny za ustanowienie bezpiecznego tunelu między klientem VPN a serwerem VPN. Robi to najpierw uwierzytelniając zarówno klienta, jak i serwer, a następnie uzgadniając, które metody szyfrowania zostaną zastosowane

Wspominaliśmy już, że IKEv2 obsługuje atrybut SA, ale czym jest SA? Mówiąc najprościej, jest to proces ustanawiania atrybutów bezpieczeństwa między dwoma jednostkami sieciowymi (w tym przypadku klientem VPN i serwerem VPN). Robi to, generując ten sam symetryczny klucz szyfrowania dla obu podmiotów. Wspomniany klucz jest następnie używany do szyfrowania i deszyfrowania wszystkich danych, które przechodzą przez tunel VPN.

Ogólne szczegóły techniczne dotyczące IKEv2

  • IKEv2 obsługuje najnowsze algorytmy szyfrowania IPSec, a także wiele innych szyfrów szyfrujących.
  • Ogólnie rzecz biorąc, demon IKE (program działający jako proces w tle) działa w przestrzeni użytkownika (pamięć systemowa dedykowana do uruchamiania aplikacji), podczas gdy stos IPSec działa w przestrzeni jądra (rdzeń systemu operacyjnego). Pomaga to zwiększyć wydajność.
  • Protokół IKE korzysta z pakietów UDP i portu UDP 500. Zwykle do utworzenia SA potrzeba czterech do sześciu pakietów.
  • IKE opiera się na następujących podstawowych protokołach bezpieczeństwa:
    • ISAKMP (Internet Security Association and Key Management Protocol)
    • SKEME (wszechstronny bezpieczny mechanizm wymiany kluczy)
    • OAKLEY (protokół ustalania klucza Oakleya)
  • Protokół IKEv2 VPN obsługuje MOBIKE (IKEv2 Mobility and Multihoming Protocol), funkcję, która pozwala protokołowi opierać się zmianom sieci.
  • IKEv2 obsługuje PFS (Perfect Forward Secrecy).
  • Chociaż IKEv2 został opracowany przez Microsoft razem z Cisco, istnieją implementacje protokołu typu open source (takie jak OpenIKEv2, Openswan i strongSwan).
  • IKE używa certyfikatów X.509 podczas obsługi procesu uwierzytelniania.

IKEv1 vs. IKEv2

Oto lista głównych różnic między IKEv2 i IKEv1:

  • IKEv2 domyślnie oferuje obsługę zdalnego dostępu dzięki uwierzytelnianiu EAP.
  • IKEv2 jest zaprogramowany tak, aby zużywał mniej przepustowości niż IKEv1.
  • Protokół IKEv2 VPN używa kluczy szyfrowania po obu stronach, dzięki czemu jest bardziej bezpieczny niż IKEv1.
  • IKEv2 ma obsługę MOBIKE, co oznacza, że ​​może opierać się zmianom sieci.
  • IKEv1 nie ma wbudowanej funkcji translacji NAT, podobnie jak IKEv2.
  • W przeciwieństwie do IKEv1, IKEv2 może faktycznie wykryć, czy tunel VPN „żyje”, czy nie. Ta funkcja umożliwia IKEv2 automatyczne ponowne nawiązanie zerwanego połączenia.
  • Szyfrowanie IKEv2 obsługuje więcej algorytmów niż IKEv1.
  • IKEv2 oferuje lepszą niezawodność dzięki ulepszonym numerom sekwencyjnym i potwierdzeniom.
  • Protokół IKEv2 najpierw ustali, czy requester faktycznie istnieje, zanim przejdzie do wykonania jakichkolwiek działań. Z tego powodu jest bardziej odporny na ataki DoS.

Czy IKEv2 jest bezpieczny?

Tak, IKEv2 to bezpieczny protokół. Obsługuje 256-bitowe szyfrowanie i może korzystać z szyfrów takich jak AES, 3DES, Camellia i ChaCha20. Co więcej, IKEv2 / IPSec obsługuje również PFS + funkcja protokołu MOBIKE zapewnia, że ​​twoje połączenie nie zostanie zerwane podczas zmiany sieci.

Inną rzeczą wartą wspomnienia jest to, że proces uwierzytelniania oparty na certyfikatach IKEv2 zapewnia, że ​​żadne działanie nie zostanie podjęte, dopóki tożsamość osoby żądającej nie zostanie określona i potwierdzona.

Ponadto prawdą jest, że Microsoft pracował nad IKEv2 i nie jest to bardzo godna zaufania korporacja. Nie działali jednak na samym protokole, ale razem z Cisco. Ponadto IKEv2 nie jest całkowicie zamkniętym źródłem, ponieważ istnieją implementacje protokołu typu open source.

Mimo to powinniśmy rozwiązać trzy problemy związane z bezpieczeństwem dotyczące IKEv2 / IPSec:

1. Problemy z hasłem

W 2018 roku wyszły na jaw niektóre badania, które ujawniły potencjalne słabości bezpieczeństwa zarówno IKEv1, jak i IKEv2. Problemy z IKEv1 tak naprawdę nie powinny Cię dotyczyć, o ile nie korzystasz z protokołu. Jeśli chodzi o problem IKEv2, wydaje się, że można go stosunkowo łatwo zhakować, jeśli używane przez niego hasło logowania jest słabe.

Mimo to zwykle nie stanowi to większego zagrożenia dla bezpieczeństwa, jeśli używasz silnego hasła. To samo można powiedzieć, jeśli korzystasz z usługi VPN innej firmy, ponieważ będą one obsługiwać hasła logowania i uwierzytelnianie IKEv2 w Twoim imieniu. Dopóki wybierzesz porządnego, bezpiecznego dostawcę, nie powinno być problemów.

2. Wykorzystanie ISAKMP przez NSA

Niemiecki magazyn Der Spiegel opublikował wyciekły prezentacje NSA, które twierdziły, że NSA była w stanie wykorzystać IKE i ISAKMP do odszyfrowania ruchu IPSec. Jeśli nie wiesz, ISAKMP jest używany przez IPSec do realizacji negocjacji usług VPN.

Niestety szczegóły są nieco niejasne i nie ma dokładnego sposobu, aby zagwarantować, że prezentacje są prawidłowe. Jeśli bardzo martwisz się tym problemem, powinieneś unikać samodzielnego konfigurowania połączenia i zamiast tego uzyskać połączenie IKEv2 od niezawodnego dostawcy VPN, który korzysta z potężnych szyfrów szyfrujących.

3. Ataki typu man-in-the-Middle

Wydaje się, że konfiguracje IPSec VPN, które mają na celu umożliwienie negocjacji wielu konfiguracji, mogą zostać potencjalnie poddane atakom na obniżenie wersji (rodzaj ataków typu Man-in-the-Middle). Może się to zdarzyć, nawet jeśli IKEv2 jest używany zamiast IKEv1.

Na szczęście problemu można uniknąć, jeśli zastosowane zostaną bardziej rygorystyczne konfiguracje, a systemy klienckie są starannie rozdzielone na wiele punktów dostępu do usług. W języku angielskim oznacza to, że jeśli dostawca VPN dobrze wykonuje swoją pracę, nie musisz się o to martwić.

Jest IKEv2 Fast?

Tak, IKEv2 / IPSec oferuje przyzwoite prędkości online. W rzeczywistości jest to jeden z najszybszych protokołów VPN dostępnych dla użytkowników online – potencjalnie nawet tak szybki jak PPTP lub SoftEther. A wszystko to dzięki ulepszonej architekturze i wydajnemu procesowi wymiany wiadomości odpowiedzi / żądania. Ponadto fakt, że działa on na porcie UDP 500, zapewnia małe opóźnienie.

Co więcej, dzięki funkcji MOBIKE nie musisz się martwić, że prędkość IKEv2 spadnie lub zostanie przerwana podczas zmiany sieci.

IKEv2 Zalety i wady

Zalety

  • Bezpieczeństwo IKEv2 jest dość silne, ponieważ obsługuje wiele wysokiej klasy szyfrów.
  • Pomimo wysokiego standardu bezpieczeństwa IKEv2 oferuje szybkie prędkości online.
  • IKEv2 może łatwo oprzeć się zmianom sieci dzięki obsłudze MOBIKE i może automatycznie przywracać przerwane połączenia.
  • IKEv2 jest natywnie dostępny na urządzeniach BlackBerry i można go również skonfigurować na innych urządzeniach mobilnych.
  • Konfigurowanie połączenia VPN IKEv2 jest stosunkowo proste.

Niedogodności

  • Ponieważ IKEv2 używa tylko portu UDP 500, zapora sieciowa lub administrator sieci może go zablokować.
  • IKEv2 nie oferuje tak dużej zgodności między platformami, jak inne protokoły (PPTP, L2TP, OpenVPN, SoftEther).

Co to jest obsługa IKEv2 VPN?

Obsługa IKEv2 VPN polega zasadniczo na tym, że zewnętrzny dostawca VPN oferuje dostęp do połączeń IKEv2 / IPSec za pośrednictwem swojej usługi. Na szczęście coraz więcej dostawców VPN zaczęło dostrzegać, jak ważny jest ten protokół dla użytkowników mobilnych, więc istnieje większe prawdopodobieństwo, że znajdziesz usługi oferujące połączenia IKEv2 teraz niż wcześniej.

Mimo to zalecamy wybranie dostawcy VPN, który oferuje dostęp do wielu protokołów VPN. Chociaż IKEv2 / IPSec jest świetnym protokołem na urządzenia mobilne, nie szkodzi mieć przyzwoitą kopię zapasową (taką jak OpenVPN lub SoftEther), gdy używasz innych urządzeń w domu

Potrzebujesz VPN IKEv2, na którym możesz polegać?

CactusVPN to tylko usługa, której potrzebujesz. Oferujemy szybkie połączenia IKEv2 / IPSec, które są zabezpieczone AES, 256-bitową krzywą eliptyczną NIST, SHA-256 i RSA-2048. Ponadto chronimy Twoją prywatność, nie rejestrując żadnych danych, a nasza usługa jest wyposażona w ochronę przed wyciekiem DNS i przełącznik Killswitch

Poza tym powinieneś wiedzieć, że IKEv2 nie będzie jedyną dostępną opcją. Oferujemy również dostęp do innych protokołów VPN: OpenVPN, SoftEther, SSTP, L2TP / IPSec i PPTP.

Skonfiguruj połączenie IKEv2 z niezwykłą łatwością

Możesz skonfigurować tunel IKEv2 / IPSec za pomocą kilku kliknięć, jeśli używasz CactusVPN. Oferujemy wielu klientów kompatybilnych z wieloma platformami, które są bardzo przyjazne dla użytkownika.

Aplikacja CactusVPN

Wypróbuj nasze usługi za darmo już teraz

Chcesz zobaczyć, co CactusVPN może dla Ciebie zrobić? Dlaczego nie wypróbować najpierw naszego bezpłatnego 24-godzinnego okresu próbnego? Nie musisz podawać żadnych danych karty kredytowej i możesz łatwo zarejestrować się przy użyciu informacji z mediów społecznościowych.

Ponadto, gdy zostaniesz użytkownikiem CactusVPN, z przyjemnością dowiesz się, że oferujemy 30-dniową gwarancję zwrotu pieniędzy, jeśli usługa nie działa zgodnie z reklamą.

IKEv2 a inne protokoły VPN

Zanim zaczniemy, powinniśmy wspomnieć, że kiedy będziemy omawiać IKEv2 w tej sekcji, będziemy odnosić się do IKEv2 / IPSec, ponieważ jest to ogólnie protokół dostawców VPN. Ponadto IKEv2 nie może być normalnie używany samodzielnie, ponieważ jest protokołem wbudowanym w IPSec (dlatego jest z nim powiązany). W ten sposób zacznijmy:

1. IKEv2 vs. L2TP / IPSec

Zarówno L2TP, jak i IKEv2 są zazwyczaj sparowane z IPSec, gdy są oferowane przez dostawców VPN. Oznacza to, że oferują one ten sam poziom bezpieczeństwa. Mimo że L2TP / IPSec jest zamkniętym źródłem, istnieją implementacje IKEv2 typu open source. To i Snowden twierdził, że NSA osłabiła L2TP / IPSec, chociaż nie ma prawdziwych dowodów na poparcie tego roszczenia.

IKEv2 / IPSec jest szybszy niż L2TP / IPSec, ponieważ L2TP / IPSec wymaga większych zasobów ze względu na funkcję podwójnego hermetyzacji, a także negocjowanie tunelu VPN trwa dłużej. I chociaż oba protokoły używają w zasadzie tych samych portów ze względu na powiązanie z IPSec, L2TP / IPSec może być łatwiejsze do blokowania za pomocą zapory NAT, ponieważ L2TP czasami nie działa dobrze z NAT – szczególnie jeśli L2TP Passthrough nie jest włączony router.

Ponadto, gdy zajmujemy się stabilnością, należy wspomnieć, że IKEv2 jest znacznie bardziej stabilny niż L2TP / IPSec, ponieważ jest w stanie oprzeć się zmianom sieci. Zasadniczo oznacza to, że możesz przełączyć się z połączenia Wi-Fi na połączenie transmisji danych bez zerwania połączenia IKEv2. Nie wspominając już o tym, że nawet jeśli połączenie IKEv2 ulegnie awarii, zostanie ono natychmiast przywrócone.

Jeśli chodzi o dostępność, L2TP / IPSec jest natywnie dostępny na większej liczbie platform niż IKEv2 / IPSec, ale IKEv2 jest dostępny na urządzeniach BlackBerry.

Ogólnie wydaje się, że IKEv2 / IPSec jest lepszym wyborem dla użytkowników mobilnych, podczas gdy L2TP / IPSec działa dobrze na innych urządzeniach.

Jeśli chcesz dowiedzieć się więcej o L2TP, kliknij ten link.

2. IKEv2 vs. IPSec

IKEv2 / IPSec jest znacznie lepszy pod każdym względem niż IPSec, ponieważ oferuje korzyści bezpieczeństwa IPSec, a także wysokie prędkości i stabilność IKEv2. Ponadto nie można tak naprawdę porównywać IKEv2 z IPSec, ponieważ IKEv2 jest protokołem używanym w pakiecie protokołów IPSec. Ponadto IKEv2 jest zasadniczo oparty na tunelowaniu IPSec.

Jeśli chcesz przeczytać więcej o IPSec, sprawdź nasz artykuł na ten temat.

3. IKEv2 vs. OpenVPN

OpenVPN jest niezwykle popularny wśród użytkowników online ze względu na zwiększone bezpieczeństwo, ale powinieneś wiedzieć, że IKEv2 może oferować podobny poziom ochrony. To prawda, że ​​IKEv2 zabezpiecza informacje na poziomie IP, podczas gdy OpenVPN robi to na poziomie Transportu, ale tak naprawdę nie jest to coś, co powinno mieć ogromną różnicę.

Nie możemy jednak zaprzeczyć, że OpenVPN jest oprogramowaniem typu open source, dlatego jest bardziej atrakcyjną opcją niż IKEv2. Oczywiście nie staje się to już tak wielkim problemem, jeśli używasz implementacji IKEv2 typu open source.

Pod względem prędkości online IKEv2 jest zwykle szybszy niż OpenVPN – nawet jeśli OpenVPN używa protokołu transmisji UDP. Z drugiej strony administratorowi sieci jest znacznie trudniej blokować połączenia OpenVPN, ponieważ protokół używa portu 443, który jest portem ruchu HTTPS. IKEv2 niestety używa tylko portu UDP 500, który administrator sieci może zablokować bez obawy o zatrzymanie innego istotnego ruchu online.

Jeśli chodzi o stabilność połączenia, oba protokoły wypadają całkiem nieźle, ale IKEv2 przewyższa OpenVPN na urządzeniach mobilnych, ponieważ jest w stanie oprzeć się zmianom sieci. To prawda, że ​​OpenVPN można skonfigurować tak, aby działał tak samo z komendą „float”, ale nie jest tak wydajny i stabilny, jak IKEv2.

Jeśli chodzi o obsługę wielu platform, IKEv2 jest nieco za OpenVPN, ale działa na urządzeniach BlackBerry. Ponadto IKEv2 jest zwykle nieco łatwiejszy do skonfigurowania, ponieważ zwykle jest natywnie zintegrowany z platformami, na których jest dostępny.

Chcesz dowiedzieć się więcej o OpenVPN? Oto szczegółowy przewodnik, o którym pisaliśmy

4. IKEv2 vs. PPTP

IKEv2 jest ogólnie znacznie lepszym wyborem niż PPTP tylko dlatego, że jest o wiele bezpieczniejszy. Po pierwsze, oferuje obsługę 256-bitowych kluczy szyfrujących i wysokiej klasy szyfrów, takich jak AES. Ponadto, o ile wiemy, ruch IKEv2 nie został jeszcze złamany przez NSA. Tego samego nie można powiedzieć o ruchu PPTP.

Poza tym PPTP jest znacznie mniej stabilny niż IKEv2. Nie jest w stanie łatwo oprzeć się zmianom sieci, takim jak IKEv2, a – co gorsza – jest bardzo łatwo zablokować za pomocą zapory ogniowej – szczególnie zapory NAT, ponieważ PPTP nie jest natywnie obsługiwany w NAT. W rzeczywistości, jeśli PPTP Passthrough nie jest włączony na routerze, nie można nawet ustanowić połączenia PPTP.

Zwykle jedną z głównych zalet PPTP, która wyróżnia go na tle konkurencji, jest bardzo duża prędkość. Zabawne jest to, że IKEv2 jest w stanie zaoferować prędkości podobne do prędkości oferowanych przez PPTP.

Zasadniczo jedynym sposobem, w jaki PPTP jest lepszy niż IKEv2, jest dostępność i łatwość konfiguracji. Widzisz, PPTP jest wbudowany w mnóstwo platform, więc konfiguracja połączenia jest niezwykle prosta. Może się tak nie zdarzyć w przyszłości, ponieważ natywne wsparcie dla PPTP zaczęło być usuwane z nowszych wersji niektórych systemów operacyjnych. Na przykład PPTP nie jest już natywnie dostępny na iOS 10 i macOS Sierra.

Podsumowując, zawsze należy wybierać IKEv2 zamiast PPTP, jeśli to możliwe.

Jeśli chcesz dowiedzieć się więcej o PPTP i dowiedzieć się, dlaczego jest to tak ryzykowna opcja, skorzystaj z tego linku.

5. IKEv2 vs. Wireguard

Wireguard to bardzo nowy protokół VPN typu open source, który najwyraźniej dąży do tego, aby stać się znacznie lepszy niż IPSec (na którym opiera się protokół tunelowania IKEv2). Zgodnie z tą logiką Wireguard powinien być bezpieczniejszy, szybszy i wygodniejszy w użyciu niż IKEv2 – i może tak być w przyszłości.

W tej chwili Wireguard jest dopiero w fazie eksperymentalnej i nie jest zbyt stabilny, ani nie działa na wielu platformach. W rzeczywistości teraz Wireguard działa po prostu na dystrybucjach Linuksa. Zgodnie z tymi testami, Wireguard jest znacznie szybszy niż IPSec, choć niekoniecznie oznacza to na razie, że jest szybszy niż IKEv2, ponieważ IKEv2 jest również szybszy niż IPSec.

Dlatego korzystanie z IKEv2 jest bezpieczniejsze, gdy korzystasz z Internetu.

Jeśli chcesz dowiedzieć się więcej o Wireguard, oto link do naszego przewodnika.

6. IKEv2 vs. SoftEther

Zarówno IKEv2, jak i SoftEther są dość bezpiecznymi protokołami i chociaż SoftEther może być bardziej godny zaufania, ponieważ jest oprogramowaniem typu open source, można również znaleźć implementacje IKEv2 typu open source. Oba protokoły są również bardzo szybkie, chociaż SoftEther może być nieco szybszy niż IKEv2.

Jeśli chodzi o stabilność, wszystko jest inne. Po pierwsze, SoftEther jest znacznie trudniejszy do blokowania za pomocą zapory ogniowej, ponieważ działa na porcie 443 (port HTTPS). Z drugiej strony funkcja MOBIKE IKEv2 pozwala bezproblemowo oprzeć się zmianom sieci (na przykład po zmianie połączenia Wi-Fi na połączenie transmisji danych).

Warto również wiedzieć, że chociaż serwer SoftEther VPN obsługuje protokoły IPSec i L2TP / IPSec (między innymi), nie obsługuje żadnego protokołu IKEv2 / IPSec.

W końcu SoftEther jest znacznie lepszą opcją niż IKEv2, chociaż możesz preferować używanie IKEv2, jeśli jesteś użytkownikiem mobilnym – zwłaszcza, że ​​jest dostępny na urządzeniach BlackBerry.

Jeśli chcesz dowiedzieć się więcej o SoftEther, sprawdź ten link.

7. IKEv2 vs. SSTP

IKEv2 i SSTP oferują podobny poziom bezpieczeństwa, ale SSTP jest znacznie bardziej odporny na zaporę, ponieważ używa portu TCP 443, portu, którego normalnie nie można zablokować. Z drugiej strony SSTP nie jest dostępny na tylu platformach, co IKEv2. SSTP jest wbudowany tylko w systemy Windows (Vista i wyższe) i można go dalej konfigurować na routerach, Linuksie i Androidzie. IKEv2 działa na wszystkich tych platformach i nie tylko (macOS, iOS, FreeBSD i urządzenia BlackBerry).

Zarówno IKEv2, jak i SSTP zostały opracowane przez Microsoft, ale IKEv2 został opracowany przez Microsoft wraz z Cisco. To sprawia, że ​​jest nieco bardziej godny zaufania niż SSTP, który jest wyłącznie własnością Microsoft – firmy, która w przeszłości zapewniała NSA dostęp do zaszyfrowanych wiadomości, a także jest częścią programu nadzoru PRISM.

Pod względem szybkości połączenia oba protokoły są dość powiązane, ale bardzo prawdopodobne jest, że IKEv2 jest szybszy niż SSTP. Dlaczego? Ponieważ prędkości SSTP są często porównywane z prędkościami OpenVPN, a już wspominaliśmy, że IKEv2 jest szybszy niż OpenVPN. Poza tym istnieje również fakt, że SSTP używa tylko TCP, który jest wolniejszy niż UDP (protokół transmisji używany przez IKEv2).

Chcesz dowiedzieć się więcej o SSTP? Oto artykuł, który o tym napisaliśmy.

Czy protokół IKEv2 to dobry wybór?

Tak, IKEv2 to dobra opcja na bezpieczne, płynne korzystanie z Internetu. Nadal zalecamy korzystanie z OpenVPN lub SoftEther, ale jeśli z jakiegoś powodu te opcje nie są dostępne, IKEv2 również działa dobrze – zwłaszcza jeśli używasz telefonu komórkowego i często podróżujesz.

Co to jest IKEv2? Podsumowując

IKEv2 to zarówno protokół VPN, jak i protokół szyfrowania używany w pakiecie IPSec.

Zasadniczo służy do ustanowienia i uwierzytelnienia bezpiecznej komunikacji między klientem VPN a serwerem VPN.

IKEv2 jest bardzo bezpieczny w użyciu, ponieważ obsługuje potężne szyfry szyfrujące, a także poprawił wszystkie wady bezpieczeństwa, które były obecne w IKEv1. Ponadto IKEv2 jest doskonałym wyborem dla użytkowników mobilnych ze względu na obsługę MOBIKE, która pozwala połączeniom IKEv2 opierać się zmianom sieci.

Mimo to zalecamy wybranie dostawcy VPN, który oferuje dostęp do wielu protokołów obok IKEv2. Chociaż jest to świetna opcja dla użytkowników mobilnych, nie szkodzi, że istnieją jeszcze lepsze protokoły (takie jak OpenVPN i SoftEther) jako alternatywa dla innych urządzeń.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map