Hva er IKEv2? (Din guide til IKEV2 VPN-protokollen) |


Hva er IKEv2?

IKEv2 (Internet Key Exchange versjon 2) er en VPN-krypteringsprotokoll som håndterer forespørsel og svarhandlinger. Den sørger for at trafikken er sikker ved å etablere og håndtere SA (Security Association) -attributtet i en autentiseringssuite – vanligvis IPSec siden IKEv2 i utgangspunktet er basert på den og innebygd i den.

IKEv2 ble utviklet av Microsoft sammen med Cisco, og det er etterfølgeren til IKEv1.

Slik fungerer IKEv2

Som enhver VPN-protokoll, er IKEv2 ansvarlig for å etablere en sikker tunnel mellom VPN-klienten og VPN-serveren. Det gjør det ved først å autentisere både klienten og serveren, og deretter avtale hvilke krypteringsmetoder som skal brukes

Vi har allerede nevnt at IKEv2 håndterer SA-attributtet, men hva er SA? Enkelt sagt er det prosessen med å etablere sikkerhetsattributter mellom to nettverksenheter (i dette tilfellet VPN-klienten og VPN-serveren). Det gjør det ved å generere den samme symmetriske krypteringsnøkkelen for begge enhetene. Nevnte nøkkel brukes deretter til å kryptere og dekryptere alle dataene som reiser gjennom VPN-tunnelen.

Generelle tekniske detaljer om IKEv2

  • IKEv2 støtter IPSecs nyeste krypteringsalgoritmer, sammen med flere andre krypteringssifere.
  • Generelt kjører IKE-demonen (et program som kjøres som en bakgrunnsprosess) på brukerområdet (systemminnet dedikert til å kjøre applikasjoner) mens IPSec-stabelen kjører i kjerneplass (kjernen i operativsystemet). Det hjelper med å øke ytelsen.
  • IKE-protokollen bruker UDP-pakker og UDP-port 500. Normalt er fire til seks pakker nødvendige for å lage SA.
  • IKE er basert på følgende underliggende sikkerhetsprotokoller:
    • ISAKMP (Internet Security Association and Key Management Protocol)
    • SKEME (allsidig Secure Key Exchange Mechanism)
    • OAKLEY (Oakley Key Determination Protocol)
  • IKEv2 VPN-protokollen støtter MOBIKE (IKEv2 Mobility and Multihoming Protocol), en funksjon som lar protokollen motstå nettverksendringer.
  • IKEv2 støtter PFS (Perfect Forward Secrecy).
  • Mens IKEv2 ble utviklet av Microsoft sammen med Cisco, er det åpen kildekode implementeringer av protokollen (som OpenIKEv2, Openwan og strongSwan).
  • IKE bruker X.509-sertifikater når den håndterer godkjenningsprosessen.

IKEv1 vs. IKEv2

Her er en liste over de viktigste forskjellene mellom IKEv2 og IKEv1:

  • IKEv2 tilbyr som standard støtte for ekstern tilgang takket være sin EAP-godkjenning.
  • IKEv2 er programmert til å konsumere mindre båndbredde enn IKEv1.
  • IKEv2 VPN-protokollen bruker krypteringsnøkler for begge sider, noe som gjør den sikrere enn IKEv1.
  • IKEv2 har MOBIKE-støtte, noe som betyr at den kan motstå nettverksendringer.
  • IKEv1 har ikke innebygd NAT-gjennomgang slik IKEv2 gjør.
  • I motsetning til IKEv1, kan IKEv2 faktisk oppdage om en VPN-tunnel er “i live” eller ikke. Denne funksjonen gjør at IKEv2 automatisk kan etablere en sluttet tilkobling på nytt.
  • IKEv2-kryptering støtter flere algoritmer enn IKEv1.
  • IKEv2 tilbyr bedre pålitelighet gjennom forbedrede sekvensnummer og kvitteringer.
  • IKEv2-protokollen vil først avgjøre om rekvirenten faktisk eksisterer før du fortsetter med å utføre handlinger. På grunn av det er det mer motstandsdyktig mot DoS-angrep.

Er IKEv2 Secure?

Ja, IKEv2 er en protokoll som er trygt å bruke. Den støtter 256-biters kryptering, og kan bruke chiffer som AES, 3DES, Camellia og ChaCha20. IKEv2 / IPSec støtter dessuten PFS + protokollens MOBIKE-funksjon sørger for at forbindelsen din ikke blir brutt når du bytter nettverk.

En annen ting som er verdt å nevne er at IKEv2s sertifikatbaserte autentiseringsprosess sørger for at det ikke blir iverksatt tiltak før identiteten til den som rekvirerer.

Det er også sant at Microsoft jobbet på IKEv2, og det er ikke et veldig pålitelig selskap. De fungerte imidlertid ikke på protokollen alene, men sammen med Cisco. IKEv2 er heller ikke fullstendig lukket kildekode siden open source-implementeringer av protokollen eksisterer.

Vi bør likevel ta opp tre sikkerhetsrelaterte problemer angående IKEv2 / IPSec:

1. Problemer med passord

Tilbake i 2018 kom det fram noe forskning som fremhevet de potensielle sikkerhetssvakhetene til både IKEv1 og IKEv2. IKEv1-problemene skal egentlig ikke angå deg så lenge du ikke bruker protokollen. Når det gjelder IKEv2-problemet, ser det ut til at det relativt lett kan bli hacket hvis innloggingspassordet som brukes av det er svakt.

Fortsatt er det normalt ikke et stort sikkerhetsproblem hvis du bruker et sterkt passord. Det samme kan sies hvis du bruker en tredjeparts VPN-tjeneste siden de vil håndtere IKEv2-påloggingspassord og autentisering på dine vegne. Så lenge du velger en anstendig, sikker leverandør, skal det ikke være noen problemer.

2. NSA-utnyttelse av ISAKMP

Det tyske magasinet Der Spiegel ga ut lekke NSA-presentasjoner som hevdet at NSA var i stand til å utnytte IKE og ISAKMP for å dekryptere IPSec-trafikk. I tilfelle du ikke visste det, brukes ISAKMP av IPSec til å implementere VPN-tjenesteforhandlinger.

Dessverre er detaljene litt vage, og det er ingen eksakt måte å garantere at presentasjonene er gyldige. Hvis du er veldig bekymret for dette problemet, bør du unngå å sette opp tilkoblingen på egen hånd og i stedet få en IKEv2-tilkobling fra en pålitelig VPN-leverandør som bruker kraftige krypteringssifere.

3. Mann-i-midten-angrep

Det ser ut til at IPSec VPN-konfigurasjoner som er ment å tillate flere konfigurasjoner å bli forhandlet, potensielt kan bli utsatt for nedgraderingsangrep (en type Man-in-the-Middle-angrep). Det kan skje selv om IKEv2 brukes i stedet for IKEv1.

Heldigvis kan problemet unngås hvis strengere konfigurasjoner brukes, og hvis klientsystemene er nøye segregerte på flere serviceadgangspunkt. Det det betyr på engelsk er at hvis VPN-leverandøren gjør jobben sin riktig, bør du ikke trenger å bekymre deg for dette.

Er IKEv2 Rask?

Ja, IKEv2 / IPSec tilbyr anstendige hastigheter på nettet. Det er faktisk en av de raskeste VPN-protokollene som er tilgjengelige for online brukere – potensielt til og med så raskt som PPTP eller SoftEther. Og det er alt takket være den forbedrede arkitekturen og effektive prosessen for utveksling av svar / forespørsel. Det at den kjører på UDP-port 500, sikrer også at det er lav latens.

Bedre ennå, på grunn av sin MOBIKE-funksjon, trenger du ikke å bekymre deg for IKEv2-hastighetene går ned eller blir avbrutt når du bytter nettverk.

IKEv2 fordeler og ulemper

Fordeler

  • IKEv2-sikkerhet er ganske sterk, siden den støtter flere high-end-chiffer.
  • Til tross for sin høye sikkerhetsstandard, tilbyr IKEv2 raske onlinehastigheter.
  • IKEv2 kan lett motstå nettverksendringer på grunn av sin MOBIKE-støtte, og kan automatisk gjenopprette tapte tilkoblinger.
  • IKEv2 er naturlig tilgjengelig på BlackBerry-enheter, og kan også konfigureres på andre mobile enheter.
  • Å sette opp en IKEv2 VPN-forbindelse er relativt enkelt.

ulemper

  • Siden IKEv2 bare bruker UDP-port 500, kan en brannmur eller nettverksadministrator blokkere den.
  • IKEv2 tilbyr ikke så mye plattformskompatibilitet som andre protokoller (PPTP, L2TP, OpenVPN, SoftEther).

Hva er IKEv2 VPN-støtte?

IKEv2 VPN-støtte er i utgangspunktet når en tredjeparts VPN-leverandør tilbyr tilgang til IKEv2 / IPSec-tilkoblinger gjennom sin tjeneste. Heldigvis har flere og flere VPN-leverandører begynt å gjenkjenne hvor viktig denne protokollen er for mobilbrukere, så det er mer sannsynlig at du finner tjenester som tilbyr IKEv2-tilkoblinger nå enn før.

Vi anbefaler likevel å velge en VPN-leverandør som tilbyr tilgang til flere VPN-protokoller. Mens IKEv2 / IPSec er en flott protokoll på mobil, skader det ikke å ha en anstendig sikkerhetskopi (som OpenVPN eller SoftEther) når du bruker andre enheter hjemme

Trenger du en IKEv2 VPN du kan stole på?

CactusVPN er bare tjenesten du trenger. Vi tilbyr høyhastighets IKEv2 / IPSec-tilkoblinger som er sikret med AES, 256-bits NIST Elliptic Curve, SHA-256 og RSA-2048. Dessuten beskytter vi personvernet ditt ved ikke å logge noen av dataene dine, og tjenesten vår er utstyrt med DNS-lekkasjebeskyttelse og en Killswitch også

Utenom det, bør du vite at IKEv2 ikke vil være det eneste alternativet du har til rådighet. Vi tilbyr også tilgang til andre VPN-protokoller: OpenVPN, SoftEther, SSTP, L2TP / IPSec og PPTP.

Sett opp en IKEv2-forbindelse med ekstrem brukervennlighet

Du kan sette opp en IKEv2 / IPSec-tunnel med bare noen få klikk hvis du bruker CactusVPN. Vi tilbyr flere plattformer kompatible klienter som er veldig brukervennlige.

CactusVPN-app

Prøv tjenestene våre gratis akkurat nå

Interessert i å se hva CactusVPN kan gjøre for deg? Hvorfor ikke prøve ut den gratis 24-timers prøveperioden vår først? Du trenger ikke gi ut noen kredittkortinformasjon, og du kan enkelt registrere deg med sosiale medieinfo.

Når du blir CactusVPN-bruker, vil du dessuten være glad for å vite at vi tilbyr en 30-dagers pengene-tilbake-garanti hvis tjenesten ikke fungerer som annonsert.

IKEv2 vs. Andre VPN-protokoller

Før vi begynner, må vi nevne at når vi skal diskutere IKEv2 i denne delen, vil vi henvise til IKEv2 / IPSec siden det er protokollen VPN-leverandører generelt tilbyr. IKEv2 kan heller ikke brukes på egen hånd, siden det er en protokoll som er bygget i IPSec (og det er derfor den er sammenkoblet med den). La oss begynne med det ute av veien:

1. IKEv2 vs. L2TP / IPSec

Både L2TP og IKEv2 er vanligvis parret med IPSec når de tilbys av VPN-leverandører. Det betyr at de har en tendens til å tilby samme nivå av sikkerhet. Likevel, mens L2TP / IPSec er lukket kildekode, er det åpen kildekodeimplementeringer av IKEv2. Det, og Snowden har hevdet at NSA har svekket L2TP / IPSec, selv om det ikke er noen reelle bevis for å støtte den påstanden.

IKEv2 / IPSec er raskere enn L2TP / IPSec siden L2TP / IPSec er mer ressurskrevende på grunn av den doble innkapslingsfunksjonen, og det tar også lengre tid å forhandle om en VPN-tunnel. Og mens begge protokollene stort sett bruker de samme portene på grunn av at de er sammenkoblet med IPSec, kan L2TP / IPSec være enklere å blokkere med en NAT-brannmur siden L2TP pleier å noen ganger ikke fungere godt med NAT – spesielt hvis L2TP Passthrough ikke er aktivert på ruteren.

Selv om vi har temaet stabilitet, må det nevnes at IKEv2 er langt mer stabil enn L2TP / IPSec siden den kan motstå nettverksendringer. I utgangspunktet betyr det at du kan bytte fra en WiFi-tilkobling til en dataplanforbindelse uten at IKEv2-tilkoblingen går ned. For ikke å nevne at selv om en IKEv2-forbindelse slutter, blir den gjenopprettet umiddelbart.

Når det gjelder tilgjengelighet, er L2TP / IPSec naturlig tilgjengelig på flere plattformer enn IKEv2 / IPSec er, men IKEv2 er tilgjengelig på BlackBerry-enheter.

Totalt sett ser det ut til at IKEv2 / IPSec er et bedre valg for mobile brukere, mens L2TP / IPSec fungerer bra for andre enheter.

Hvis du vil finne ut mer om L2TP, kan du følge denne lenken.

2. IKEv2 vs. IPSec

IKEv2 / IPSec er ganske mye bedre i alle henseender enn IPSec, siden det gir sikkerhetsfordelene med IPSec sammen med høye hastigheter og stabilitet i IKEv2. Du kan heller ikke virkelig sammenligne IKEv2 på egen hånd med IPSec siden IKEv2 er en protokoll som brukes i IPSec-protokollserien. IKEv2 er i hovedsak basert på IPSec-tunneling.

Hvis du vil lese mer om IPSec, kan du sjekke artikkelen vår om den.

3. IKEv2 vs. OpenVPN

OpenVPN er ekstremt populært blant online brukere på grunn av den forbedrede sikkerheten, men du bør vite at IKEv2 kan tilby et lignende nivå av beskyttelse. Det er sant at IKEv2 sikrer informasjon på IP-nivå mens OpenVPN gjør det på transportnivå, men det er egentlig ikke noe som burde utgjøre en stor forskjell.

Vi kan imidlertid ikke benekte at OpenVPN er åpen kildekode, og gjør det til et mer attraktivt alternativ enn IKEv2. Det blir selvfølgelig ikke lenger et så stort problem hvis du bruker open source-implementeringer av IKEv2.

Når det gjelder hastigheter på nettet, er IKEv2 vanligvis raskere enn OpenVPN – selv når OpenVPN bruker UDP-overføringsprotokollen. På den annen side er det mye vanskeligere for en nettverksadministrator å blokkere OpenVPN-tilkoblinger siden protokollen bruker port 443, som er HTTPS trafikkport. IKEv2 bruker dessverre bare UDP-port 500 som en nettverksadministrator kan blokkere uten å måtte bekymre seg for å stoppe annen viktig Internett-trafikk.

Når det gjelder tilkoblingsstabilitet, går begge protokollene ganske bra, men IKEv2 overgår OpenVPN på mobile enheter siden det kan motstå nettverksendringer. Det er sant at OpenVPN kan konfigureres til å gjøre det samme med “float” -kommandoen, men det er ikke så effektivt og stabilt som IKEv2 er.

Når det gjelder støtte over plattformer, ligger IKEv2 litt bak OpenVPN, men det fungerer på BlackBerry-enheter. IKEv2 er vanligvis litt enklere å konfigurere siden den normalt er integrert i plattformene den er tilgjengelig på.

Vil du finne ut mer om OpenVPN? Her er en grundig guide vi skrev om den

4. IKEv2 vs. PPTP

IKEv2 er generelt et mye bedre valg enn PPTP ganske enkelt fordi det er langt sikrere enn det. For det første tilbyr den støtte for 256-biters krypteringsnøkler og high-end-chifere som AES. IKEv2-trafikken har så vidt vi vet ennå ikke blitt sprukket av NSA. Det samme kan ikke sies om PPTP-trafikk.

Utenom det er PPTP mye mindre stabil enn IKEv2. Det kan ikke motstå nettverksendringer med letthet som IKEv2, og – enda verre – det er ekstremt enkelt å blokkere med en brannmur – spesielt en NAT-brannmur siden PPTP ikke støttes naturlig på NAT. Hvis PPTP Passthrough ikke er aktivert på en ruter, kan faktisk ikke en PPTP-tilkobling opprettes.

Normalt er et av PPTPs viktigste høydepunkter som gjør at den skiller seg ut fra konkurransen, den svært høye hastigheten. Vel, det morsomme er at IKEv2 faktisk er i stand til å tilby hastigheter som ligner på de som tilbys av PPTP.

I utgangspunktet er den eneste måten PPTP er bedre enn IKEv2 når det kommer til tilgjengelighet og enkel installering. Du forstår, PPTP er innebygd i mange plattformer, så det er ekstremt enkelt å konfigurere en tilkobling. Fortsatt kan det ikke være tilfelle i fremtiden siden opprinnelig støtte for PPTP har begynt å bli fjernet fra nyere versjoner av noen operativsystemer. For eksempel er PPTP ikke lenger tilgjengelig på iOS 10 og macOS Sierra.

Alt i alt bør du alltid velge IKEv2 over PPTP hvis mulig.

Hvis du vil lære mer om PPTP, og finne ut hvorfor det er et så risikabelt alternativ, følg denne lenken.

5. IKEv2 vs. Wireguard

Wireguard er en veldig ny åpen kildekode VPN-protokoll som tilsynelatende tar sikte på å bli betydelig bedre enn IPSec (tunnelprotokollen IKEv2 er basert på). I henhold til den logikken skal Wireguard være sikrere, raskere og mer praktisk å bruke enn IKEv2 – og det kan veldig bra være i fremtiden.

For øyeblikket er Wireguard bare i eksperimentstadiet, og er ikke veldig stabil, og fungerer heller ikke på flere plattformer. Akkurat nå fungerer Wireguard stort sett bare på Linux-distribusjoner. I følge disse målene er Wireguard mye raskere enn IPSec, men det betyr ikke nødvendigvis at det er raskere enn IKEv2 for nå, siden IKEv2 er raskere enn IPSec også.

Så det er fortsatt tryggere å bruke IKEv2 når du er på Internett.

I tilfelle du ønsker å lære mer om Wireguard, her er en lenke til guiden vår.

6. IKEv2 vs. SoftEther

Både IKEv2 og SoftEther er noenlunde sikre protokoller, og selv om SoftEther kanskje er mer pålitelig fordi det er åpen kildekode, kan du finne implementeringer av IKEv2 med åpen kildekode. Begge protokollene er også veldig raske, selv om SoftEther kanskje er litt raskere enn IKEv2.

Når det gjelder stabilitet, er ting annerledes. For det første er SoftEther mye vanskeligere å blokkere med en brannmur fordi den kjører på port 443 (HTTPS-porten). På den annen side lar IKEv2s MOBIKE-funksjon den sømløst motstå nettverksendringer (som når du bytter fra en WiFi-tilkobling til en dataplan).

Det kan også interessere deg å vite at selv om SoftEther VPN-serveren har støtte for IPSec- og L2TP / IPSec-protokollene (blant andre), har den ikke støtte for IKEv2 / IPSec-protokollen.

Til slutt er SoftEther ganske mye et bedre alternativ enn IKEv2, selv om du kanskje foretrekker å bruke IKEv2 hvis du er en mobil bruker – spesielt siden det er tilgjengelig på BlackBerry-enheter.

Hvis du vil finne ut mer om SoftEther, kan du sjekke denne lenken.

7. IKEv2 vs. SSTP

IKEv2 og SSTP tilbyr et lignende sikkerhetsnivå, men SSTP er mye mer brannmurresistent siden den bruker TCP-port 443, en port som ikke kan blokkeres normalt. På den annen side er SSTP ikke tilgjengelig på så mange plattformer som IKEv2 er. SSTP er bare innebygd i Windows-systemer (Vista og høyere), og den kan videre konfigureres på rutere, Linux og Android. IKEv2 fungerer på alle disse plattformene og mer (macOS, iOS, FreeBSD og BlackBerry-enheter).

Både IKEv2 og SSTP ble utviklet av Microsoft, men IKEv2 ble utviklet av Microsoft sammen med Cisco. Det gjør det litt mer pålitelig enn SSTP, som kun eies av Microsoft – et selskap som har gitt NSA tilgang til krypterte meldinger i det siste, og det er også en del av PRISM-overvåkningsprogrammet.

Når det gjelder tilkoblingshastigheter, er begge protokollene ganske bundet, men det er veldig sannsynlig at IKEv2 er raskere enn SSTP. Hvorfor? Fordi SSTPs hastigheter ofte sammenlignes med OpenVPNs hastigheter, og vi har allerede nevnt at IKEv2 er raskere enn OpenVPN. Bortsett fra det, er det også det faktum at SSTP bare bruker TCP, som er tregere enn UDP (overføringsprotokollen som brukes av IKEv2).

Er du interessert i å lære mer om SSTP? Her er en artikkel vi skrev om den.

Så er IKEv2-protokollen et godt valg?

Ja, IKEv2 er et godt alternativ for en trygg, jevn onlineopplevelse. Vi vil fortsatt anbefale deg å bruke enten OpenVPN eller SoftEther, men hvis disse alternativene ikke er tilgjengelige av en eller annen grunn, fungerer IKEv2 også bra – spesielt hvis du bruker mobilen og reiser ganske ofte.

Hva er IKEv2? For å konkludere

IKEv2 er både en VPN-protokoll og en krypteringsprotokoll som brukes i IPSec-pakken.

I hovedsak brukes det til å etablere og autentisere en sikret kommunikasjon mellom en VPN-klient og en VPN-server.

IKEv2 er veldig trygt å bruke, ettersom den har støtte for kraftige krypteringssiffer, og den forbedret også alle sikkerhetsfeilene som var til stede i IKEv1. IKEv2 er også et utmerket valg for mobile brukere på grunn av sin MOBIKE-støtte som lar IKEv2-tilkoblinger motstå nettverksendringer.

Vi anbefaler likevel å velge en VPN-leverandør som tilbyr tilgang til flere protokoller ved siden av IKEv2. Selv om det er et flott alternativ for mobilbrukere, skader det ikke å ha enda bedre protokoller (som OpenVPN og SoftEther) som et alternativ for andre enheter.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map