Hvad er IKEv2? (Din guide til IKEV2 VPN-protokollen) |


Hvad er IKEv2?

IKEv2 (Internet Key Exchange version 2) er en VPN-krypteringsprotokol, der håndterer anmodnings- og svarhandlinger. Det sørger for, at trafikken er sikker ved at etablere og håndtere SA (Security Association) -attributten i en godkendelsespakke – normalt IPSec, da IKEv2 stort set er baseret på den og indbygget i den.

IKEv2 blev udviklet af Microsoft sammen med Cisco, og det er efterfølgeren til IKEv1.

Sådan fungerer IKEv2

Som enhver VPN-protokol er IKEv2 ansvarlig for at etablere en sikker tunnel mellem VPN-klienten og VPN-serveren. Det gør det ved først at autentificere både klienten og serveren og derefter aftale, hvilke krypteringsmetoder der skal bruges

Vi nævnte allerede, at IKEv2 håndterer SA-attributten, men hvad er SA? Kort sagt, det er processen med at etablere sikkerhedsattributter mellem to netværksenheder (i dette tilfælde VPN-klienten og VPN-serveren). Det gør det ved at generere den samme symmetriske krypteringsnøgle til begge enheder. Nævnte nøgle bruges derefter til at kryptere og dekryptere alle de data, der rejser gennem VPN-tunnelen.

Generelle tekniske detaljer om IKEv2

  • IKEv2 understøtter IPSecs seneste krypteringsalgoritmer sammen med flere andre krypteringsciffer.
  • Generelt kører IKE-dæmonen (et program, der kører som en baggrundsproces) i brugerområdet (systemhukommelse dedikeret til at køre applikationer), mens IPSec-stakken kører i kernel space (kernen i operativsystemet). Det hjælper med at øge ydeevnen.
  • IKE-protokollen bruger UDP-pakker og UDP-port 500. Normalt er fire til seks pakker nødvendige for at oprette SA.
  • IKE er baseret på følgende underliggende sikkerhedsprotokoller:
    • ISAKMP (Internet Security Association og Key Management Protocol)
    • SKEME (alsidig Secure Key Exchange Mechanism)
    • OAKLEY (Oakley Key Determination Protocol)
  • IKEv2 VPN-protokollen understøtter MOBIKE (IKEv2 Mobility and Multihoming Protocol), en funktion, der gør det muligt for protokollen at modstå netværksændringer.
  • IKEv2 understøtter PFS (Perfect Forward Secrecy).
  • Mens IKEv2 blev udviklet af Microsoft sammen med Cisco, er der open source-implementeringer af protokollen (som OpenIKEv2, Openwan og strongSwan).
  • IKE bruger X.509-certifikater, når den håndterer godkendelsesprocessen.

IKEv1 vs. IKEv2

Her er en liste over de vigtigste forskelle mellem IKEv2 og IKEv1:

  • IKEv2 tilbyder som standard support til fjernadgang takket være dens EAP-godkendelse.
  • IKEv2 er programmeret til at forbruge mindre båndbredde end IKEv1.
  • IKEv2 VPN-protokollen bruger krypteringsnøgler til begge sider, hvilket gør den mere sikker end IKEv1.
  • IKEv2 har MOBIKE support, hvilket betyder at den kan modstå netværksændringer.
  • IKEv1 har ikke indbygget NAT-gennemgang som IKEv2 gør.
  • I modsætning til IKEv1 kan IKEv2 faktisk registrere, om en VPN-tunnel er “i live” eller ikke. Denne funktion giver IKEv2 mulighed for automatisk at genoprette en mistet forbindelse.
  • IKEv2-kryptering understøtter flere algoritmer end IKEv1.
  • IKEv2 tilbyder bedre pålidelighed gennem forbedrede sekvensnumre og anerkendelser.
  • IKEv2-protokollen vil først bestemme, om rekvirenten faktisk eksisterer, inden man fortsætter med at udføre handlinger. På grund af det er det mere modstandsdygtigt over for DoS-angreb.

Er IKEv2 sikker?

Ja, IKEv2 er en protokol, der er sikker at bruge. Det understøtter 256-bit kryptering og kan bruge cifre som AES, 3DES, Camellia og ChaCha20. Hvad mere er, IKEv2 / IPSec understøtter også PFS + protokollens MOBIKE-funktion sørger for, at din forbindelse ikke slettes, når du skifter netværk.

En anden ting, der er værd at nævne, er, at IKEv2s certifikatbaseret autentificeringsproces sørger for, at der ikke træffes nogen handling, før identiteten af ​​ansøgeren er bestemt og bekræftet.

Det er også sandt, at Microsoft arbejdede på IKEv2, og det er ikke et meget troværdig selskab. De virkede dog ikke kun på protokollen, men sammen med Cisco. IKEv2 er heller ikke helt lukket, da der findes open source-implementeringer af protokollen.

Vi bør stadig tage tre sikkerhedsrelaterede problemer angående IKEv2 / IPSec:

1. Problemer med adgangskode

Tilbage i 2018 kom noget forskning frem, der fremhævede de potentielle sikkerhedssvagheder i både IKEv1 og IKEv2. IKEv1-problemerne skal ikke røre dig, så længe du ikke bruger protokollen. Hvad angår IKEv2-problemet, ser det ud til, at det relativt let kan være hacket, hvis login-adgangskoden, der bruges af det, er svag.

Alligevel er det normalt ikke et stort sikkerhedsmæssigt problem, hvis du bruger en stærk adgangskode. Det samme kan siges, hvis du bruger en tredjeparts VPN-tjeneste, da de håndterer IKEv2-login-adgangskoder og godkendelse på dine vegne. Så længe du vælger en anstændig, sikker udbyder, skulle der ikke være problemer.

2. NSA-udnyttelse af ISAKMP

Det tyske magasin Der Spiegel frigav lækkede NSA-præsentationer, der hævdede, at NSA var i stand til at udnytte IKE og ISAKMP til at dekryptere IPSec-trafik. I tilfælde af at du ikke vidste det, bruges ISAKMP af IPSec til at implementere VPN-serviceforhandlinger.

Desværre er detaljerne lidt vage, og der er ingen nøjagtig måde at garantere, at præsentationer er gyldige. Hvis du er meget bekymret for dette problem, skal du undgå at oprette forbindelsen på egen hånd og i stedet få en IKEv2-forbindelse fra en pålidelig VPN-udbyder, der bruger kraftige krypteringscifere.

3. Man-i-midten-angreb

Det ser ud til, at IPSec VPN-konfigurationer, der er beregnet til at tillade flere konfigurationer at blive forhandlet, potentielt kan blive udsat for nedgraderingsangreb (en type Man-in-the-Middle-angreb). Det kan ske, selvom IKEv2 bruges i stedet for IKEv1.

Heldigvis kan problemet undgås, hvis der anvendes strengere konfigurationer, og hvis klientsystemerne er omhyggeligt adskilt på flere serviceadgangspunkter. Hvad det betyder på engelsk er, at hvis VPN-udbyderen gør sit job rigtigt, skal du ikke behøver at bekymre dig om dette.

Er IKEv2 hurtig?

Ja, IKEv2 / IPSec tilbyder anstændige onlinehastigheder. Faktisk er det en af ​​de hurtigste VPN-protokoller, der er tilgængelige for online-brugere – potentielt endda så hurtigt som PPTP eller SoftEther. Og det er alt sammen takket være dets forbedrede arkitektur og effektive udvekslingsproces med svar / anmodning. Det faktum, at det kører på UDP-port 500, sikrer også, at der er lav latens.

Bedre endnu, på grund af dens MOBIKE-funktion, behøver du ikke at bekymre dig om, at IKEv2 ‘hastigheder falder eller bliver afbrudt, når du skifter netværk.

IKEv2 fordele og ulemper

Fordele

  • IKEv2-sikkerhed er ret stærk, da den understøtter flere high-end-cifre.
  • På trods af sin høje sikkerhedsstandard tilbyder IKEv2 hurtige onlinehastigheder.
  • IKEv2 kan let modstå netværksændringer på grund af dens MOBIKE-support og kan automatisk gendanne faldne forbindelser.
  • IKEv2 er naturligt tilgængelig på BlackBerry-enheder og kan også konfigureres på andre mobile enheder.
  • Opsætning af en IKEv2 VPN-forbindelse er relativt enkel.

Ulemper

  • Da IKEv2 kun bruger UDP-port 500, kunne en firewall eller netværksadministrator blokere den.
  • IKEv2 tilbyder ikke så meget tværplatformkompatibilitet som andre protokoller (PPTP, L2TP, OpenVPN, SoftEther).

Hvad er IKEv2 VPN Support?

IKEv2 VPN-support er dybest set, når en tredjepart VPN-udbyder tilbyder adgang til IKEv2 / IPSec-forbindelser gennem sin service. Heldigvis er flere og flere VPN-udbydere begyndt at erkende, hvor vigtig denne protokol er for mobilbrugere, så du er mere tilbøjelige til at finde tjenester, der tilbyder IKEv2-forbindelser nu end før.

Vi anbefaler stadig, at du vælger en VPN-udbyder, der tilbyder adgang til flere VPN-protokoller. Mens IKEv2 / IPSec er en fantastisk protokol på mobil, skader det ikke at have en anstændig sikkerhedskopi (som OpenVPN eller SoftEther), når du bruger andre enheder derhjemme

Brug for en IKEv2 VPN, som du kan stole på?

CactusVPN er bare den service, du har brug for. Vi tilbyder højhastigheds IKEv2 / IPSec-forbindelser, der er sikret med AES, 256-bit NIST Elliptic Curve, SHA-256 og RSA-2048. Hvad mere er, vi beskytter dit privatliv ved ikke at logge nogen af ​​dine data, og vores service er udstyret med DNS-lækagesikring og en Killswitch også

Derudover skal du vide, at IKEv2 ikke vil være den eneste mulighed, du har til rådighed. Vi tilbyder også adgang til andre VPN-protokoller: OpenVPN, SoftEther, SSTP, L2TP / IPSec og PPTP.

Konfigurer en IKEv2-forbindelse med ekstrem brug

Du kan oprette en IKEv2 / IPSec-tunnel med blot et par klik, hvis du bruger CactusVPN. Vi tilbyder flere platforme kompatible klienter, som er meget brugervenlige.

CactusVPN-app

Prøv vores tjenester gratis lige nu

Er du interesseret i at se, hvad CactusVPN kan gøre for dig? Hvorfor ikke prøve vores gratis 24-timers prøveperiode først? Du behøver ikke at give nogen kreditkortoplysninger, og du kan nemt tilmelde dig dine sociale medieinfo.

Når du først er blevet CactusVPN-bruger, vil du være glad for at vide, at vi tilbyder en 30-dages pengene-tilbage-garanti, hvis tjenesten ikke fungerer som annonceret.

IKEv2 vs. andre VPN-protokoller

Inden vi begynder, skal vi nævne, at når vi diskuterer IKEv2 i dette afsnit, vil vi henvise til IKEv2 / IPSec, da det er den protokol, VPN-udbydere generelt tilbyder. IKEv2 kan heller ikke normalt bruges alene, da det er en protokol, der er bygget inden for IPSec (hvilket er grunden til, at den er parret med den). Lad os begynde med det ude af vejen:

1. IKEv2 vs. L2TP / IPSec

Både L2TP og IKEv2 er generelt parret med IPSec, når de tilbydes af VPN-udbydere. Det betyder, at de har tendens til at tilbyde det samme sikkerhedsniveau. Selvom L2TP / IPSec er en lukket kilde, er der stadig open source-implementeringer af IKEv2. Det, og Snowden har hævdet, at NSA har svækket L2TP / IPSec, skønt der ikke er nogen reel bevis for at støtte denne påstand.

IKEv2 / IPSec er hurtigere end L2TP / IPSec, da L2TP / IPSec er mere ressourceintensiv på grund af den dobbelte indkapslingsfunktion, og det tager også længere tid at forhandle om en VPN-tunnel. Og selvom begge protokoller stort set bruger de samme porte på grund af at være parret sammen med IPSec, kan L2TP / IPSec muligvis være lettere at blokere med en NAT-firewall, da L2TP har tendens til at undertiden ikke fungerer godt med NAT – især hvis L2TP Passthrough ikke er aktiveret på routeren.

Selvom vi er inde med emnet stabilitet, skal det nævnes, at IKEv2 er langt mere stabil end L2TP / IPSec, da det kan modstå netværksændringer. Grundlæggende betyder det, at du kan skifte fra en WiFi-forbindelse til en dataplanforbindelse uden at IKEv2-forbindelsen går ned. For ikke at nævne, at selvom en IKEv2-forbindelse går ned, gendannes den med det samme.

Med hensyn til tilgængelighed er L2TP / IPSec naturligt tilgængelig på flere platforme end IKEv2 / IPSec er, men IKEv2 er tilgængelig på BlackBerry-enheder.

Generelt ser det ud til, at IKEv2 / IPSec er et bedre valg for mobile brugere, hvorimod L2TP / IPSec fungerer godt til andre enheder.

Hvis du gerne vil vide mere om L2TP, skal du følge dette link.

2. IKEv2 vs. IPSec

IKEv2 / IPSec er temmelig meget bedre i alle henseender end IPSec, da det tilbyder sikkerhedsfordelene ved IPSec sammen med IKEv2s høje hastigheder og stabilitet. Du kan heller ikke rigtig sammenligne IKEv2 på egen hånd med IPSec, da IKEv2 er en protokol, der bruges i IPSec-protokolsuiten. IKEv2 er også i det væsentlige baseret på IPSec-tunneling.

Hvis du gerne vil læse mere om IPSec, kan du se vores artikel om det.

3. IKEv2 vs. OpenVPN

OpenVPN er ekstremt populær blandt online brugere på grund af dens forbedrede sikkerhed, men du skal vide, at IKEv2 kan tilbyde et lignende niveau af beskyttelse. Det er sandt, at IKEv2 sikrer information på IP-niveau, mens OpenVPN gør det på transportniveau, men det er ikke rigtig noget, der skal gøre en enorm forskel.

Vi kan dog ikke benægte det faktum, at OpenVPN ved at være open source, gør det til en mere tiltalende mulighed end IKEv2. Det bliver naturligvis ikke længere et så stort problem, hvis du bruger open source-implementeringer af IKEv2.

Med hensyn til onlinehastigheder er IKEv2 normalt hurtigere end OpenVPN – selv når OpenVPN bruger UDP-transmissionsprotokollen. På den anden side er det meget sværere for en netværksadministrator at blokere OpenVPN-forbindelser, da protokollen bruger port 443, som er HTTPS-trafikhavnen. IKEv2 bruger desværre kun UDP-port 500, som en netværksadministrator kan blokere uden at skulle bekymre sig om at stoppe anden vigtig onlinetrafik.

Hvad forbindelsesstabilitet angår, klarer begge protokoller sig ret godt, men IKEv2 overgår OpenVPN på mobile enheder, da det kan modstå netværksændringer. Det er rigtigt, at OpenVPN kan konfigureres til at gøre det samme med “float” -kommandoen, men det er ikke så effektivt og stabilt som IKEv2 er.

Med hensyn til cross-platform support er IKEv2 lidt bag OpenVPN, men det fungerer på BlackBerry-enheder. IKEv2 er også normalt lidt lettere at konfigurere, da den normalt indbygget er integreret i de platforme, den er tilgængelig på.

Vil du finde ud af mere om OpenVPN? Her er en dybdegående guide, vi skrev om den

4. IKEv2 vs. PPTP

IKEv2 er generelt et meget bedre valg end PPTP, simpelthen fordi det er langt mere sikkert end det. For det første tilbyder det support til 256-bit krypteringsnøgler og avancerede cifre som AES. Så vidt vi ved er IKEv2-trafik endnu ikke blevet brudt af NSA. Det samme kan ikke siges om PPTP-trafik.

Derudover er PPTP langt mindre stabil end IKEv2. Det kan ikke modstå netværksændringer med lethed som IKEv2, og – endnu værre – det er ekstremt let at blokere med en firewall – især en NAT-firewall, da PPTP ikke er oprindeligt understøttet af NAT. Faktisk, hvis PPTP Passthrough ikke er aktiveret på en router, kan en PPTP-forbindelse ikke engang oprettes.

Normalt er et af PPTP’s vigtigste højdepunkter, der får det til at skille sig ud fra sin konkurrence, dets meget høje hastighed. Nå, det sjove er, at IKEv2 faktisk er i stand til at tilbyde hastigheder svarende til dem, der tilbydes af PPTP.

Grundlæggende er den eneste måde, PPTP er bedre end IKEv2, når det kommer til tilgængelighed og let installation. Du kan se, PPTP er indbygget indbygget i masser af platforme, så konfigurering af en forbindelse er ekstremt enkel. Stadig er det måske ikke tilfældet i fremtiden, da native support til PPTP er begyndt at blive fjernet fra nyere versioner af nogle operativsystemer. For eksempel er PPTP ikke længere nativt tilgængelig på iOS 10 og macOS Sierra.

Alt i alt skal du altid vælge IKEv2 over PPTP, hvis det er muligt.

Hvis du gerne vil lære mere om PPTP og finde ud af, hvorfor det er sådan en risikabel mulighed, skal du følge dette link.

5. IKEv2 vs. Wireguard

Wireguard er en meget ny open-source VPN-protokol, der tilsyneladende sigter mod at blive markant bedre end IPSec (tunnelprotokollen IKEv2 er baseret på). Efter denne logik skal Wireguard være mere sikker, hurtigere og mere praktisk at bruge end IKEv2 – og det kan meget vel være tilfældet i fremtiden.

For øjeblikket er Wireguard lige i eksperimentstadiet og er ikke særlig stabil, og det fungerer heller ikke på flere platforme. I øjeblikket fungerer Wireguard stort set bare med Linux-distributioner. I henhold til disse benchmarks er Wireguard meget hurtigere end IPSec, skønt det ikke nødvendigvis betyder, at det er hurtigere end IKEv2 for nu, da IKEv2 er hurtigere end IPSec også.

Så det er stadig mere sikkert at bruge IKEv2, når du er på Internettet.

I tilfælde af at du gerne vil lære mere om Wireguard, her er et link til vores guide.

6. IKEv2 vs. SoftEther

Både IKEv2 og SoftEther er temmelig sikre protokoller, og selvom SoftEther måske er mere pålidelige, fordi det er open source, kan du også finde open source-implementeringer af IKEv2. Begge protokoller er også meget hurtige, skønt SoftEther måske er en smule hurtigere end IKEv2.

Når det kommer til stabilitet, er tingene forskellige. For det første er SoftEther meget sværere at blokere med en firewall, fordi den kører på port 443 (HTTPS-porten). På den anden side giver IKEv2s MOBIKE-funktion den mulighed for problemfrit at modstå netværksændringer (som når du skifter fra en WiFi-forbindelse til en dataplan).

Det kan også interessere dig at vide, at selvom SoftEther VPN-serveren har understøttelse af IPSec- og L2TP / IPSec-protokollerne (blandt andre), har den ikke nogen støtte til IKEv2 / IPSec-protokollen.

I sidste ende er SoftEther stort set en bedre mulighed end IKEv2, selvom du måske foretrækker at bruge IKEv2, hvis du er en mobil bruger – især da det er tilgængeligt på BlackBerry-enheder.

Hvis du vil finde ud af mere om SoftEther, kan du tjekke dette link.

7. IKEv2 vs. SSTP

IKEv2 og SSTP tilbyder et lignende sikkerhedsniveau, men SSTP er meget mere firewall-resistent, da den bruger TCP-port 443, en port, der normalt ikke kan blokeres. På den anden side er SSTP ikke tilgængelig på så mange platforme som IKEv2 er. SSTP er kun indbygget i Windows-systemer (Vista og nyere), og det kan yderligere konfigureres på routere, Linux og Android. IKEv2 fungerer på alle disse platforme og mere (macOS, iOS, FreeBSD og BlackBerry-enheder).

Både IKEv2 og SSTP blev udviklet af Microsoft, men IKEv2 blev udviklet af Microsoft sammen med Cisco. Det gør det lidt mere pålideligt end SSTP, der udelukkende ejes af Microsoft – et firma, der tidligere har givet NSA adgang til krypterede meddelelser, og det er også en del af PRISM-overvågningsprogrammet.

Med hensyn til forbindelseshastigheder er begge protokoller temmelig bundet, men det er meget sandsynligt, at IKEv2 er hurtigere end SSTP. Hvorfor? Fordi SSTPs hastigheder ofte sammenlignes med OpenVPNs hastigheder, og vi har allerede nævnt, at IKEv2 er hurtigere end OpenVPN. Derudover er der også det faktum, at SSTP kun bruger TCP, som er langsommere end UDP (transmissionsprotokollen brugt af IKEv2).

Er du interesseret i at lære mere om SSTP? Her er en artikel, vi skrev om den.

Så er IKEv2-protokollen et godt valg?

Ja, IKEv2 er en god mulighed for en sikker, glat online oplevelse. Vi vil stadig anbefale dig at bruge enten OpenVPN eller SoftEther, men hvis disse indstillinger ikke er tilgængelige af en eller anden grund, fungerer IKEv2 også godt – især hvis du bruger din mobil, og du rejser ganske ofte.

Hvad er IKEv2? Afslutningsvis

IKEv2 er både en VPN-protokol og en krypteringsprotokol, der bruges i IPSec-pakken.

I det væsentlige bruges det til at etablere og autentificere en sikret kommunikation mellem en VPN-klient og en VPN-server.

IKEv2 er meget sikker at bruge, da den har understøttelse af kraftige krypteringsciffer, og det forbedrede også alle sikkerhedsfejl, der var til stede i IKEv1. IKEv2 er også et fremragende valg for mobile brugere på grund af dens MOBIKE-support, der tillader IKEv2-forbindelser at modstå netværksændringer.

Vi anbefaler stadig, at du vælger en VPN-udbyder, der tilbyder adgang til flere protokoller sammen med IKEv2. Selvom det er en fantastisk mulighed for mobilbrugere, skader det ikke at have endnu bedre protokoller (som OpenVPN og SoftEther) som et alternativ til andre enheder.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me