Hvað er IKEv2? (Leiðbeiningar þínar um IKEV2 VPN samskiptareglur) |


Hvað er IKEv2?

IKEv2 (Internet Key Exchange útgáfa 2) er VPN dulkóðunaraðferð sem sér um beiðni og viðbrögð. Það tryggir að umferðin sé örugg með því að koma upp og meðhöndla SA (Security Association) eiginleikann innan auðkennisbúninga – venjulega IPSec þar sem IKEv2 er í grundvallaratriðum byggt á því og innbyggt í það.

IKEv2 var þróað af Microsoft ásamt Cisco og það er arftaki IKEv1.

Svona virkar IKEv2

Eins og allir VPN-samskiptareglur, er IKEv2 ábyrgur fyrir því að koma upp öruggum göngum milli VPN viðskiptavinsins og VPN netþjónsins. Það gerir það með því að staðfesta bæði viðskiptavininn og netþjóninn og samþykkja síðan hvaða dulkóðunaraðferðir verða notaðar

Við nefndum þegar að IKEv2 sér um SA eiginleika, en hvað er SA? Einfaldlega sagt, það er ferlið við að koma á öryggiseigindum milli tveggja neteininga (í þessu tilfelli VPN viðskiptavinurinn og VPN netþjóninn). Það gerir það með því að búa til samhverfa dulkóðunarlykil fyrir báða aðila. Umræddur lykill er síðan notaður til að dulkóða og afkóða öll gögn sem fara um VPN göngin.

Almennar tæknilegar upplýsingar um IKEv2

  • IKEv2 styður nýjustu dulkóðunaralgrími IPSec, ásamt mörgum öðrum dulkóðunargripum.
  • Almennt keyrir IKE-púkinn (forrit sem keyrir sem bakgrunnsferli) í notendarými (kerfisminni sem er tileinkað gangi forrita) meðan IPSec stafla keyrir í kjarnarými (kjarna stýrikerfisins). Það hjálpar til við að auka árangur.
  • IKE-samskiptareglur nota UDP-pakka og UDP-tengi 500. Venjulega eru fjögur til sex pakki nauðsynleg til að búa til SA.
  • IKE byggir á eftirfarandi undirliggjandi öryggisreglum:
    • ISAKMP (Internet Security Association and Key Management Protocol)
    • SKEME (Fjölhæfur Secure Key Exchange Mechanism)
    • OAKLEY (Oakley Key Determination Protocol)
  • IKEv2 VPN siðareglur styðja MOBIKE (IKEv2 Mobility and Multihoming Protocol), aðgerð sem gerir siðareglur kleift að standast netbreytingar.
  • IKEv2 styður PFS (Perfect Forward Secrecy).
  • Þó að IKEv2 hafi verið þróað af Microsoft ásamt Cisco, þá eru til útfærslur af siðareglunum (eins og OpenIKEv2, Openwan og strongSwan).
  • IKE notar X.509 vottorð þegar það sér um auðkenningarferlið.

IKEv1 á móti IKEv2

Hérna er listi yfir helstu muninn á IKEv2 og IKEv1:

  • IKEv2 býður sjálfkrafa stuðning við fjartengingu þökk sé EAP sannvottun sinni.
  • IKEv2 er forritað til að neyta minni bandbreiddar en IKEv1.
  • IKEv2 VPN-samskiptareglan notar dulkóðunarlykla fyrir báðar hliðar, sem gerir það öruggara en IKEv1.
  • IKEv2 hefur MOBIKE stuðning, sem þýðir að það getur staðist netbreytingar.
  • IKEv1 er ekki með innbyggða NAT-leið eins og IKEv2 gerir.
  • Ólíkt IKEv1 getur IKEv2 raunverulega greint hvort VPN-göngin eru „lifandi“ eða ekki. Sá eiginleiki gerir IKEv2 kleift að koma aftur á tengingu sem hefur fallið niður sjálfkrafa.
  • IKEv2 dulkóðun styður fleiri reiknirit en IKEv1.
  • IKEv2 býður upp á betri áreiðanleika með bættri röð og viðurkenningum.
  • IKEv2 siðareglur munu fyrst ákvarða hvort beiðnirinn sé raunverulega til áður en haldið er áfram að framkvæma neinar aðgerðir. Vegna þess er það þola meira árásir á DoS.

Er IKEv2 öruggt?

Já, IKEv2 er siðareglur sem er óhætt að nota. Það styður 256 bita dulkóðun og getur notað dulmál eins og AES, 3DES, Camellia og ChaCha20. Það sem meira er, IKEv2 / IPSec styður einnig PFS + MOBIKE eiginleiki siðareglna tryggir að tengingunni þinni verði ekki rofið þegar skipt er um net.

Annað sem vert er að nefna er að skírteini sem byggir á vottorðum IKEv2 tryggir að ekki sé gripið til neinna aðgerða fyrr en auðkenni beiðanda er staðfest og staðfest.

Það er líka rétt að Microsoft vann í IKEv2 og það er ekki mjög traust fyrirtæki. Hins vegar virkuðu þeir ekki á samskiptareglunum eingöngu, heldur ásamt Cisco. Einnig er IKEv2 ekki að fullu lokað þar sem útfærsla siðareglna er með opinn kóða.

Við ættum samt að taka á þremur öryggismálum varðandi IKEv2 / IPSec:

1. Lykilorðamál

Árið 2018 komu nokkrar rannsóknir í ljós sem bentu á mögulega öryggisleysi bæði IKEv1 og IKEv2. IKEv1 vandamálin ættu ekki í raun að varða þig svo framarlega sem þú notar ekki siðareglur. Hvað varðar IKEv2 málið, þá virðist sem það gæti verið tiltölulega auðveldlega hakkað ef notandanafnið sem það er notað er veikt.

En það er venjulega ekki mikið öryggisatriði ef þú notar sterkt lykilorð. Það sama er hægt að segja ef þú notar VPN þjónustu frá þriðja aðila þar sem þeir munu meðhöndla IKEv2 innskráningarlykilorð og staðfestingu fyrir þína hönd. Svo framarlega sem þú velur ágætis, öruggan veitanda, ættu engin vandamál að vera.

2. NSA nýting ISAKMP

Þýska tímaritið Der Spiegel sendi frá sér lekna kynningu á NSA sem fullyrti að NSA gæti nýtt sér IKE og ISAKMP til að afkóða IPSec umferð. Ef þú vissir það ekki, er ISAKMP notað af IPSec til að innleiða VPN þjónustuviðræður.

Því miður eru smáatriðin svolítið óljós og það er engin nákvæm leið til að tryggja að kynningarnar séu réttar. Ef þú hefur miklar áhyggjur af þessu máli ættirðu að forðast að setja upp tenginguna á eigin spýtur og fá í staðinn IKEv2 tengingu frá áreiðanlegum VPN veitanda sem notar öfluga dulkóðunargripara.

3. Mann-í-miðja árás

Svo virðist sem IPSec VPN stillingar sem eru ætlaðar til að gera kleift að semja um margar stillingar gætu hugsanlega verið beittar niðurfellinguárásum (tegund af árásum Man-in-the-Middle). Það getur gerst jafnvel þó að IKEv2 sé notaður í stað IKEv1.

Sem betur fer er hægt að forðast vandann ef strangari stillingar eru notaðar og ef viðskiptavinakerfin eru aðgreind vandlega á mörgum aðgangsstöðum þjónustunnar. Það sem þýðir á ensku er að ef VPN veitirinn sinnir starfi sínu rétt, þá ættir þú ekki að hafa áhyggjur af þessu.

Er IKEv2 hratt?

Já, IKEv2 / IPSec býður upp á viðeigandi hraða á netinu. Reyndar er það ein hraðasta VPN-samskiptareglur sem eru í boði fyrir netnotendur – hugsanlega jafnvel eins hratt og PPTP eða SoftEther. Og það er allt að þakka betri arkitektúr og skilvirkt svar / beiðni um að skiptast á skilaboðum. Sú staðreynd að hún keyrir á UDP höfn 500 tryggir einnig að það sé lítið leynd.

Enn betra, vegna MOBIKE eiginleika þess þarftu ekki að hafa áhyggjur af því að hraða IKEv2 fari lækkandi eða verði rofin þegar þú skiptir um net.

IKEv2 Kostir og gallar

Kostir

  • IKEv2 öryggi er nokkuð sterkt þar sem það styður marga hár-endir dulmál.
  • Þrátt fyrir háan öryggisstaðal býður IKEv2 hraðann hraða á netinu.
  • IKEv2 getur auðveldlega staðist netbreytingar vegna MOBIKE stuðnings þess og getur sjálfkrafa endurheimt niður tengingar.
  • IKEv2 er náttúrulega fáanlegur á BlackBerry tækjum og er einnig hægt að stilla hann á öðrum farsímum.
  • Að setja upp IKEv2 VPN tengingu er tiltölulega einfalt.

Ókostir

  • Þar sem IKEv2 notar aðeins UDP tengi 500 gæti eldveggur eða netstjórnandi hindrað það.
  • IKEv2 býður ekki upp á eins mikið samspil yfir palli eins og aðrar samskiptareglur (PPTP, L2TP, OpenVPN, SoftEther).

Hvað er IKEv2 VPN stuðningur?

IKEv2 VPN stuðningur er í grundvallaratriðum þegar þriðji aðili VPN veitandi býður aðgang að IKEv2 / IPSec tengingum í gegnum þjónustu sína. Sem betur fer hafa fleiri og fleiri VPN veitendur byrjað að þekkja hversu mikilvæg þessi samskiptaregla er fyrir farsímanotendur, svo þú ert líklegri til að finna þjónustu sem býður upp á IKEv2 tengingar núna en áður.

Við mælum samt með að velja VPN-þjónustuaðila sem býður upp á aðgang að mörgum VPN-samskiptareglum. Þó að IKEv2 / IPSec sé frábær siðareglur fyrir farsíma, þá skemmir það ekki að vera með viðeigandi varabúnað (eins og OpenVPN eða SoftEther) þegar þú notar önnur tæki heima

Þarftu IKEv2 VPN sem þú getur reitt þig á?

CactusVPN er bara þjónustan sem þú þarft. Við bjóðum upp á háhraða IKEv2 / IPSec tengingar sem eru öruggar með AES, 256 bita NIST Elliptic Curve, SHA-256 og RSA-2048. Það sem meira er, við verndum friðhelgi þína með því að skrá þig ekki í nein gögn og þjónusta okkar er búin með DNS-lekavörn og Killswitch líka

Að auki ættir þú að vita að IKEv2 mun ekki vera eini kosturinn sem þú hefur til ráðstöfunar. Við bjóðum einnig upp á aðgang að öðrum VPN samskiptareglum: OpenVPN, SoftEther, SSTP, L2TP / IPSec og PPTP.

Settu upp IKEv2 tengingu með mikilli vellíðan

Þú getur sett upp IKEv2 / IPSec göng með örfáum smellum ef þú notar CactusVPN. Við bjóðum marga viðskiptavini sem eru samhæfðir yfir vettvang sem eru mjög notendavænir.

CactusVPN app

Prófaðu þjónustu okkar ókeypis núna

Hefurðu áhuga á að sjá hvað CactusVPN getur gert fyrir þig? Af hverju ekki að prófa ókeypis sólarhringsprófun okkar fyrst? Þú þarft ekki að gefa upp neinar kreditkortaupplýsingar og þú getur auðveldlega skráð þig með upplýsingunum þínum á samfélagsmiðlum.

Plús, þegar þú verður CactusVPN notandi, munt þú vera ánægður með að vita að við bjóðum 30 daga peningaábyrgð ef þjónustan virkar ekki eins og auglýst er.

IKEv2 á móti öðrum VPN-samskiptareglum

Áður en við byrjum ættum við að nefna að þegar við munum ræða IKEv2 í þessum kafla, þá munum við vísa til IKEv2 / IPSec þar sem það er samskiptareglur sem VPN veitendur bjóða yfirleitt. Einnig er venjulega ekki hægt að nota IKEv2 á eigin spýtur þar sem það er siðareglur sem eru smíðaðar innan IPSec (þess vegna er það parað við það). Við skulum byrja á því:

1. IKEv2 vs. L2TP / IPSec

Bæði L2TP og IKEv2 eru venjulega paraðir við IPSec þegar VPN veitendur bjóða þeim. Það þýðir að þeir hafa tilhneigingu til að bjóða upp á sama öryggisstig. Samt, þó að L2TP / IPSec sé með lokaða uppsprettu, þá eru til útfærslur IKEv2. Það og Snowden hefur haldið því fram að NSA hafi veikt L2TP / IPSec, þó að það séu engin raunveruleg sönnunargögn til að styðja þá fullyrðingu.

IKEv2 / IPSec er hraðari en L2TP / IPSec þar sem L2TP / IPSec er meira úrræði vegna þess að það er tvöfalt umbreytingaraðgerð og tekur einnig lengri tíma að semja um VPN göng. Og þó að bæði samskiptareglur noti nokkurn veginn sömu höfn vegna þess að vera parað saman við IPSec, þá gæti verið auðveldara að loka á L2TP / IPSec með NAT eldvegg þar sem L2TP hefur stundum tilhneigingu til að virka ekki vel með NAT – sérstaklega ef L2TP Passthrough er ekki virkt á leiðina.

Þó að við séum að ræða stöðugleikann, þá skal þess getið að IKEv2 er mun stöðugri en L2TP / IPSec þar sem það getur staðist netbreytingar. Í grundvallaratriðum þýðir það að þú getur skipt úr WiFi tengingu yfir í gagnaplanasamband án þess að IKEv2 tengingin fari niður. Svo ekki sé minnst á að jafnvel þó að IKEv2 tengingin falli niður þá er hún endurheimt strax.

Hvað varðar aðgengi er L2TP / IPSec náttúrulega fáanlegt á fleiri kerfum en IKEv2 / IPSec er, en IKEv2 er fáanlegt á BlackBerry tækjum.

Í heildina litið virðist sem IKEv2 / IPSec sé betri kostur fyrir farsímanotendur en L2TP / IPSec virkar vel fyrir önnur tæki.

Fylgdu þessum hlekk ef þú vilt komast að meira um L2TP.

2. IKEv2 vs. IPSec

IKEv2 / IPSec er nokkurn veginn betri að öllu leyti en IPSec þar sem það býður upp á öryggisávinning IPSec samhliða miklum hraða og stöðugleika IKEv2. Þú getur ekki raunverulega borið IKEv2 upp á eigin spýtur við IPSec þar sem IKEv2 er samskiptaregla sem er notuð innan IPSec samskiptareglna. Einnig er IKEv2 í meginatriðum byggður á IPSec göngum.

Ef þú vilt lesa meira um IPSec skaltu skoða greinina okkar um hana.

3. IKEv2 á móti OpenVPN

OpenVPN er afar vinsæll hjá netnotendum vegna aukins öryggis, en þú ættir að vita að IKEv2 getur boðið svipað verndarstig. Það er rétt að IKEv2 tryggir upplýsingar á IP stigi meðan OpenVPN gerir það á flutningsstiginu, en það er í raun ekki eitthvað sem ætti að skipta miklu máli.

Hins vegar getum við ekki neitað því að OpenVPN með því að vera með opinn hugbúnað gerir það aðlaðandi valkost en IKEv2. Auðvitað, það verður ekki lengur svo mikið vandamál ef þú notar opinn uppspretta IKEv2.

Hvað varðar hraða á netinu, þá er IKEv2 venjulega hraðari en OpenVPN – jafnvel þegar OpenVPN notar UDP sendingarferlið. Hins vegar er mun erfiðara fyrir netstjórann að loka fyrir OpenVPN tengingar þar sem samskiptareglan notar tengi 443, sem er HTTPS umferðarhöfn. IKEv2 notar því miður aðeins UDP höfn 500 sem netstjórnandi getur lokað fyrir án þess að þurfa að hafa áhyggjur af því að stöðva aðra mikilvæga netumferð.

Hvað stöðugleika tengingar varðar eru báðar samskiptareglur ágætlega, en IKEv2 bera OpenVPN í farsímum þar sem það getur staðist netbreytingar. Það er rétt að hægt er að stilla OpenVPN til að gera slíkt hið sama með „float“ skipuninni, en það er ekki eins skilvirkt og stöðugt og IKEv2 er.

Varðandi stuðning yfir palli er IKEv2 svolítið á bak við OpenVPN, en það virkar þó á BlackBerry tæki. Einnig er IKEv2 venjulega aðeins auðveldara að setja upp þar sem það er venjulega innbyggt í pallana sem það er fáanlegt á.

Viltu vita meira um OpenVPN? Hér er ítarleg leiðarvísir sem við skrifuðum um það

4. IKEv2 vs. PPTP

IKEv2 er almennt mun betri kostur en PPTP einfaldlega vegna þess að það er öruggari en það. Fyrir það fyrsta býður það upp á stuðning fyrir 256 bita dulkóðunarlykla og hágæða dulrit eins og AES. Eins og langt eins og við vitum hefur IKEv2 umferð enn ekki klikkað af NSA. Það sama er ekki hægt að segja um PPTP umferð.

Þar fyrir utan er PPTP mun minna stöðugt en IKEv2. Það getur ekki staðist netbreytingar á auðveldan hátt eins og IKEv2, og – jafnvel verra – það er mjög auðvelt að loka fyrir með eldvegg – sérstaklega NAT eldvegg þar sem PPTP er ekki studdur innfæddur maður á NAT. Reyndar, ef PPTP Passthough er ekki virkt á leið, þá er ekki einu sinni hægt að koma á PPTP tengingu.

Venjulega er einn helsti hápunktur PPTP sem gerir það að verkum að hann sker sig úr samkeppni, mjög mikill hraði. Jæja, það fyndna er að IKEv2 er í raun fær um að bjóða upp á hraða svipaðan og þeim sem PPTP býður upp á.

Í grundvallaratriðum er eina leiðin sem PPTP er betri en IKEv2 þegar kemur að framboði og vellíðan af uppsetningunni. Þú sérð, PPTP er innbyggður innbyggður í tonn af pöllum, svo að stilla tengingu er mjög einfalt. Enn, það gæti ekki verið raunin í framtíðinni þar sem stuðningur við PPTP er byrjaður að fjarlægja úr nýrri útgáfum af sumum stýrikerfum. Til dæmis er PPTP ekki lengur tiltækt á iOS 10 og macOS Sierra.

Allt í allt ættir þú alltaf að velja IKEv2 yfir PPTP ef mögulegt er.

Fylgdu þessum tengli ef þú vilt læra meira um PPTP og komast að því hvers vegna þetta er svo áhættusamur valkostur.

5. IKEv2 vs. Wireguard

Wireguard er mjög ný VPN samskiptareglur með opinn aðgang sem virðist greinilega miða að því að verða verulega betri en IPSec (jarðgangagerðin sem IKEv2 byggir á). Samkvæmt þeirri röksemdafærslu ætti Wireguard að vera öruggari, hraðari og þægilegri í notkun en IKEv2 – og það gæti mjög vel verið í framtíðinni.

Enn sem stendur er Wireguard bara á tilraunastigi og er ekki mjög stöðugur og virkar ekki heldur á mörgum kerfum. Reyndar, núna, virkar Wireguard aðallega bara á Linux dreifingu. Samkvæmt þessum viðmiðum er Wireguard mun hraðari en IPSec, þó að það þýði ekki endilega að það sé hraðari en IKEv2 í bili þar sem IKEv2 er hraðari en IPSec líka.

Svo það er enn öruggara að nota IKEv2 þegar þú ert á Netinu.

Ef þú vilt fræðast meira um Wireguard, hér er krækill á handbókina okkar.

6. IKEv2 á móti SoftEther

Bæði IKEv2 og SoftEther eru nokkuð öruggar samskiptareglur, og jafnvel þó SoftEther gæti verið meira áreiðanlegt vegna þess að það er opinn uppspretta, þá geturðu fundið útfærslur af IKEv2 með opnum uppruna. Báðar samskiptareglurnar eru líka mjög fljótar, þó SoftEther gæti verið aðeins hraðari en IKEv2.

Þegar kemur að stöðugleika eru hlutirnir öðruvísi. Fyrir það fyrsta er SoftEther mun erfiðara að loka á með eldvegg vegna þess að hún keyrir á höfn 443 (HTTPS tengið). Á hinn bóginn gerir MOBIKE-eiginleiki IKEv2 það kleift að standast netbreytingar á óaðfinnanlegan hátt (eins og þegar þú skiptir úr WiFi-tengingu yfir í gagnaáætlun).

Það gæti líka haft áhuga á þér að vita að þótt SoftEther VPN netþjónninn styður IPSec og L2TP / IPSec samskiptareglur (meðal annarra), þá hefur hann engan stuðning fyrir IKEv2 / IPSec siðareglur.

Að lokum, SoftEther er nokkurn veginn betri kostur en IKEv2, þó þú gætir viljað nota IKEv2 ef þú ert notandi í farsíma – sérstaklega þar sem hann er fáanlegur á BlackBerry tækjum.

Ef þú vilt fræðast meira um SoftEther skaltu skoða þennan hlekk.

7. IKEv2 vs. SSTP

IKEv2 og SSTP bjóða upp á svipað öryggisstig, en SSTP er miklu eldveggþolnari þar sem það notar TCP tengi 443, höfn sem venjulega er ekki hægt að loka á. Hins vegar er SSTP ekki fáanlegt á eins mörgum pöllum og IKEv2 er. SSTP er aðeins innbyggt í Windows kerfi (Vista og hærra) og hægt er að stilla það frekar á leið, Linux og Android. IKEv2 virkar á öllum þessum kerfum og fleiru (macOS, iOS, FreeBSD og BlackBerry tæki).

Bæði IKEv2 og SSTP voru þróuð af Microsoft, en IKEv2 var þróuð af Microsoft ásamt Cisco. Það gerir það aðeins traustari en SSTP sem er eingöngu í eigu Microsoft – fyrirtæki sem hefur afhent NSA aðgang að dulkóðuðum skilaboðum áður og það er líka hluti af PRISM eftirlitsáætluninni.

Hvað varðar tengihraða eru báðar samskiptareglur ansi bundnar, en það er mjög líklegt að IKEv2 sé hraðari en SSTP. Af hverju? Vegna þess að hraði SSTP er oft borinn saman við OpenVPN hraða og við höfum þegar minnst á að IKEv2 er hraðari en OpenVPN. Þar fyrir utan er það einnig sú staðreynd að SSTP notar aðeins TCP, sem er hægara en UDP (flutningsferlið sem IKEv2 notar).

Hefurðu áhuga á að læra meira um SSTP? Hérna er grein sem við skrifuðum um hana.

Svo er IKEv2-bókunin gott val?

Já, IKEv2 er góður kostur fyrir örugga, slétta upplifun á netinu. Við mælum samt með að þú notir annað hvort OpenVPN eða SoftEther, en ef þessir valkostir eru ekki tiltækir af einhverjum ástæðum, virkar IKEv2 líka – sérstaklega ef þú notar farsímann þinn og ferðast nokkuð oft.

Hvað er IKEv2? Í niðurstöðu

IKEv2 er bæði VPN-samskiptareglur og dulkóðunaraðferðarlýsing sem notuð er innan IPSec svítunnar.

Í meginatriðum er það notað til að koma á fót og staðfesta örugg samskipti milli VPN viðskiptavinar og VPN netþjóna.

IKEv2 er mjög öruggt í notkun, þar sem það styður öfluga dulkóðunarkóða, og það bætti einnig alla öryggisgalla sem voru til staðar í IKEv1. Einnig er IKEv2 frábært val fyrir farsíma notendur vegna MOBIKE stuðnings þess sem gerir IKEv2 tengingum kleift að standast netbreytingar.

Við mælum samt með að velja VPN-þjónustuaðila sem býður aðgang að mörgum samskiptareglum samhliða IKEv2. Þó það sé frábær valkostur fyrir farsímanotendur, skaðar það ekki að hafa enn betri samskiptareglur (eins og OpenVPN og SoftEther) sem valkostur fyrir önnur tæki.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map