Що таке IKEv2? (Ваш посібник з протоколу VPN IKEV2) |


Що таке IKEv2?

IKEv2 (Internet Key Exchange, версія 2) – протокол шифрування VPN, який обробляє дії запиту та відповіді. Він гарантує безпеку трафіку шляхом встановлення та обробки атрибута SA (Асоціації безпеки) в наборі аутентифікації – зазвичай IPSec, оскільки IKEv2 в основному базується на ньому та вбудовується.

IKEv2 був розроблений Microsoft спільно з Cisco, і він є наступником IKEv1.

Ось як працює IKEv2

Як і будь-який протокол VPN, IKEv2 відповідає за встановлення захищеного тунелю між клієнтом VPN та сервером VPN. Це роблять, спочатку автентифікуючи і клієнта, і сервера, а потім домовляючись про те, які методи шифрування будуть використовуватися

Ми вже згадували, що IKEv2 обробляє атрибут SA, але що таке SA? Простіше кажучи, це процес встановлення атрибутів безпеки між двома мережевими об’єктами (у цьому випадку клієнтом VPN та сервером VPN). Це робиться шляхом генерування одного і того ж симетричного ключа шифрування для обох об’єктів. Потім згаданий ключ використовується для шифрування та дешифрування всіх даних, що переміщуються через тунель VPN.

Загальні технічні відомості про IKEv2

  • IKEv2 підтримує новітні алгоритми шифрування IPSec, поряд з кількома іншими шифрами шифрування.
  • Як правило, демон IKE (програма, що працює як фоновий процес) працює в просторі користувача (системна пам’ять, призначена для запуску програм), тоді як стек IPSec працює в просторі ядра (ядро операційної системи). Це сприяє підвищенню продуктивності.
  • Протокол IKE використовує пакети UDP та порт UDP 500. Як правило, для створення SA необхідні чотири-шість пакетів..
  • IKE базується на таких протоколах безпеки:
    • ISAKMP (Асоціація безпеки в Інтернеті та протокол керування ключами)
    • SKEME (універсальний механізм обміну ключами)
    • OAKLEY (Протокол визначення ключових слів Оклі)
  • Протокол IKEv2 VPN підтримує MOBIKE (IKEv2 Mobility and Multihoming Protocol), функцію, яка дозволяє протоколу протистояти змінам мережі.
  • IKEv2 підтримує PFS (Perfect Forward Secret).
  • У той час як IKEv2 розроблявся Microsoft спільно з Cisco, існують реалізовані протоколи з відкритим кодом (наприклад, OpenIKEv2, Openswan та strongSwan).
  • IKE використовує сертифікати X.509, коли він обробляє процес автентифікації.

IKEv1 проти IKEv2

Ось перелік основних відмінностей IKEv2 від IKEv1:

  • IKEv2 пропонує підтримку віддаленого доступу за замовчуванням завдяки автентифікації EAP.
  • IKEv2 запрограмований на споживання меншої пропускної здатності, ніж IKEv1.
  • Протокол IKEv2 VPN використовує ключі шифрування для обох сторін, що робить його більш безпечним, ніж IKEv1.
  • IKEv2 має підтримку MOBIKE, тобто може протистояти змінам мережі.
  • IKEv1 не має вбудованого NAT-траверсу, як IKEv2.
  • На відміну від IKEv1, IKEv2 може фактично виявити, чи тунель VPN “живий” чи ні. Ця функція дозволяє IKEv2 автоматично відновити перерване з’єднання.
  • Шифрування IKEv2 підтримує більше алгоритмів, ніж IKEv1.
  • IKEv2 забезпечує кращу надійність за рахунок покращених порядкових номерів та підтверджень.
  • Протокол IKEv2 спочатку визначить, чи дійсно запитувач існує, перш ніж приступити до виконання будь-яких дій. Через це він більш стійкий до DoS-атак.

Чи безпечний IKEv2?

Так, IKEv2 – це безпечний у користуванні протокол. Він підтримує 256-бітне шифрування і може використовувати шифри, такі як AES, 3DES, камелія та ChaCha20. Більше того, IKEv2 / IPSec також підтримує PFS + функція MOBIKE протоколу гарантує, що ваше з’єднання не буде перервано при зміні мереж.

Інша річ, яку варто згадати, – це те, що процес автентифікації на основі сертифікатів IKEv2 гарантує, що не буде вжито жодних дій, поки особа запитувача не буде визначена та підтверджена.

Крім того, правда, що Microsoft працював над IKEv2, і це не дуже надійна корпорація. Однак вони працювали не над протоколом, а разом із Cisco. Крім того, IKEv2 не є повністю закритим вихідним кодом, оскільки існують реалізовані протоколи з відкритим кодом.

Однак нам слід вирішити три проблеми, пов’язані з безпекою щодо IKEv2 / IPSec:

1. Випуски пароля

Ще в 2018 році з’явилися деякі дослідження, які підкреслили потенційні недоліки безпеки як IKEv1, так і IKEv2. Проблеми IKEv1 насправді не повинні вас хвилювати, якщо ви не використовуєте протокол. Що стосується проблеми IKEv2, то, схоже, її можна зламати відносно легко, якщо пароль для входу, який він використовує, слабкий.

Тим не менш, це зазвичай не викликає особливих проблем щодо безпеки, якщо ви використовуєте надійний пароль. Те саме можна сказати, якщо ви використовуєте сторонній VPN-сервіс, оскільки вони оброблятимуть паролі для входу IKEv2 та автентифікацію від вашого імені. Поки ви обираєте гідного, безпечного постачальника, проблем не повинно бути.

2. Експлуатація НСА ІСАКМП

Німецький журнал Der Spiegel опублікував викладені презентації NSA, які стверджували, що NSA змогла використовувати IKE та ISAKMP для дешифрування трафіку IPSec. Якщо ви цього не знали, ISAKMP використовується IPSec для здійснення переговорів щодо VPN.

На жаль, деталі трохи розпливчасті, і немає точного способу гарантувати правильність презентацій. Якщо ви дуже стурбовані цією проблемою, вам слід уникати налаштування з’єднання самостійно і замість цього отримати з’єднання IKEv2 від надійного постачальника VPN, який використовує потужні шифри шифрування.

3. Атаки “людина-середня”

Схоже, що конфігурації VPN IPSec, призначені для узгодження декількох конфігурацій, потенційно можуть бути піддані атакам з пониженням (тип атаки “Людина в середині”). Це може статися навіть якщо IKEv2 використовується замість IKEv1.

На щастя, проблеми можна уникнути, якщо використовуються більш жорсткі конфігурації та якщо клієнтські системи ретельно розділені на кілька точок доступу до сервісу. Це означає, що англійською мовою є те, що якщо постачальник VPN виконує свою роботу правильно, вам не доведеться турбуватися про це.

Швидкий IKEv2?

Так, IKEv2 / IPSec пропонує пристойні швидкості в Інтернеті. Насправді це один з найшвидших протоколів VPN, доступних для користувачів онлайн – потенційно навіть настільки ж швидкий, як PPTP або SoftEther. І все це завдяки вдосконаленій архітектурі та ефективному обміну повідомленнями відповіді / запиту. Крім того, той факт, що він працює на порту UDP 500, забезпечує низьку затримку.

Що ще краще, завдяки своїй функції MOBIKE вам не потрібно турбуватися про те, що швидкість IKEv2 знижується або переривається при зміні мереж.

Переваги та недоліки IKEv2

Переваги

  • Захищеність IKEv2 досить сильна, оскільки вона підтримує декілька шифрів високого класу.
  • Незважаючи на високий рівень безпеки, IKEv2 пропонує швидкі онлайн-швидкості.
  • IKEv2 може легко протистояти змінам мережі завдяки підтримці MOBIKE і може автоматично відновити перервані з’єднання.
  • IKEv2 доступний на пристроях BlackBerry і може бути налаштований і на інших мобільних пристроях.
  • Налаштування IKEv2 VPN-з’єднання порівняно просте.

Недоліки

  • Оскільки IKEv2 використовує лише порт UDP 500, то брандмауер або мережевий адміністратор можуть його заблокувати.
  • IKEv2 не пропонує стільки сумісності між платформами, як інші протоколи (PPTP, L2TP, OpenVPN, SoftEther).

Що таке підтримка VPN IKEv2?

Підтримка IKEv2 VPN – це в основному тоді, коли сторонній постачальник VPN пропонує доступ до з’єднань IKEv2 / IPSec через свою службу. На щастя, все більше постачальників VPN починають визнавати, наскільки важливий цей протокол для користувачів мобільних пристроїв, тому ви більше шансів знайти служби, які пропонують з’єднання IKEv2 зараз, ніж раніше.

Тим не менш, ми радимо вибрати постачальника VPN, який пропонує доступ до декількох протоколів VPN. Хоча IKEv2 / IPSec – це чудовий протокол для мобільних пристроїв, не завадить мати гідну резервну копію (наприклад, OpenVPN або SoftEther), коли ви використовуєте інші пристрої вдома

Потрібна VPN IKEv2, на яку можна покластися?

CactusVPN – це лише необхідна вам послуга. Ми пропонуємо високошвидкісні з’єднання IKEv2 / IPSec, які захищені AES, 256-бітною кривою NIST Elliptic, SHA-256 та RSA-2048. Більше того, ми захищаємо вашу конфіденційність, не записуючи жодну з ваших даних, а наша служба оснащена захистом від витоку DNS та Killswitch

Крім того, ви повинні знати, що IKEv2 не буде єдиним у вашому розпорядженні. Ми також пропонуємо доступ до інших протоколів VPN: OpenVPN, SoftEther, SSTP, L2TP / IPSec та PPTP.

Налаштуйте з’єднання IKEv2 із надзвичайною простотою

Ви можете налаштувати тунель IKEv2 / IPSec лише за кілька кліків, якщо ви використовуєте CactusVPN. Ми пропонуємо кілька клієнтів, сумісних між платформами, які дуже зручні для користувачів.

Додаток CactusVPN

Спробуйте наші послуги безкоштовно прямо зараз

Цікаво дізнатися, що CactusVPN може зробити для вас? Чому б не спробувати спершу нашу безкоштовну 24-годинну пробну версію? Вам не потрібно видавати реквізити кредитної картки, і ви можете легко зареєструватися за допомогою своєї інформації в соціальних мережах.

Крім того, щойно ви станете користувачем CactusVPN, ви будете раді дізнатись, що ми пропонуємо 30-денну гарантію повернення грошей, якщо послуга не працює як рекламується.

IKEv2 проти інших протоколів VPN

Перш ніж почати, слід зазначити, що, коли ми обговорюватимемо IKEv2 у цьому розділі, ми будемо посилатися на IKEv2 / IPSec, оскільки протокол VPN-провайдерів зазвичай пропонується. Крім того, IKEv2 не можна використовувати самостійно, оскільки це протокол, побудований в IPSec (саме тому він пов’язаний з ним). Починаючи з цього, почнемо:

1. IKEv2 проти L2TP / IPSec

І L2TP, і IKEv2 зазвичай поєднуються з IPSec, коли їх пропонують постачальники VPN. Це означає, що вони, як правило, пропонують однаковий рівень безпеки. Тим не менш, поки L2TP / IPSec є закритим джерелом, існують IKEv2 реалізації з відкритим кодом. Це, і Сноуден заявив, що АНБ ослабило L2TP / IPSec, хоча реальних доказів, які підтверджують цю заяву, немає.

IKEv2 / IPSec швидше, ніж L2TP / IPSec, оскільки L2TP / IPSec є більш трудомістким завдяки своїй функції подвійної інкапсуляції, а також потрібно більше часу для узгодження тунелю VPN. І хоча обидва протоколи в основному використовують одні і ті ж порти через те, що вони з’єднуються з IPSec, L2TP / IPSec може бути простіше блокувати за допомогою брандмауера NAT, оскільки L2TP, як правило, не працює з NAT, особливо якщо L2TP Passthrough не ввімкнено роутер.

Також, поки ми говоримо про тему стабільності, слід зазначити, що IKEv2 набагато стабільніший, ніж L2TP / IPSec, оскільки може протистояти змінам мережі. В основному це означає, що ви можете переключитися з підключення Wi-Fi до з’єднання в плані даних, без з’єднання IKEv2. Не кажучи вже про те, що навіть якщо з’єднання IKEv2 припиняється, воно відновлюється негайно.

Що стосується доступності, L2TP / IPSec доступний на більшості платформ, ніж IKEv2 / IPSec, але IKEv2 доступний на пристроях BlackBerry.

В цілому, здавалося б, IKEv2 / IPSec – кращий вибір для мобільних користувачів, тоді як L2TP / IPSec добре працює для інших пристроїв.

Якщо ви хочете дізнатися більше про L2TP, перейдіть за цим посиланням.

2. IKEv2 проти IPSec

IKEv2 / IPSec є набагато кращим у всіх відношеннях, ніж IPSec, оскільки він пропонує переваги безпеки IPSec поряд з високими швидкостями та стабільністю IKEv2. Крім того, ви не можете порівнювати IKEv2 самостійно з IPSec, оскільки IKEv2 – це протокол, який використовується в наборі протоколів IPSec. Крім того, IKEv2 по суті базується на тунелюванні IPSec.

Якщо ви хочете прочитати більше про IPSec, перегляньте нашу статтю про це.

3. IKEv2 проти OpenVPN

OpenVPN користується надзвичайною популярністю серед інтернет-користувачів завдяки підвищеній безпеці, але ви повинні знати, що IKEv2 може запропонувати аналогічний рівень захисту. Це правда, що IKEv2 захищає інформацію на рівні IP, тоді як OpenVPN робить це на транспортному рівні, але насправді це не має великого значення.

Однак ми не можемо заперечувати той факт, що OpenVPN з відкритим кодом робить його більш привабливим варіантом, ніж IKEv2. Звичайно, це більше не стає такою величезною проблемою, якщо ви використовуєте відкриті джерела IKEv2.

Що стосується швидкості в Інтернеті, IKEv2 зазвичай швидше, ніж OpenVPN – навіть коли OpenVPN використовує протокол передачі UDP. З іншого боку, адміністратору мережі набагато складніше блокувати з’єднання OpenVPN, оскільки в протоколі використовується порт 443, який є портом трафіку HTTPS. IKEv2, на жаль, використовує лише порт UDP 500, який адміністратор мережі може блокувати, не турбуючись про зупинку іншого життєво важливого інтернет-трафіку.

Що стосується стабільності підключення, обидва протоколи працюють досить добре, але IKEv2 перевершує OpenVPN на мобільних пристроях, оскільки може протистояти змінам мережі. Це правда, що OpenVPN можна налаштувати так само з командою “float”, але це не так ефективно і стабільно, як IKEv2.

Що стосується підтримки платформи, IKEv2 трохи відстає від OpenVPN, але вона працює на пристроях BlackBerry. Крім того, IKEv2, як правило, трохи простіше налаштувати, оскільки він зазвичай вбудований в ті платформи, на яких він доступний.

Хочете дізнатися більше про OpenVPN? Ось докладний посібник, про який ми писали

4. IKEv2 проти PPTP

IKEv2, як правило, набагато кращий вибір, ніж PPTP, просто тому, що він набагато безпечніший за нього. Для одного, він пропонує підтримку 256-бітних ключів шифрування та шифрів високого класу, таких як AES. Крім того, наскільки нам відомо, трафік IKEv2 ще повинен бути розбитий АНБ. Те ж саме не можна сказати про трафік PPTP.

Крім того, PPTP набагато менш стійкий, ніж IKEv2. Він не може протистояти змінам мережі з легкістю, як IKEv2, і – що ще гірше – його надзвичайно просто блокувати брандмауером – особливо, брандмауером NAT, оскільки PPTP не підтримується в NAT. Насправді, якщо PPTP Passthrough не включений на маршрутизаторі, з’єднання PPTP навіть не може бути встановлено.

Як правило, однією з головних родзинок PPTP, яка відрізняє його від конкуренції, є її дуже висока швидкість. Що ж, найсмішніше те, що IKEv2 насправді здатний запропонувати швидкості, схожі на ті, які пропонує PPTP.

В основному, єдиний спосіб PPTP кращий, ніж IKEv2, це коли це стосується доступності та простоти налаштування. Розумієте, PPTP вбудований у багато платформ, тому налаштувати з’єднання надзвичайно просто. Однак це може бути не в майбутньому, оскільки початкова підтримка PPTP почала видалятися з новіших версій деяких операційних систем. Наприклад, PPTP більше не доступний для користувачів на iOS 10 та macOS Sierra.

Загалом, ви завжди повинні вибрати IKEv2 через PPTP, якщо це можливо.

Якщо ви хочете дізнатися більше про PPTP та дізнатися, чому це такий ризикований варіант, перейдіть за цим посиланням.

5. IKEv2 проти Wireguard

Wireguard – це зовсім новий протокол VPN з відкритим кодом, який, мабуть, має на меті стати значно кращим, ніж IPSec (на базі протоколу тунелювання IKEv2). За цією логікою Wireguard повинен бути більш безпечним, швидшим та зручнішим у використанні, ніж IKEv2 – і це, можливо, може бути в майбутньому.

Проте на даний момент Wireguard просто перебуває на стадії експерименту, і не дуже стабільний, а також не працює на декількох платформах. Насправді зараз Wireguard здебільшого просто працює над дистрибутивами Linux. Відповідно до цих орієнтирів, Wireguard набагато швидше, ніж IPSec, хоча це не означає, що він швидше, ніж IKEv2, оскільки IKEv2 швидше, ніж IPSec.

Тому користуватися IKEv2 ще безпечніше, коли ви перебуваєте в Інтернеті.

Якщо ви хочете дізнатися більше про Wireguard, ось вам посилання на наш посібник.

6. IKEv2 проти SoftEther

І IKEv2, і SoftEther є досить безпечними протоколами, і хоча SoftEther може бути більш надійним, оскільки він є відкритим кодом, ви також можете знайти реалізовані IKEv2 з відкритим кодом. Обидва протоколи також дуже швидкі, хоча SoftEther може бути трохи швидшим, ніж IKEv2.

Що стосується стабільності, то тут справи різні. Для одного, SoftEther набагато складніше блокувати за допомогою брандмауера, оскільки він працює на порту 443 (порт HTTPS). З іншого боку, функція MOBIKE IKEv2 дозволяє їй безперешкодно протистояти змінам мережі (наприклад, при переході з підключення Wi-Fi до плану передачі даних).

Можливо, вам також цікаво знати, що хоча сервер VPN SoftEther підтримує протоколи IPSec та L2TP / IPSec (серед інших), він не підтримує протокол IKEv2 / IPSec.

Зрештою, SoftEther є набагато кращим варіантом, ніж IKEv2, хоча ви можете скористатися IKEv2, якщо ви користувач мобільного зв’язку, тим більше, що він доступний на пристроях BlackBerry.

Якщо ви хочете дізнатися більше про SoftEther, перегляньте це посилання.

7. IKEv2 проти SSTP

IKEv2 і SSTP пропонують аналогічний рівень безпеки, але SSTP набагато стійкіший до брандмауера, оскільки він використовує TCP-порт 443, порт, який неможливо заблокувати. З іншого боку, SSTP недоступний на багатьох платформах, наскільки IKEv2. SSTP вбудований лише у системи Windows (Vista та новіші версії), і він може бути налаштований далі на маршрутизаторах, Linux та Android. IKEv2 працює на всіх цих платформах і більше (macOS, iOS, FreeBSD та BlackBerry).

І IKEv2, і SSTP були розроблені Microsoft, але IKEv2 були розроблені Microsoft спільно з Cisco. Це робить його трохи більш надійним, ніж SSTP, який належить виключно Майкрософт – компанії, яка раніше надала АНБ доступ до зашифрованих повідомлень, і це також є частиною програми спостереження PRISM..

Що стосується швидкості з’єднання, то обидва протоколи досить прив’язані, але дуже ймовірно, що IKEv2 швидше, ніж SSTP. Чому? Оскільки швидкість SSTP часто порівнюється зі швидкістю OpenVPN, і ми вже згадували, що IKEv2 швидше, ніж OpenVPN. Крім того, існує також той факт, що SSTP використовує лише TCP, який повільніше, ніж UDP (протокол передачі, який використовується IKEv2).

Цікавитеся дізнатися більше про SSTP? Ось стаття, яку ми написали про це.

Отже, чи хороший вибір протоколу IKEv2?

Так, IKEv2 – хороший варіант для безпечного і безперебійного користування в Інтернеті. Ми все-таки рекомендуємо використовувати або OpenVPN, або SoftEther, але якщо ці варіанти з якоїсь причини недоступні, IKEv2 також працює добре – особливо якщо ви користуєтеся мобільним телефоном і їдете досить часто.

Що таке IKEv2? У висновку

IKEv2 – це і протокол VPN, і протокол шифрування, який використовується в пакеті IPSec.

По суті, він використовується для встановлення та автентифікації захищеного зв’язку між клієнтом VPN та сервером VPN.

IKEv2 дуже безпечний у використанні, оскільки має підтримку потужних шифрувальних шифрів, а також покращив усі вади безпеки, які були в IKEv1. Крім того, IKEv2 є прекрасним вибором для мобільних користувачів завдяки підтримці MOBIKE, яка дозволяє з’єднанням IKEv2 протистояти змінам мережі..

Тим не менш, ми радимо вибрати постачальника VPN, який пропонує доступ до декількох протоколів поряд з IKEv2. Хоча це чудовий варіант для мобільних користувачів, не завадить мати ще кращі протоколи (наприклад, OpenVPN та SoftEther) як альтернативу для інших пристроїв.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me