Что такое IKEv2? (Ваше руководство по протоколу IKEV2 VPN) |


Что такое IKEv2?

IKEv2 (Internet Key Exchange version 2) – это протокол шифрования VPN, который обрабатывает действия запроса и ответа. Он обеспечивает безопасность трафика, устанавливая и обрабатывая атрибут SA (Security Association) в наборе аутентификации – обычно IPSec, поскольку IKEv2 в основном основан на нем и встроен в него..

IKEv2 был разработан Microsoft совместно с Cisco и является преемником IKEv1.

Вот как работает IKEv2

Как и любой протокол VPN, IKEv2 отвечает за создание безопасного туннеля между клиентом VPN и сервером VPN. Это выполняется путем проверки подлинности клиента и сервера, а затем согласования используемых методов шифрования.

Мы уже упоминали, что IKEv2 обрабатывает атрибут SA, но что такое SA? Проще говоря, это процесс установления атрибутов безопасности между двумя сетевыми объектами (в данном случае, VPN-клиентом и VPN-сервером). Это достигается путем генерации одного и того же симметричного ключа шифрования для обоих объектов. Затем указанный ключ используется для шифрования и дешифрования всех данных, которые проходят через VPN-туннель..

Общие технические данные об IKEv2

  • IKEv2 поддерживает новейшие алгоритмы шифрования IPSec, наряду с множеством других шифровальных шифров.
  • Как правило, демон IKE (программа, которая запускается как фоновый процесс) работает в пользовательском пространстве (системная память, предназначенная для запуска приложений), а стек IPSec работает в пространстве ядра (ядро операционной системы). Это помогает повысить производительность.
  • Протокол IKE использует UDP-пакеты и UDP-порт 500. Обычно для создания SA требуется от четырех до шести пакетов..
  • IKE основан на следующих базовых протоколах безопасности:
    • ISAKMP (Ассоциация интернет-безопасности и протокол управления ключами)
    • SKEME (универсальный механизм безопасного обмена ключами)
    • OAKLEY (протокол определения ключа Oakley)
  • Протокол IKEv2 VPN поддерживает MOBIKE (IKEv2 Mobility и Multihoming Protocol), функцию, которая позволяет протоколу противостоять изменениям в сети..
  • IKEv2 поддерживает PFS (Perfect Forward Secrecy).
  • Хотя IKEv2 был разработан Microsoft совместно с Cisco, существуют реализации протокола с открытым исходным кодом (такие как OpenIKEv2, Openswan и strongSwan)..
  • IKE использует сертификаты X.509, когда он обрабатывает процесс аутентификации.

IKEv1 против IKEv2

Вот список основных различий между IKEv2 и IKEv1:

  • IKEv2 предлагает поддержку удаленного доступа по умолчанию благодаря своей аутентификации EAP.
  • IKEv2 запрограммирован на использование меньшей пропускной способности, чем IKEv1.
  • Протокол IKEv2 VPN использует ключи шифрования для обеих сторон, что делает его более безопасным, чем IKEv1.
  • IKEv2 имеет поддержку MOBIKE, что означает, что он может противостоять изменениям в сети.
  • IKEv1 не имеет встроенного обхода NAT, как IKEv2.
  • В отличие от IKEv1, IKEv2 может фактически определять, «жив» ли туннель VPN или нет. Эта функция позволяет IKEv2 автоматически восстанавливать разорванное соединение.
  • IKEv2 шифрование поддерживает больше алгоритмов, чем IKEv1.
  • IKEv2 предлагает лучшую надежность благодаря улучшенным порядковым номерам и подтверждениям.
  • Протокол IKEv2 сначала определит, действительно ли существует запрашивающая сторона, прежде чем выполнять какие-либо действия. Из-за этого он более устойчив к DoS-атакам..

Безопасен ли IKEv2??

Да, IKEv2 – это протокол, который безопасен в использовании. Он поддерживает 256-битное шифрование и может использовать такие шифры, как AES, 3DES, Camellia и ChaCha20. Более того, IKEv2 / IPSec также поддерживает PFS + функция MOBIKE протокола гарантирует, что ваше соединение не будет разорвано при смене сети.

Еще одна вещь, о которой стоит упомянуть, это то, что процесс аутентификации на основе сертификатов IKEv2 гарантирует, что никакие действия не предпринимаются, пока не будет установлена ​​и подтверждена личность запрашивающей стороны..

Кроме того, верно, что Microsoft работала над IKEv2, и это не очень заслуживающая доверия корпорация. Однако они работали не только над протоколом, но вместе с Cisco. Кроме того, IKEv2 не является полностью закрытым исходным кодом, так как существуют реализации протокола с открытым исходным кодом..

Тем не менее, мы должны решить три проблемы безопасности, связанные с IKEv2 / IPSec:

1. Проблемы с паролем

Еще в 2018 году появилось некоторое исследование, которое высветило потенциальные слабые стороны безопасности как IKEv1, так и IKEv2. Проблемы IKEv1 не должны беспокоить вас, если вы не используете протокол. Что касается проблемы IKEv2, кажется, что ее можно относительно легко взломать, если используемый ею пароль для входа слабый.

Тем не менее, это обычно не большая проблема безопасности, если вы используете надежный пароль. То же самое можно сказать, если вы используете стороннюю службу VPN, поскольку они будут обрабатывать пароли входа в систему IKEv2 и аутентификацию от вашего имени. Пока вы выбираете достойного, безопасного провайдера, проблем не должно быть.

2. АНБ Эксплуатация ИСАКМП

Немецкий журнал Der Spiegel выпустил просочившиеся презентации АНБ, в которых утверждалось, что АНБ может использовать IKE и ISAKMP для расшифровки трафика IPSec. Если вы не знали, ISAKMP используется IPSec для реализации согласования услуг VPN.

К сожалению, детали немного расплывчаты, и нет точного способа гарантировать, что презентации действительны. В случае, если вы очень обеспокоены этой проблемой, вам следует избегать настройки соединения самостоятельно и вместо этого получить соединение IKEv2 от надежного поставщика VPN, который использует мощные шифровальные шифры..

3. Атаки “Человек посередине”

Похоже, что конфигурации VPN IPSec, предназначенные для согласования нескольких конфигураций, потенциально могут подвергаться атакам с понижением версии (тип атак «человек посередине»). Это может произойти, даже если вместо IKEv1 используется IKEv2.

К счастью, этой проблемы можно избежать, если используются более строгие конфигурации и если клиентские системы тщательно разделены на несколько точек доступа к услугам. На английском языке это означает, что если провайдер VPN делает свою работу правильно, вам не нужно беспокоиться об этом.

IKEv2 быстро?

Да, IKEv2 / IPSec предлагает приличные скорости онлайн. Фактически, это один из самых быстрых протоколов VPN, доступных для онлайн-пользователей – потенциально даже такой же быстрый, как PPTP или SoftEther. И все это благодаря улучшенной архитектуре и эффективному процессу обмена сообщениями ответа / запроса. Кроме того, тот факт, что он работает на UDP-порту 500, обеспечивает низкую задержку.

Более того, благодаря функции MOBIKE вам не нужно беспокоиться о снижении скорости IKEv2 или ее прерывании при смене сети.

IKEv2 Преимущества и недостатки

преимущества

  • Безопасность IKEv2 достаточно высока, поскольку она поддерживает несколько шифров высокого класса.
  • Несмотря на высокий стандарт безопасности, IKEv2 предлагает высокую скорость онлайн.
  • IKEv2 может легко противостоять сетевым изменениям благодаря поддержке MOBIKE и может автоматически восстанавливать разорванные соединения.
  • IKEv2 изначально доступен на устройствах BlackBerry и может быть настроен на других мобильных устройствах.
  • Настройка VPN-соединения IKEv2 относительно проста.

Недостатки

  • Поскольку IKEv2 использует только UDP-порт 500, брандмауэр или сетевой администратор может заблокировать его.
  • IKEv2 не предлагает такой кроссплатформенной совместимости, как другие протоколы (PPTP, L2TP, OpenVPN, SoftEther).

Что такое поддержка IKEv2 VPN??

Поддержка IKEv2 VPN в основном заключается в том, что сторонний поставщик VPN предлагает доступ к соединениям IKEv2 / IPSec через свой сервис. К счастью, все больше и больше провайдеров VPN начинают осознавать, насколько важен этот протокол для мобильных пользователей, поэтому вы с большей вероятностью найдете сервисы, предлагающие соединения IKEv2, чем раньше.

Тем не менее, мы рекомендуем выбрать поставщика VPN, который предлагает доступ к нескольким протоколам VPN. Несмотря на то, что IKEv2 / IPSec является отличным протоколом для мобильных устройств, неплохо иметь приличное резервное копирование (например, OpenVPN или SoftEther), когда вы используете другие устройства дома.

Нужен VPN IKEv2, на который можно положиться?

CactusVPN – это именно тот сервис, который вам нужен. Мы предлагаем высокоскоростные соединения IKEv2 / IPSec, которые защищены с помощью AES, 256-битной эллиптической кривой NIST, SHA-256 и RSA-2048. Более того, мы защищаем вашу конфиденциальность, не регистрируя ваши данные, и наш сервис также оснащен защитой от утечки DNS и Killswitch.

Кроме того, вы должны знать, что IKEv2 не будет единственным вариантом в вашем распоряжении. Мы также предлагаем доступ к другим протоколам VPN: OpenVPN, SoftEther, SSTP, L2TP / IPSec и PPTP..

Установите соединение IKEv2 с предельной легкостью

Вы можете настроить туннель IKEv2 / IPSec всего несколькими щелчками мыши, если вы используете CactusVPN. Мы предлагаем несколько кроссплатформенных совместимых клиентов, которые очень удобны для пользователя.

Приложение CactusVPN

Попробуйте наши услуги бесплатно прямо сейчас

Хотите узнать, что CactusVPN может сделать для вас? Почему бы не попробовать нашу бесплатную 24-часовую пробную версию в первую очередь? Вам не нужно предоставлять данные кредитной карты, и вы можете легко зарегистрироваться с помощью информации в социальных сетях.

Кроме того, как только вы станете пользователем CactusVPN, вы будете рады узнать, что мы предлагаем 30-дневную гарантию возврата денег, если услуга не работает так, как рекламируется.

IKEv2 против других протоколов VPN

Прежде чем мы начнем, мы должны упомянуть, что когда мы будем обсуждать IKEv2 в этом разделе, мы будем ссылаться на IKEv2 / IPSec, поскольку это протокол, который обычно предлагают провайдеры VPN. Кроме того, IKEv2 обычно не может использоваться сам по себе, так как это протокол, встроенный в IPSec (именно поэтому он связан с ним). С этого, давайте начнем:

1. IKEv2 против L2TP / IPSec

Как L2TP, так и IKEv2 обычно соединяются с IPSec, когда они предлагаются провайдерами VPN. Это означает, что они, как правило, предлагают одинаковый уровень безопасности. Тем не менее, хотя L2TP / IPSec является закрытым исходным кодом, существуют реализации с открытым исходным кодом IKEv2. Это, и Сноуден заявил, что АНБ ослабило L2TP / IPSec, хотя нет никаких реальных доказательств, подтверждающих это утверждение..

IKEv2 / IPSec работает быстрее, чем L2TP / IPSec, поскольку L2TP / IPSec требует больше ресурсов благодаря функции двойной инкапсуляции, а также требует больше времени для согласования туннеля VPN. И хотя оба протокола в значительной степени используют одни и те же порты из-за их сопряжения с IPSec, L2TP / IPSec может быть проще блокировать с помощью брандмауэра NAT, поскольку L2TP иногда не очень хорошо работает с NAT – особенно если L2TP Passthrough не включен на роутер.

Кроме того, хотя мы говорим о стабильности, следует отметить, что IKEv2 гораздо более стабилен, чем L2TP / IPSec, поскольку он может противостоять изменениям в сети. По сути, это означает, что вы можете переключиться с соединения WiFi на соединение с тарифным планом без потери соединения IKEv2. Не говоря уже о том, что даже если соединение IKEv2 обрывается, оно немедленно восстанавливается.

Что касается доступности, L2TP / IPSec изначально доступен на большем количестве платформ, чем IKEv2 / IPSec, но IKEv2 доступен на устройствах BlackBerry.

В целом, кажется, что IKEv2 / IPSec – лучший выбор для мобильных пользователей, тогда как L2TP / IPSec хорошо работает для других устройств..

Если вы хотите узнать больше о L2TP, перейдите по этой ссылке.

2. IKEv2 против IPSec

IKEv2 / IPSec во всех отношениях намного лучше, чем IPSec, поскольку он предлагает преимущества безопасности IPSec наряду с высокой скоростью и стабильностью IKEv2. Кроме того, вы не можете реально сравнивать IKEv2 с IPSec, поскольку IKEv2 – это протокол, который используется в наборе протоколов IPSec. Кроме того, IKEv2 по существу основан на туннелировании IPSec..

Если вы хотите узнать больше об IPSec, ознакомьтесь с нашей статьей об этом.

3. IKEv2 против OpenVPN

OpenVPN чрезвычайно популярен среди онлайн-пользователей благодаря своей повышенной безопасности, но вы должны знать, что IKEv2 может предложить аналогичный уровень защиты. Это правда, что IKEv2 защищает информацию на уровне IP, в то время как OpenVPN делает это на транспортном уровне, но на самом деле это не то, что должно иметь огромное значение.

Однако мы не можем отрицать тот факт, что OpenVPN с открытым исходным кодом делает его более привлекательным вариантом, чем IKEv2. Конечно, это больше не становится такой большой проблемой, если вы используете реализацию IKEv2 с открытым исходным кодом..

С точки зрения скорости онлайн, IKEv2 обычно быстрее, чем OpenVPN – даже когда OpenVPN использует протокол передачи UDP. С другой стороны, сетевому администратору гораздо сложнее блокировать соединения OpenVPN, поскольку протокол использует порт 443, который является портом трафика HTTPS. IKEv2, к сожалению, использует только UDP-порт 500, который сетевой администратор может заблокировать, не беспокоясь об остановке другого жизненно важного сетевого трафика..

Что касается стабильности соединения, оба протокола работают довольно хорошо, но IKEv2 превосходит OpenVPN на мобильных устройствах, поскольку он может противостоять изменениям в сети. Это правда, что OpenVPN может быть настроен на то же самое с помощью команды «float», но он не так эффективен и стабилен, как IKEv2..

Что касается кроссплатформенной поддержки, IKEv2 немного отстает от OpenVPN, но работает на устройствах BlackBerry. Кроме того, IKEv2 обычно немного проще в настройке, поскольку он обычно изначально интегрирован в платформы, доступные на.

Хотите узнать больше об OpenVPN? Вот подробное руководство, которое мы написали об этом

4. IKEv2 против PPTP

IKEv2, как правило, намного лучше, чем PPTP, просто потому, что он намного безопаснее, чем он. С одной стороны, он предлагает поддержку 256-битных ключей шифрования и шифров высокого класса, таких как AES. Кроме того, насколько нам известно, NSA еще не взломал трафик IKEv2. То же самое нельзя сказать о трафике PPTP..

Кроме того, PPTP намного менее стабилен, чем IKEv2. Он не может с легкостью противостоять сетевым изменениям, таким как IKEv2, и, что еще хуже, его чрезвычайно легко блокировать с помощью брандмауэра, особенно брандмауэра NAT, поскольку PPTP изначально не поддерживается в NAT. Фактически, если PPTP Passthrough не включен на маршрутизаторе, соединение PPTP даже не может быть установлено.

Обычно одним из главных преимуществ PPTP, который выделяет его среди конкурентов, является его очень высокая скорость. Что ж, забавно то, что IKEv2 на самом деле способен предлагать скорости, аналогичные тем, которые предлагает PPTP.

По сути, единственный способ, которым PPTP лучше, чем IKEv2, – это доступность и простота настройки. Видите ли, PPTP изначально встроен в множество платформ, поэтому настройка соединения чрезвычайно проста. Тем не менее, это может не произойти в будущем, так как встроенная поддержка PPTP начала удаляться из более новых версий некоторых операционных систем. Например, PPTP больше не доступен в iOS 10 и macOS Sierra..

В общем, вы всегда должны выбирать IKEv2 поверх PPTP, если это возможно.

Если вы хотите узнать больше о PPTP и выяснить, почему это такой рискованный вариант, перейдите по этой ссылке.

5. IKEv2 против Wireguard

Wireguard – это совершенно новый протокол VPN с открытым исходным кодом, который, очевидно, стремится стать значительно лучше, чем IPSec (на котором основан протокол туннелирования IKEv2). По этой логике Wireguard должен быть более безопасным, быстрым и более удобным в использовании, чем IKEv2 – и это вполне может иметь место в будущем.

Тем не менее, на данный момент Wireguard находится на экспериментальной стадии, и он не очень стабилен и не работает на нескольких платформах. На самом деле, сейчас Wireguard работает только с дистрибутивами Linux. Согласно этим тестам, Wireguard намного быстрее, чем IPSec, хотя это не обязательно означает, что сейчас он быстрее, чем IKEv2, поскольку IKEv2 также быстрее, чем IPSec..

Таким образом, все еще безопаснее использовать IKEv2, когда вы находитесь в Интернете.

Если вы хотите узнать больше о Wireguard, вот ссылка на наше руководство.

6. IKEv2 против SoftEther

И IKEv2, и SoftEther являются довольно безопасными протоколами, и хотя SoftEther может быть более надежным, поскольку он с открытым исходным кодом, вы также можете найти реализации IKEv2 с открытым исходным кодом. Оба протокола также очень быстрые, хотя SoftEther может быть немного быстрее, чем IKEv2.

Когда дело доходит до стабильности, все по-другому. С одной стороны, SoftEther гораздо сложнее заблокировать с помощью брандмауэра, потому что он работает на порту 443 (порт HTTPS). С другой стороны, функция IKEv2 MOBIKE позволяет ей беспрепятственно противостоять изменениям в сети (например, когда вы переключаетесь с соединения WiFi на соединение с тарифным планом)..

Вам также может быть интересно узнать, что хотя VPN-сервер SoftEther поддерживает протоколы IPSec и L2TP / IPSec (среди прочих), он не поддерживает протокол IKEv2 / IPSec..

В конце концов, SoftEther является гораздо лучшим вариантом, чем IKEv2, хотя вы можете предпочесть использовать IKEv2, если вы являетесь мобильным пользователем, особенно потому, что он доступен на устройствах BlackBerry.

Если вы хотите узнать больше о SoftEther, перейдите по этой ссылке.

7. IKEv2 против SSTP

IKEv2 и SSTP предлагают аналогичный уровень безопасности, но SSTP гораздо более устойчив к брандмауэру, поскольку использует TCP-порт 443, который обычно невозможно заблокировать. С другой стороны, SSTP не доступен на таком количестве платформ, как IKEv2. SSTP встроен только в системы Windows (Vista и выше) и может быть дополнительно настроен на маршрутизаторах, Linux и Android. IKEv2 работает на всех этих платформах и более (устройства MacOS, iOS, FreeBSD и BlackBerry).

И IKEv2, и SSTP были разработаны Microsoft, но IKEv2 был разработан Microsoft совместно с Cisco. Это делает его более надежным, чем SSTP, который принадлежит исключительно Microsoft – компании, которая в прошлом предоставляла NSA доступ к зашифрованным сообщениям, и это также является частью программы наблюдения PRISM..

С точки зрения скорости соединения оба протокола довольно связаны, но очень вероятно, что IKEv2 быстрее, чем SSTP. Почему? Поскольку скорости SSTP часто сравнивают со скоростями OpenVPN, и мы уже упоминали, что IKEv2 быстрее OpenVPN. Кроме того, есть также тот факт, что SSTP использует только TCP, который медленнее, чем UDP (протокол передачи, используемый IKEv2).

Хотите узнать больше о SSTP? Вот статья, которую мы написали об этом.

Итак, является ли протокол IKEv2 хорошим выбором??

Да, IKEv2 – хороший вариант для безопасного и беспроблемного общения в Интернете. Мы по-прежнему рекомендуем вам использовать OpenVPN или SoftEther, но если по каким-либо причинам эти опции недоступны, IKEv2 также работает хорошо, особенно если вы пользуетесь мобильным телефоном и путешествуете довольно часто..

Что такое IKEv2? В заключении

IKEv2 является протоколом VPN и протоколом шифрования, используемым в наборе IPSec.

По сути, он используется для установления и аутентификации защищенной связи между VPN-клиентом и VPN-сервером..

IKEv2 очень безопасен в использовании, поскольку имеет поддержку мощных шифровальных шифров, а также улучшил все недостатки безопасности, которые присутствовали в IKEv1. Кроме того, IKEv2 является отличным выбором для мобильных пользователей благодаря поддержке MOBIKE, которая позволяет соединениям IKEv2 противостоять изменениям в сети..

Тем не менее, мы рекомендуем выбрать поставщика VPN, который предлагает доступ к нескольким протоколам наряду с IKEv2. Хотя это отличный вариант для мобильных пользователей, не мешает иметь еще лучшие протоколы (такие как OpenVPN и SoftEther) в качестве альтернативы для других устройств..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me