什么是IKEv2? (《 IKEV2 VPN协议指南》)|


什么是IKEv2?

IKEv2(Internet密钥交换版本2)是处理请求和响应操作的VPN加密协议。通过在身份验证套件内建立和处理SA(安全关联)属性(通常为IPSec)来确保流量安全,因为IKEv2基本上是基于该属性并内置于其中.

IKEv2由Microsoft和Cisco共同开发,是IKEv1的后继产品.

IKEv2的运作方式

像任何VPN协议一样,IKEv2负责在VPN客户端和VPN服务器之间建立安全隧道。它首先通过对客户端和服务器进行身份验证,然后就将使用哪种加密方法达成一致,从而做到这一点。

我们已经提到IKEv2处理SA属性,但是SA是什么?简而言之,这是在两个网络实体(在本例中为VPN客户端和VPN服务器)之间建立安全属性的过程。它通过为两个实体生成相同的对称加密密钥来做到这一点。所述密钥随后用于加密和解密通过VPN隧道传输的所有数据.

IKEv2的一般技术细节

  • IKEv2支持IPSec的最新加密算法,以及其他多种加密密码.
  • 通常,IKE守护程序(作为后台进程运行的程序)在用户空间(专用于运行应用程序的系统内存)中运行,而IPSec堆栈在内核空间(操作系统的核心)中运行。这有助于提高性能.
  • IKE协议使用UDP数据包和UDP端口500。通常,创建SA需要四到六个数据包.
  • IKE基于以下基本安全协议:
    • ISAKMP(互联网安全协会和密钥管理协议)
    • SKEME(多功能安全密钥交换机制)
    • OAKLEY(Oakley密钥确定协议)
  • IKEv2 VPN协议支持MOBIKE(IKEv2移动性和多宿主协议),该功能允许协议抵抗网络变化.
  • IKEv2支持PFS(完美前向保密性).
  • 尽管IKEv2由Microsoft与Cisco一起开发,但该协议有开源实现(例如OpenIKEv2,Openswan和strongSwan)。.
  • IKE处理身份验证过程时使用X.509证书.

IKEv1与IKEv2

以下列出了IKEv2和IKEv1之间的主要区别:

  • IKEv2通过EAP身份验证默认情况下提供对远程访问的支持.
  • IKEv2被编程为比IKEv1消耗更少的带宽.
  • IKEv2 VPN协议的两端均使用加密密钥,因此比IKEv1更安全.
  • IKEv2具有MOBIKE支持,这意味着它可以抵抗网络变化.
  • IKEv1不像IKEv2那样具有内置的NAT遍历.
  • 与IKEv1不同,IKEv2实际上可以检测VPN隧道是否“活跃”。该功能允许IKEv2自动重新建立断开的连接.
  • IKEv2加密比IKEv1支持更多算法.
  • IKEv2通过改进序列号和确认来提供更好的可靠性.
  • IKEv2协议将首先确定请求者是否确实存在,然后再继续执行任何操作。因此,它更能抵御DoS攻击.

IKEv2安全吗?

是的,IKEv2是可以安全使用的协议。它支持256位加密,并且可以使用AES,3DES,Camellia和ChaCha20等密码。此外,IKEv2 / IPSec还支持PFS +协议的MOBIKE功能可确保在更改网络时不会断开连接.

值得一提的另一件事是,IKEv2的基于证书的身份验证过程可确保在确定并确认请求者的身份之前,不采取任何措施。.

同样,微软确实在开发IKEv2,这不是一个非常值得信赖的公司。但是,它们不是单独使用协议,而是与Cisco一起使用。另外,IKEv2并非完全封闭源代码,因为该协议存在开放源代码实现.

尽管如此,我们仍应解决与IKEv2 / IPSec有关的三个与安全性相关的问题:

1.密码问题

早在2018年,一些研究就暴露出来,突显了IKEv1和IKEv2的潜在安全漏洞。只要您不使用IKEv1问题,您就不必担心。至于IKEv2问题,如果它使用的登录密码很弱,似乎很容易被黑客入侵。.

不过,如果您使用的是强密码,那么通常这并不是很大的安全问题。如果您使用第三方VPN服务,也可以这样说,因为它们将代表您处理IKEv2登录密码和身份验证。只要您选择一个体面,安全的提供商,就不会有任何问题.

2. NSA对ISAKMP的利用

德国杂志《明镜》(Der Spiegel)发布了泄露的NSA演示,声称NSA能够利用IKE和ISAKMP解密IPSec流量。如果您不知道,IPSec会使用ISAKMP来实施VPN服务协商.

不幸的是,细节有点含糊,没有确切的方法可以保证演示文稿的有效性。如果您非常担心此问题,则应避免自行建立连接,而应从使用功能强大的加密密码的可靠VPN提供商处获得IKEv2连接.

3.中间人攻击

旨在允许协商多个配置的IPSec VPN配置似乎可能遭受降级攻击(一种中间人攻击)。即使使用IKEv2而不是IKEv1,也会发生这种情况.

幸运的是,如果使用更严格的配置,并且客户端系统在多个服务访问点上经过仔细隔离,则可以避免该问题。用英语的意思是,如果VPN提供商正确执行工作,则您不必为此担心.

IKEv2快速吗?

是的,IKEv2 / IPSec提供了不错的在线速度。实际上,它是可供在线用户使用的最快的VPN协议之一,甚至可能与PPTP或SoftEther一样快。这全都归功于其改进的架构和高效的响应/请求消息交换流程。此外,它在UDP端口500上运行的事实确保了低延迟.

更好的是,由于其具有MOBIKE功能,因此您无需担心IKEv2的速度会降低或在更改网络时受到干扰.

IKEv2的优点和缺点

优点

  • IKEv2安全性非常强,因为它支持多个高端密码.
  • 尽管IKEv2具有很高的安全性标准,但仍可提供快速的在线速度.
  • IKEv2凭借其MOBIKE支持可以轻松抵御网络变化,并可以自动恢复断开的连接.
  • IKEv2在BlackBerry设备上本地可用,也可以在其他移动设备上配置.
  • 设置IKEv2 VPN连接相对简单.

缺点

  • 由于IKEv2仅使用UDP端口500,因此防火墙或网络管理员可以阻止它.
  • IKEv2没有提供其他协议(PPTP,L2TP,OpenVPN,SoftEther)那么多的跨平台兼容性.

IKEv2 VPN支持什么?

基本上,当第三方VPN提供商通过其服务提供对IKEv2 / IPSec连接的访问​​时,才支持IKEv2 VPN。幸运的是,越来越多的VPN提供商开始认识到该协议对移动用户的重要性,因此您现在比以往更可能找到提供IKEv2连接的服务.

尽管如此,我们还是建议您选择可以访问多种VPN协议的VPN提供商。虽然IKEv2 / IPSec是移动设备上的一种很好的协议,但是当您在家中使用其他设备时,拥有像样的备份(如OpenVPN或SoftEther)也没有什么坏处

需要您可以依靠的IKEv2 VPN?

CactusVPN就是您需要的服务。我们提供通过AES,256位NIST椭圆曲线,SHA-256和RSA-2048进行保护的高速IKEv2 / IPSec连接。此外,我们不会记录您的任何数据,从而保护了您的隐私,并且我们的服务还配备了DNS泄漏保护和Killswitch

除此之外,您应该知道IKEv2并不是您的唯一选择。我们还提供对其他VPN协议的访问:OpenVPN,SoftEther,SSTP,L2TP / IPSec和PPTP.

轻松设置IKEv2连接

如果使用CactusVPN,则只需单击几下即可设置IKEv2 / IPSec隧道。我们提供了多个跨平台兼容的客户端,它们非常易于使用.

CactusVPN应用程序

立即免费试用我们的服务

有兴趣了解CactusVPN可以为您做什么吗?为什么不先尝试我们的24小时免费试用?您无需提供任何信用卡详细信息,就可以轻松注册社交媒体信息.

另外,一旦您成为CactusVPN用户,您将很高兴知道,如果该服务无法像宣传的那样工作,我们将提供30天退款保证.

IKEv2与其他VPN协议

在开始之前,我们应该提到,在本节中讨论IKEv2时,我们将指的是IKEv2 / IPSec,因为这是VPN提供商通常提供的协议。另外,IKEv2通常不能单独使用,因为它是IPSec中内置的协议(这就是它与之配对的原因)。从此开始,让我们开始:

1. IKEv2与L2TP / IPSec

VPN提供商提供的L2TP和IKEv2通常都与IPSec配对。这意味着它们倾向于提供相同级别的安全性。尽管如此,尽管L2TP / IPSec是闭源的,但仍有IKEv2的开源实现。那,斯诺登声称国家安全局削弱了L2TP / IPSec,尽管没有确凿的证据支持.

IKEv2 / IPSec比L2TP / IPSec更快,因为L2TP / IPSec由于具有双重封装功能而占用更多资源,因此协商VPN隧道所需的时间也更长。尽管两个协议都由于与IPSec配对而几乎使用相同的端口,但是L2TP / IPSec可能更容易被NAT防火墙阻止,因为L2TP有时有时不能很好地与NAT配合使用-尤其是如果未启用L2TP Passthrough路由器.

另外,在我们谈论稳定性的同时,应该指出IKEv2比L2TP / IPSec更稳定,因为它可以抵抗网络变化。基本上,这意味着您可以从WiFi连接切换到数据计划连接,而不会关闭IKEv2连接。更不用说即使IKEv2连接断开,它也会立即恢复.

至于可访问性,与IKEv2 / IPSec相比,L2TP / IPSec可以在更多平台上本地使用,但是BlackBerry设备上可以使用IKEv2.

总体而言,对于移动用户来说,IKEv2 / IPSec似乎是一个更好的选择,而L2TP / IPSec对于其他设备则很好.

如果您想了解有关L2TP的更多信息,请点击此链接.

2. IKEv2与IPSec

IKEv2 / IPSec在所有方面都比IPSec更好,因为它具有IPSec的安全优势以及IKEv2的高速和稳定性。另外,由于IKEv2是IPSec协议套件中使用的协议,因此您无法真正将IKEv2与IPSec进行比较。此外,IKEv2本质上基于IPSec隧道.

如果您想了解有关IPSec的更多信息,请查看有关它的文章.

3. IKEv2与OpenVPN

由于其增强的安全性,OpenVPN在在线用户中非常受欢迎,但是您应该知道IKEv2可以提供类似级别的保护。确实,IKEv2在IP级别保护信息安全,而OpenVPN在传输级别保护信息安全,但这并不是应该有很大的不同。.

但是,我们不能否认OpenVPN是开源的,因此它比IKEv2更具吸引力。当然,如果您使用IKEv2的开源实现,那就不再是一个大问题了.

就在线速度而言,即使OpenVPN使用UDP传输协议,IKEv2通常也比OpenVPN更快。另一方面,由于协议使用端口443(HTTPS流量端口),因此网络管理员很难阻止OpenVPN连接。不幸的是,IKEv2仅使用网络管理员可以阻止的UDP端口500,而不必担心停止其他重要的在线流量.

至于连接稳定性,这两种协议的性能都很好,但是IKEv2可以抵抗网络变化,因此在移动设备上优于OpenVPN。确实可以将OpenVPN配置为使用“ float”命令执行相同的操作,但其效率和稳定性不如IKEv2.

关于跨平台支持,IKEv2落后于OpenVPN,但它在BlackBerry设备上可以使用。另外,IKEv2通常更容易设置,因为它通常是本地集成到其上可用的平台中的.

想更多地了解OpenVPN?这是我们撰写的深入指南

4. IKEv2与PPTP

通常,IKEv2比PPTP更好,因为它比PPTP更安全。首先,它提供对256位加密密钥和AES等高端密码的支持。此外,据我们所知,NSA尚未破解IKEv2流量。关于PPTP流量不能说相同的话.

除此之外,PPTP不如IKEv2稳定。它无法像IKEv2一样轻松地抵抗网络变化,而且-更糟的是-使用防火墙(尤其是NAT防火墙)进行阻止非常容易,因为NAT本身不支持PPTP。实际上,如果未在路由器上启用PPTP直通,则甚至无法建立PPTP连接.

通常,PPTP的极高速度是使其在竞争中脱颖而出的主要亮点之一。好吧,有趣的是,IKEv2实际上能够提供与PPTP相似的速度.

基本上,就可用性和易于设置而言,PPTP优于IKEv2的唯一方法。您会看到,PPTP本身内置于大量平台中,因此配置连接非常简单。不过,将来可能不会如此,因为已经开始从某些操作系统的较新版本中删除对PPTP的本机支持。例如,PPTP在iOS 10和macOS Sierra上不再本地可用.

总而言之,如果可能的话,应该始终在PPTP上选择IKEv2.

如果您想了解更多有关PPTP的信息,并弄清为什么它有这么高的风险,请点击此链接.

5. IKEv2与Wireguard

Wireguard是一种非常新的开源VPN协议,显然旨在变得比IPSec更好(隧道协议IKEv2基于该协议)。按照这种逻辑,Wireguard应该比IKEv2更安全,更快,更方便使用-将来很可能会这样.

目前,Wireguard仍处于试验阶段,还不是很稳定,也不能在多个平台上运行。实际上,现在,Wireguard大多只适用于Linux发行版。根据这些基准,Wireguard的速度比IPSec快得多,但这并不一定意味着它现在比IKEv2快,因为IKEv2也比IPSec快。.

因此,当您上网时使用IKEv2仍然更安全.

如果您想了解有关Wireguard的更多信息,请访问我们的指南链接.

6. IKEv2与SoftEther

IKEv2和SoftEther都是相当安全的协议,即使SoftEther由于是开源的而可能更值得信赖,您也可以找到IKEv2的开源实现。两种协议都非常快,尽管SoftEther可能比IKEv2快一点.

关于稳定性,情况有所不同。首先,SoftEther很难通过防火墙进行阻止,因为它运行在端口443(HTTPS端口)上。另一方面,IKEv2的MOBIKE功能可使其无缝抵御网络变化(例如,当您从WiFi连接切换到数据套餐时).

您可能还想知道,尽管SoftEther VPN服务器支持IPSec和L2TP / IPSec协议(以及其他),但它不支持IKEv2 / IPSec协议.

最后,SoftEther比IKEv2更好,但是如果您是移动用户,您可能更喜欢使用IKEv2,尤其是因为它在BlackBerry设备上可用.

如果您想了解有关SoftEther的更多信息,请查看此链接.

7. IKEv2与SSTP

IKEv2和SSTP提供相似的安全级别,但是SSTP使用TCP端口443(通常无法阻止该端口),因此具有更高的防火墙抵抗力。另一方面,SSTP在与IKEv2一样多的平台上不可用。 SSTP仅内置于Windows系统(Vista和更高版本)中,并且可以在路由器,Linux和Android上进一步配置。 IKEv2可在所有这些平台及更多平台(macOS,iOS,FreeBSD和BlackBerry设备)上运行.

IKEv2和SSTP都是由Microsoft开发的,但是IKEv2是由Microsoft和Cisco一起开发的。这使它比Microsoft独资的SSTP更具可信度。SSTP过去曾向NSA授予对加密邮件的访问权限,这也是PRISM监视程序的一部分.

就连接速度而言,两种协议都紧密相关,但是IKEv2很有可能比SSTP更快。为什么?由于SSTP的速度通常与OpenVPN的速度进行比较,因此我们已经提到IKEv2比OpenVPN更快。除此之外,还有一个事实是SSTP仅使用TCP,这比UDP(IKEv2使用的传输协议)慢.

有兴趣了解更多关于SSTP的信息吗?这是我们写的一篇文章.

因此,IKEv2协议是一个不错的选择吗??

是的,IKEv2是安全,流畅的在线体验的理想选择。我们仍然建议您使用OpenVPN或SoftEther,但是如果由于某些原因无法使用这些选项,则IKEv2也可以很好地工作-特别是如果您使用移动设备并且经常出差.

什么是IKEv2?结论

IKEv2是IPSec套件中使用的VPN协议和加密协议.

本质上,它用于建立和验证VPN客户端和VPN服务器之间的安全通信.

IKEv2非常安全,因为它支持强大的加密算法,并且还改善了IKEv1中存在的所有安全漏洞。另外,由于IKEv2支持MOBIKE,因此IKEv2连接可以抵抗网络变化,因此它是移动用户的绝佳选择。.

尽管如此,我们还是建议您选择一个VPN提供商,该提供商可以与IKEv2一起访问多种协议。虽然这对移动用户来说是一个不错的选择,但拥有更好的协议(如OpenVPN和SoftEther)作为其他设备的替代品也不会受到损害.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map