IKEv2とは(IKEV2 VPNプロトコルのガイド)|


IKEv2とは?

IKEv2(Internet Key Exchangeバージョン2)は、要求および応答アクションを処理するVPN暗号化プロトコルです。認証スイート内でSA(セキュリティアソシエーション)属性を確立して処理することにより、トラフィックが安全であることを確認します。IKEv2は基本的にそれに基づいており、それに組み込まれているため、通常はIPSecです。.

IKEv2は、MicrosoftとCiscoによって開発され、IKEv1の後継です.

IKEv2の仕組みは次のとおりです

他のVPNプロトコルと同様に、IKEv2は、VPNクライアントとVPNサーバー間に安全なトンネルを確立する役割を果たします。最初にクライアントとサーバーの両方を認証し、次にどの暗号化方式を使用するかについて合意することにより、

IKEv2がSA属性を処理することはすでに説明しましたが、SAとは何ですか?簡単に言えば、2つのネットワークエンティティ(この場合は、VPNクライアントとVPNサーバー)の間でセキュリティ属性を確立するプロセスです。これは、両方のエンティティに対して同じ対称暗号化キーを生成することによって行われます。上記のキーは、VPNトンネルを通過するすべてのデータを暗号化および復号化するために使用されます.

IKEv2に関する一般的な技術詳細

  • IKEv2は、IPSecの最新の暗号化アルゴリズムと、他の複数の暗号化暗号をサポートしています.
  • 一般に、IKEデーモン(バックグラウンドプロセスとして実行されるプログラム)はユーザー空間(実行中のアプリケーション専用のシステムメモリ)で実行され、IPSecスタックはカーネル空間(オペレーティングシステムのコア)で実行されます。パフォーマンスの向上に役立ちます.
  • IKEプロトコルはUDPパケットとUDPポート500を使用します。通常、SAの作成には4〜6パケットが必要です.
  • IKEは、以下の基本的なセキュリティプロトコルに基づいています。
    • ISAKMP(Internet Security Association and Key Management Protocol)
    • SKEME(多用途の安全な鍵交換メカニズム)
    • OAKLEY(オークリーキー決定プロトコル)
  • IKEv2 VPNプロトコルは、プロトコルがネットワークの変化に抵抗できるようにする機能であるMOBIKE(IKEv2モビリティおよびマルチホーミングプロトコル)をサポートします。.
  • IKEv2はPFS(Perfect Forward Secrecy)をサポートします.
  • IKEv2はCiscoとともにMicrosoftによって開発されましたが、プロトコルのオープンソース実装(OpenIKEv2、Openswan、strongSwanなど)があります。.
  • IKEは、認証プロセスを処理するときにX.509証明書を使用します.

IKEv1とIKEv2

IKEv2とIKEv1の主な違いは次のとおりです。

  • IKEv2は、EAP認証のおかげで、デフォルトでリモートアクセスをサポートしています。.
  • IKEv2は、IKEv1よりも少ない帯域幅を消費するようにプログラムされています.
  • IKEv2 VPNプロトコルは両側に暗号化キーを使用するため、IKEv1よりも安全です.
  • IKEv2はMOBIKEをサポートしているため、ネットワークの変更に抵抗できます.
  • IKEv1には、IKEv2のような組み込みのNATトラバーサルはありません。.
  • IKEv1とは異なり、IKEv2はVPNトンネルが「有効」かどうかを実際に検出できます。この機能により、IKEv2はドロップされた接続を自動的に再確立できます.
  • IKEv2暗号化は、IKEv1よりも多くのアルゴリズムをサポートします.
  • IKEv2は、シーケンス番号と確認応答を改善することにより、信頼性を向上させます.
  • IKEv2プロトコルは、アクションを実行する前に、リクエスターが実際に存在するかどうかを最初に判別します。そのため、DoS攻撃に対してより耐性があります。.

IKEv2は安全ですか?

はい、IKEv2は安全に使用できるプロトコルです。 256ビットの暗号化をサポートし、AES、3DES、Camellia、ChaCha20などの暗号を使用できます。さらに、IKEv2 / IPSecはPFSもサポートしており、プロトコルのMOBIKE機能により、ネットワークの変更時に接続が切断されることがなくなります.

言及する価値のあるもう1つの点は、IKEv2の証明書ベースの認証プロセスにより、要求者のIDが決定および確認されるまでアクションが実行されないことです。.

また、MicrosoftがIKEv2に取り組んだことは事実であり、それほど信頼できる企業ではありません。ただし、これらはプロトコルだけでは機能せず、シスコと一緒に機能しました。また、プロトコルのオープンソース実装が存在するため、IKEv2は完全にクローズドソースではありません.

それでも、IKEv2 / IPSecに関する3つのセキュリティ関連の問題に対処する必要があります。

1.パスワードの問題

2018年に戻って、IKEv1とIKEv2の両方の潜在的なセキュリティの弱点を強調するいくつかの調査が明らかになりました。プロトコルを使用しない限り、IKEv1の問題は問題にはなりません。 IKEv2の問題については、使用されているログインパスワードが弱い場合、比較的簡単にハッキングされる可能性があります。.

それでも、強力なパスワードを使用している場合、通常、これは大きなセキュリティの問題ではありません。サードパーティのVPNサービスがIKEv2ログインパスワードと認証を代行して処理するため、サードパーティのVPNサービスを使用している場合も同じことが言えます。きちんとした安全なプロバイダーを選択する限り、問題はないはずです.

2. NSAによるISAKMPの悪用

ドイツの雑誌Der Spiegelは、NSAがIKEおよびISAKMPを悪用してIPSecトラフィックを復号化できると主張した、漏洩したNSAプレゼンテーションをリリースしました。ご存じない場合は、ISAKMPをIPSecが使用してVPNサービスネゴシエーションを実装します.

残念ながら、詳細は少しあいまいであり、プレゼンテーションが有効であることを保証する正確な方法はありません。この問題について非常に心配している場合は、自分で接続を設定するのではなく、強力な暗号化暗号を使用する信頼できるVPNプロバイダーからIKEv2接続を取得する必要があります。.

3.中間者攻撃

複数の構成をネゴシエートできるようにすることを目的としたIPSec VPN構成は、ダウングレード攻撃(一種の中間者攻撃)を受ける可能性があるようです。これは、IKEv1の代わりにIKEv2が使用されている場合でも発生する可能性があります.

幸いにも、より厳密な構成が使用され、クライアントシステムが複数のサービスアクセスポイントに注意深く分離されている場合、問題は回避できます。つまり、VPNプロバイダーが正しく機能していれば、これについて心配する必要はありません。.

IKEv2は高速か?

はい、IKEv2 / IPSecはまともなオンライン速度を提供します。実際、これはオンラインユーザーが利用できる最速のVPNプロトコルの1つであり、PPTPやSoftEtherと同じくらい高速であることもあります。そして、それはすべて、改善されたアーキテクチャと効率的な応答/要求メッセージ交換プロセスのおかげです。また、UDPポート500で実行されるため、待ち時間が短くなります。.

さらに良いことに、そのMOBIKE機能により、ネットワークを変更したときにIKEv2の速度が低下したり中断されたりすることを心配する必要がありません。.

IKEv2の長所と短所

メリット

  • IKEv2セキュリティは、複数のハイエンド暗号をサポートしているため、非常に強力です.
  • 高いセキュリティ基準にもかかわらず、IKEv2は高速のオンライン速度を提供します.
  • IKEv2は、そのMOBIKEサポートによるネットワークの変更に簡単に抵抗でき、ドロップされた接続を自動的に復元できます.
  • IKEv2はBlackBerryデバイスでネイティブに利用可能で、他のモバイルデバイスでも構成できます.
  • IKEv2 VPN接続のセットアップは比較的簡単です.

短所

  • IKEv2はUDPポート500のみを使用するため、ファイアウォールまたはネットワーク管理者がそれをブロックする可能性があります.
  • IKEv2は、他のプロトコル(PPTP、L2TP、OpenVPN、SoftEther)ほどのクロスプラットフォーム互換性を提供しません.

IKEv2 VPNサポートとは?

IKEv2 VPNサポートは基本的に、サードパーティのVPNプロバイダーがそのサービスを通じてIKEv2 / IPSec接続へのアクセスを提供する場合です。幸い、ますます多くのVPNプロバイダーがモバイルユーザーにとってこのプロトコルがいかに重要であるかを認識し始めているので、以前よりもIKEv2接続を提供するサービスを見つける可能性が高くなります.

それでも、複数のVPNプロトコルへのアクセスを提供するVPNプロバイダーを選択することをお勧めします。 IKEv2 / IPSecはモバイルでの優れたプロトコルですが、自宅で他のデバイスを使用している場合でも、適切なバックアップ(OpenVPNやSoftEtherなど)を使用しても問題はありません。

信頼できるIKEv2 VPNが必要?

CactusVPNは、まさに必要なサービスです。 AES、256ビットNIST楕円曲線、SHA-256、およびRSA-2048で保護された高速IKEv2 / IPSec接続を提供します。さらに、私たちはあなたのデータをログに記録しないことであなたのプライバシーを保護します、そして私たちのサービスはDNSリーク保護とキルスイッチも装備しています

さらに、IKEv2が唯一の選択肢ではないことを知っておく必要があります。他のVPNプロトコルへのアクセスも提供しています:OpenVPN、SoftEther、SSTP、L2TP / IPSecおよびPPTP.

非常に簡単にIKEv2接続をセットアップする

CactusVPNを使用すれば、数回クリックするだけでIKEv2 / IPSecトンネルをセットアップできます。非常にユーザーフレンドリーな複数のクロスプラットフォーム互換クライアントを提供しています.

CactusVPNアプリ

私たちのサービスを今すぐ無料でお試しください

CactusVPNがあなたのために何ができるか見てみたいですか?まずは無料の24時間トライアルをお試しください。クレジットカードの詳細を提供する必要はなく、ソーシャルメディア情報で簡単にサインアップできます.

さらに、CactusVPNユーザーになると、サービスが宣伝どおりに機能しない場合、30日間の返金保証が提供されます。.

IKEv2と他のVPNプロトコル

始める前に、このセクションでIKEv2について説明するときは、VPNプロバイダーが一般的に提供しているプロトコルであるため、IKEv2 / IPSecについて言及することを述べておく必要があります。また、IKEv2は、IPSec内に構築されたプロトコルであるため、通常はそれ自体で使用することはできません(そのため、IKEv2とペアになっています)。それが邪魔にならないように、始めましょう。

1. IKEv2とL2TP / IPSecの比較

L2TPとIKEv2はどちらも、VPNプロバイダーから提供されると、通常IPSecとペアになります。つまり、同じレベルのセキュリティを提供する傾向があります。それでも、L2TP / IPSecはクローズドソースですが、IKEv2のオープンソース実装があります。それと、Snowdenは、NSAがL2TP / IPSecを弱体化させたと主張していますが、その主張を裏付ける実際の証拠はありません.

L2TP / IPSecは二重のカプセル化機能によりリソースを集中的に使用するため、IKEv2 / IPSecはL2TP / IPSecよりも高速で、VPNトンネルのネゴシエーションにも時間がかかります。また、IPSecとペアになっているため、両方のプロトコルはほとんど同じポートを使用しますが、L2TP / IPSecは、NATファイアウォールでブロックする方が簡単な場合があります。特に、L2TPパススルーが有効になっていない場合は特にそうです。ルーター.

また、安定性のトピックについて説明しますが、IKEv2はネットワークの変更に抵抗できるため、L2TP / IPSecよりもはるかに安定していることにも言及しておく必要があります。つまり、IKEv2接続を停止することなく、WiFi接続からデータプラン接続に切り替えることができます。 IKEv2接続がダウンしても、すぐに復元されることは言うまでもありません.

アクセシビリティに関しては、L2TP / IPSecはIKEv2 / IPSecよりも多くのプラットフォームでネイティブに利用できますが、IKEv2はBlackBerryデバイスで利用できます.

全体として、IKEv2 / IPSecはモバイルユーザーにとってより良い選択であるように思われますが、L2TP / IPSecは他のデバイスでうまく機能します.

L2TPについて詳しく知りたい場合は、このリンクをクリックしてください。.

2. IKEv2とIPSec

IKEv2 / IPSecは、IKESecの高速性と安定性に加えてIPSecのセキュリティ上の利点を提供するため、あらゆる点でIPSecよりもはるかに優れています。また、IKEv2はIPSecプロトコルスイート内で使用されるプロトコルであるため、IKEv2自体をIPSecと実際に比較することはできません。また、IKEv2は基本的にIPSecトンネリングに基づいています.

IPSecの詳細については、IPSecに関する記事をご覧ください。.

3. IKEv2対OpenVPN

OpenVPNはセキュリティが強化されているためオンラインユーザーに非常に人気がありますが、IKEv2が同様のレベルの保護を提供できることを知っておく必要があります。 IKEv2はIPレベルで情報を保護し、OpenVPNはトランスポートレベルで情報を保護することは事実ですが、大きな違いをもたらすものではありません.

ただし、OpenVPNがオープンソースであることにより、IKEv2よりも魅力的なオプションになることは否定できません。もちろん、IKEv2のオープンソース実装を使用する場合、これはそれほど大きな問題にはなりません。.

オンライン速度の点では、IKEv2は通常、OpenVPNがUDP伝送プロトコルを使用している場合でも、OpenVPNよりも高速です。一方、プロトコルはHTTPSトラフィックポートであるポート443を使用するため、ネットワーク管理者がOpenVPN接続をブロックすることははるかに困難です。 IKEv2は残念ながら、UDPポート500のみを使用しており、ネットワーク管理者は他の重要なオンライントラフィックの停止を心配する必要なくブロックできます.

接続の安定性に関しては、どちらのプロトコルもかなりうまくいきますが、IKEv2はネットワークの変化に抵抗できるため、モバイルデバイスのOpenVPNを上回ります。 OpenVPNが「float」コマンドで同じことを実行するように構成できることは事実ですが、IKEv2ほど効率的で安定していません.

クロスプラットフォームのサポートに関して、IKEv2はOpenVPNに少し遅れていますが、BlackBerryデバイスでは動作します。また、IKEv2は通常、使用可能なプラットフォームにネイティブに統合されているため、セットアップが少し簡単です。.

OpenVPNについてもっと知りたいですか?これは私たちが書いた詳細なガイドです

4. IKEv2対PPTP

IKEv2は一般に、PPTPよりもはるかに安全であるため、PPTPよりもはるかに優れた選択肢です。 1つは、256ビットの暗号化キーとAESなどのハイエンド暗号をサポートすることです。また、私たちが知る限り、IKEv2トラフィックはNSAによってまだクラックされていません。 PPTPトラフィックについても同じことが言えません.

その上、PPTPはIKEv2よりもはるかに安定性が低くなります。 IKEv2のように簡単にネットワークの変更に抵抗することはできません。さらに悪いことに、PPTPはNATでネイティブにサポートされていないため、ファイアウォール、特にNATファイアウォールでブロックするのは非常に簡単です。実際、ルーターでPPTPパススルーが有効になっていない場合、PPTP接続を確立することさえできません。.

通常、PPTPの競争で際立っている主なハイライトの1つは、非常に高速であることです。面白いことに、IKEv2は実際にはPPTPが提供する速度と同様の速度を提供できます。.

基本的に、PPTPがIKEv2より優れている唯一の方法は、可用性とセットアップの容易さに関してです。ご覧のとおり、PPTPは多くのプラットフォームにネイティブに組み込まれているため、接続の構成は非常に簡単です。それでも、PPTPのネイティブサポートが一部のオペレーティングシステムの新しいバージョンから削除されているため、将来的にはそうではない可能性があります。たとえば、PPTPはiOS 10およびmacOS Sierraではネイティブで利用できなくなりました.

全体として、可能な場合は常にPPTP経由でIKEv2を選択する必要があります.

PPTPについて詳しく知り、それがなぜこのような危険なオプションであるのかを知りたい場合は、このリンクをクリックしてください。.

5. IKEv2対Wireguard

Wireguardは非常に新しいオープンソースVPNプロトコルで、IPSec(トンネリングプロトコルIKEv2がベースになっています)よりもはるかに優れたものになることを目指しています。そのロジックにより、WireguardはIKEv2よりも安全で、高速で、使い勝手がよくなるはずです。将来的には、その可能性が非常に高くなるでしょう。.

それでも、現時点では、Wireguardは実験段階にあり、あまり安定しておらず、複数のプラットフォームで動作しません。実際、現在、WireguardはほとんどLinuxディストリビューションでのみ動作します。これらのベンチマークによると、WireguardはIPSecよりもはるかに高速ですが、IKEv2もIPSecよりも高速であるため、必ずしも現時点でIKEv2よりも高速であるとは限りません。.

したがって、インターネットに接続しているときにIKEv2を使用する方が安全です。.

Wireguardの詳細については、こちらのガイドへのリンクをご覧ください。.

6. IKEv2とSoftEtherの比較

IKEv2とSoftEtherはどちらもかなり安全なプロトコルです。SoftEtherはオープンソースであるため信頼性が高いかもしれませんが、IKEv2のオープンソース実装も見つけることができます。どちらのプロトコルも非常に高速ですが、SoftEtherはIKEv2よりも少し高速かもしれません.

安定性に関しては、状況は異なります。まず、SoftEtherはポート443(HTTPSポート)で実行されるため、ファイアウォールでブロックするのがはるかに困難です。一方、IKEv2のMOBIKE機能により、ネットワークの変化にシームレスに抵抗できます(WiFi接続からデータプランへの切り替え時など)。.

SoftEther VPNサーバーは(特に)IPSecおよびL2TP / IPSecプロトコルをサポートしていますが、IKEv2 / IPSecプロトコルはサポートしていないことも知っておいてください。.

結局のところ、SoftEtherはIKEv2よりもはるかに優れたオプションですが、モバイルユーザーの場合はIKEv2を使用することをお勧めします(特にBlackBerryデバイスで利用できるため)。.

SoftEtherの詳細については、こちらのリンクをご覧ください。.

7. IKEv2とSSTP

IKEv2とSSTPは同じレベルのセキュリティを提供しますが、SSTPは通常はブロックできないTCPポート443を使用するため、ファイアウォールに対する耐性がはるかに高くなります。一方、SSTPは、IKEv2ほど多くのプラットフォームで利用できません。 SSTPはWindowsシステム(Vista以降)にのみ組み込まれており、ルーター、Linux、Androidでさらに構成できます。 IKEv2はこれらすべてのプラットフォーム(macOS、iOS、FreeBSD、BlackBerryデバイスなど)で動作します.

IKEv2とSSTPの両方がMicrosoftによって開発されましたが、IKEv2はMicrosoftとCiscoによって開発されました。これにより、過去に暗号化されたメッセージへのNSAアクセスを提供したMicrosoftのみが所有するSSTPよりも少し信頼性が高くなり、PRISM監視プログラムの一部でもあります。.

接続速度の点では、どちらのプロトコルもかなり密接ですが、IKEv2はSSTPよりも高速である可能性が非常に高くなります。どうして? SSTPの速度はOpenVPNの速度と比較されることが多く、IKEv2はOpenVPNよりも高速であることはすでに説明しました。その上、SSTPはTCP(UDP(IKEv2で使用される伝送プロトコル)よりも遅い)のみを使用するという事実もあります。.

SSTPについて詳しく知りたいですか?ここに私たちが書いた記事があります.

それで、IKEv2プロトコルは良い選択ですか?

はい、IKEv2は安全でスムーズなオンライン体験のための優れたオプションです。 OpenVPNまたはSoftEtherを使用することをお勧めしますが、これらのオプションが何らかの理由で利用できない場合でも、IKEv2は適切に機能します。特に、モバイルを使用しており、頻繁に旅行する場合.

IKEv2とは結論として

IKEv2は、IPSecスイート内で使用されるVPNプロトコルと暗号化プロトコルの両方です.

基本的に、VPNクライアントとVPNサーバー間の安全な通信を確立および認証するために使用されます.

IKEv2は強力な暗号化暗号をサポートしているため、非常に安全に使用でき、IKEv1にあったすべてのセキュリティ上の欠陥も改善されました。また、IKEv2は、ネットワークの変更に抵抗するIKEv2接続を可能にするMOBIKEサポートにより、モバイルユーザーに最適です。.

それでも、IKEv2とともに複数のプロトコルへのアクセスを提供するVPNプロバイダーを選択することをお勧めします。モバイルユーザーにとっては優れたオプションですが、他のデバイスの代替としてさらに優れたプロトコル(OpenVPNやSoftEtherなど)を使用しても問題はありません.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map