O que é o IKEv2? (Seu guia para o protocolo VPN IKEV2) |


O que é o IKEv2?

O IKEv2 (Internet Key Exchange versão 2) é um protocolo de criptografia VPN que lida com ações de solicitação e resposta. Ele garante que o tráfego seja seguro, estabelecendo e manipulando o atributo SA (Security Association) em um conjunto de autenticação - geralmente IPSec, já que o IKEv2 é basicamente baseado nele e incorporado a ele.

O IKEv2 foi desenvolvido pela Microsoft em conjunto com a Cisco e é o sucessor do IKEv1.

Veja como o IKEv2 funciona

Como qualquer protocolo VPN, o IKEv2 é responsável por estabelecer um túnel seguro entre o cliente VPN e o servidor VPN. Para isso, primeiro autentica o cliente e o servidor e, em seguida, concorda em quais métodos de criptografia serão usados.

Já mencionamos que o IKEv2 lida com o atributo SA, mas o que é SA? Simplificando, é o processo de estabelecer atributos de segurança entre duas entidades da rede (nesse caso, o cliente VPN e o servidor VPN). Faz isso gerando a mesma chave de criptografia simétrica para ambas as entidades. Essa chave é usada para criptografar e descriptografar todos os dados que trafegam pelo túnel da VPN.

Detalhes técnicos gerais sobre o IKEv2

  • O IKEv2 suporta os mais recentes algoritmos de criptografia do IPSec, além de várias outras cifras de criptografia.
  • Geralmente, o daemon IKE (um programa que é executado como um processo em segundo plano) é executado no espaço do usuário (memória do sistema dedicada à execução de aplicativos) enquanto a pilha IPSec é executada no espaço do kernel (o núcleo do sistema operacional). Isso ajuda a aumentar o desempenho.
  • O protocolo IKE usa pacotes UDP e porta UDP 500. Normalmente, são necessários de quatro a seis pacotes para criar o SA.
  • O IKE é baseado nos seguintes protocolos de segurança subjacentes:
    • ISAKMP (Associação de Segurança da Internet e Protocolo de Gerenciamento de Chaves)
    • SKEME (Mecanismo versátil de troca segura de chaves)
    • OAKLEY (Protocolo de determinação de chaves da Oakley)
  • O protocolo VPN IKEv2 suporta o MOBIKE (IKEv2 Mobility and Multihoming Protocol), uma função que permite ao protocolo resistir a alterações na rede.
  • O IKEv2 suporta PFS (Perfect Forward Secrecy).
  • Embora o IKEv2 tenha sido desenvolvido pela Microsoft em conjunto com a Cisco, existem implementações de código-fonte aberto do protocolo (como OpenIKEv2, Openswan e strongSwan).
  • O IKE usa certificados X.509 quando lida com o processo de autenticação.

IKEv1 vs. IKEv2

Aqui está uma lista das principais diferenças entre IKEv2 e IKEv1:

  • O IKEv2 oferece suporte para acesso remoto por padrão, graças à sua autenticação EAP.
  • O IKEv2 está programado para consumir menos largura de banda que o IKEv1.
  • O protocolo VPN IKEv2 usa chaves de criptografia para ambos os lados, tornando-o mais seguro que o IKEv1.
  • O IKEv2 tem suporte ao MOBIKE, o que significa que pode resistir a alterações na rede.
  • O IKEv1 não possui passagem NAT integrada, como o IKEv2.
  • Ao contrário do IKEv1, o IKEv2 pode realmente detectar se um túnel da VPN está "vivo" ou não. Esse recurso permite que o IKEv2 restabeleça automaticamente uma conexão descartada.
  • A criptografia IKEv2 suporta mais algoritmos que o IKEv1.
  • O IKEv2 oferece melhor confiabilidade por meio de números de sequência e reconhecimentos aprimorados.
  • O protocolo IKEv2 determinará primeiro se o solicitante realmente existe antes de continuar a executar alguma ação. Por isso, é mais resistente a ataques DoS.

O IKEv2 é seguro?

Sim, o IKEv2 é um protocolo seguro de usar. Ele suporta criptografia de 256 bits e pode usar cifras como AES, 3DES, Camellia e ChaCha20. Além disso, o IKEv2 / IPSec também suporta PFS +, o recurso MOBIKE do protocolo garante que sua conexão não seja interrompida ao mudar de rede.

O que é o IKEv2? (Seu guia para o protocolo VPN IKEV2) |

Outra coisa que vale a pena mencionar é que o processo de autenticação baseada em certificado do IKEv2 garante que nenhuma ação seja tomada até que a identidade do solicitante seja determinada e confirmada.

Além disso, é verdade que a Microsoft trabalhou no IKEv2 e essa não é uma empresa muito confiável. No entanto, eles não trabalharam apenas no protocolo, mas em conjunto com a Cisco. Além disso, o IKEv2 não é completamente fechado, pois existem implementações de código aberto do protocolo.

Ainda assim, devemos abordar três questões relacionadas à segurança relacionadas ao IKEv2 / IPSec:

1. Problemas de senha

Em 2018, surgiram algumas pesquisas que destacavam as possíveis fraquezas de segurança do IKEv1 e IKEv2. Os problemas do IKEv1 não devem realmente preocupá-lo, desde que você não use o protocolo. Quanto ao problema do IKEv2, parece que ele pode ser invadido com relativa facilidade se a senha de login usada por ele for fraca.

Ainda assim, isso normalmente não é uma grande preocupação de segurança se você estiver usando uma senha forte. O mesmo pode ser dito se você estiver usando um serviço VPN de terceiros, pois eles manipularão as senhas de login IKEv2 e a autenticação em seu nome. Desde que você escolha um provedor decente e seguro, não haverá problemas.

2. Exploração de ISAKMP pela NSA

A revista alemã Der Spiegel divulgou apresentações vazadas da NSA que alegavam que a NSA era capaz de explorar o IKE e o ISAKMP para descriptografar o tráfego IPSec. Caso você não saiba, o ISAKMP é usado pelo IPSec para implementar negociações de serviço VPN.

Infelizmente, os detalhes são um pouco vagos e não há maneira exata de garantir que as apresentações sejam válidas. Caso esteja muito preocupado com esse problema, evite configurar a conexão por conta própria e obtenha uma conexão IKEv2 de um provedor VPN confiável que use cifras de criptografia poderosas.

3. Ataques do homem do meio

Parece que as configurações de VPN IPSec destinadas a permitir a negociação de várias configurações podem ser potencialmente sujeitas a ataques de downgrade (um tipo de ataques Man-in-the-Middle). Isso pode acontecer mesmo se o IKEv2 for usado em vez do IKEv1.

Felizmente, o problema pode ser evitado se configurações mais rígidas forem usadas e se os sistemas do cliente forem cuidadosamente segregados em vários pontos de acesso ao serviço. O que isso significa em inglês é que, se o provedor de VPN faz seu trabalho corretamente, você não precisa se preocupar com isso..

O IKEv2 é rápido?

Sim, o IKEv2 / IPSec oferece velocidades online decentes. Na verdade, é um dos protocolos VPN mais rápidos disponíveis para usuários on-line - potencialmente até tão rápido quanto PPTP ou SoftEther. E tudo isso graças à sua arquitetura aprimorada e ao processo eficiente de troca de mensagens de resposta / solicitação. Além disso, o fato de ser executado na porta UDP 500 garante uma baixa latência.

Melhor ainda, devido ao seu recurso MOBIKE, você não precisa se preocupar com a velocidade do IKEv2 que diminui ou é interrompida quando você muda de rede.

Vantagens e desvantagens do IKEv2

Vantagens

  • A segurança do IKEv2 é bastante forte, pois suporta várias cifras de última geração.
  • Apesar de seu alto padrão de segurança, o IKEv2 oferece altas velocidades online.
  • O IKEv2 pode resistir facilmente a alterações na rede devido ao seu suporte ao MOBIKE, e pode restaurar automaticamente as conexões perdidas.
  • O IKEv2 está disponível nativamente em dispositivos BlackBerry e também pode ser configurado em outros dispositivos móveis.
  • Configurar uma conexão VPN IKEv2 é relativamente simples.

Desvantagens

  • Como o IKEv2 usa apenas a porta UDP 500, um firewall ou administrador de rede pode bloqueá-lo..
  • O IKEv2 não oferece tanta compatibilidade entre plataformas como outros protocolos (PPTP, L2TP, OpenVPN, SoftEther).

O que é suporte a VPN IKEv2?

O suporte à VPN IKEv2 é basicamente quando um provedor de VPN de terceiros oferece acesso às conexões IKEv2 / IPSec por meio de seu serviço. Felizmente, mais e mais provedores de VPN começaram a reconhecer a importância desse protocolo para os usuários móveis, portanto, é mais provável que você encontre serviços que oferecem conexões IKEv2 agora do que antes.

Ainda assim, recomendamos escolher um provedor de VPN que ofereça acesso a vários protocolos de VPN. Embora o IKEv2 / IPSec seja um ótimo protocolo para dispositivos móveis, não é necessário ter um backup decente (como OpenVPN ou SoftEther) quando você estiver usando outros dispositivos em casa

Precisa de uma VPN IKEv2 na qual você possa confiar?

CactusVPN é apenas o serviço que você precisa. Oferecemos conexões IKEv2 / IPSec de alta velocidade, protegidas com AES, curva elíptica NIST de 256 bits, SHA-256 e RSA-2048. Além disso, protegemos sua privacidade, não registrando nenhum dos seus dados, e nosso serviço é equipado com proteção contra vazamento de DNS e também um Killswitch

Além disso, você deve saber que o IKEv2 não será a única opção à sua disposição. Também oferecemos acesso a outros protocolos VPN: OpenVPN, SoftEther, SSTP, L2TP / IPSec e PPTP.

Configurar uma conexão IKEv2 com extrema facilidade

Você pode configurar um túnel IKEv2 / IPSec com apenas alguns cliques se usar o CactusVPN. Oferecemos vários clientes compatíveis com várias plataformas, que são muito fáceis de usar.

CactusVPN app

Experimente nossos serviços gratuitamente agora

Interessado em ver o que o CactusVPN pode fazer por você? Por que não experimentar nosso teste gratuito de 24 horas primeiro? Você não precisa fornecer detalhes do cartão de crédito e pode se inscrever facilmente com suas informações de mídia social.

Além disso, quando você se tornar um usuário do CactusVPN, ficará feliz em saber que oferecemos uma garantia de devolução do dinheiro em 30 dias se o serviço não funcionar como anunciado.

IKEv2 vs. outros protocolos VPN

Antes de começarmos, devemos mencionar que, quando discutiremos o IKEv2 nesta seção, nos referiremos ao IKEv2 / IPSec, pois esse é o protocolo que os provedores de VPN geralmente oferecem. Além disso, o IKEv2 normalmente não pode ser usado por conta própria, pois é um protocolo criado dentro do IPSec (e é por isso que está emparelhado com ele). Com isso fora do caminho, vamos começar:

1. IKEv2 vs. L2TP / IPSec

Geralmente, o L2TP e o IKEv2 são emparelhados com o IPSec quando oferecidos por provedores de VPN. Isso significa que eles tendem a oferecer o mesmo nível de segurança. Ainda assim, enquanto o L2TP / IPSec é de código fechado, há implementações de código aberto do IKEv2. Isso e Snowden alegou que a NSA enfraqueceu o L2TP / IPSec, embora não haja evidências reais para apoiar essa afirmação..

O IKEv2 / IPSec é mais rápido que o L2TP / IPSec, pois o L2TP / IPSec consome mais recursos devido ao seu recurso de encapsulamento duplo e também leva mais tempo para negociar um túnel VPN. E, embora ambos os protocolos usem praticamente as mesmas portas devido ao pareamento com o IPSec, o L2TP / IPSec pode ser mais fácil de bloquear com um firewall NAT, pois o L2TP às vezes costuma não funcionar bem com o NAT - especialmente se o Passagem L2TP não estiver ativado em o roteador.

Além disso, enquanto discutimos a estabilidade, é preciso mencionar que o IKEv2 é muito mais estável que o L2TP / IPSec, pois pode resistir a alterações na rede. Basicamente, isso significa que você pode alternar de uma conexão WiFi para uma conexão de plano de dados sem que a conexão IKEv2 seja desativada. Sem mencionar que, mesmo se uma conexão IKEv2 for desativada, ela será restaurada imediatamente.

Quanto à acessibilidade, o L2TP / IPSec está disponível nativamente em mais plataformas do que o IKEv2 / IPSec, mas o IKEv2 está disponível em dispositivos BlackBerry.

No geral, parece que o IKEv2 / IPSec é uma escolha melhor para usuários móveis, enquanto o L2TP / IPSec funciona bem para outros dispositivos.

Caso queira saber mais sobre o L2TP, siga este link.

2. IKEv2 vs. IPSec

O IKEv2 / IPSec é praticamente melhor em todos os aspectos do que o IPSec, pois oferece os benefícios de segurança do IPSec, além das altas velocidades e estabilidade do IKEv2. Além disso, você não pode comparar o IKEv2 por si só com o IPSec, já que o IKEv2 é um protocolo usado no conjunto de protocolos IPSec. Além disso, o IKEv2 é essencialmente baseado no encapsulamento IPSec.

Se você quiser ler mais sobre o IPSec, confira nosso artigo sobre ele.

3. IKEv2 vs. OpenVPN

O OpenVPN é extremamente popular entre os usuários online devido à sua segurança aprimorada, mas você deve saber que o IKEv2 pode oferecer um nível de proteção semelhante. É verdade que o IKEv2 protege as informações no nível do IP, enquanto o OpenVPN faz isso no nível do Transporte, mas não é realmente algo que deve fazer uma enorme diferença..

O que é o IKEv2? (Seu guia para o protocolo VPN IKEV2) |

No entanto, não podemos negar o fato de o OpenVPN ser de código aberto o torna uma opção mais atraente do que o IKEv2. Obviamente, isso não se tornará um problema tão grande se você usar implementações de código aberto do IKEv2.

Em termos de velocidade online, o IKEv2 é geralmente mais rápido que o OpenVPN - mesmo quando o OpenVPN usa o protocolo de transmissão UDP. Por outro lado, é muito mais difícil para um administrador de rede bloquear conexões OpenVPN, pois o protocolo usa a porta 443, que é a porta de tráfego HTTPS. Infelizmente, o IKEv2 usa apenas a porta 500 UDP que um administrador de rede pode bloquear sem ter que se preocupar em interromper outro tráfego on-line vital.

Quanto à estabilidade da conexão, ambos os protocolos se saem muito bem, mas o IKEv2 ultrapassa o OpenVPN em dispositivos móveis, pois pode resistir a alterações na rede. É verdade que o OpenVPN pode ser configurado para fazer o mesmo com o comando "float", mas não é tão eficiente e estável quanto o IKEv2.

Em relação ao suporte multiplataforma, o IKEv2 está um pouco atrás do OpenVPN, mas funciona em dispositivos BlackBerry. Além disso, o IKEv2 geralmente é um pouco mais fácil de configurar, pois normalmente é integrado nativamente às plataformas nas quais está disponível..

Deseja saber mais sobre o OpenVPN? Aqui está um guia detalhado que escrevemos sobre isso

4. IKEv2 x PPTP

O IKEv2 geralmente é uma escolha muito melhor que o PPTP, simplesmente porque é muito mais seguro do que isso. Por um lado, oferece suporte para chaves de criptografia de 256 bits e cifras de última geração, como o AES. Além disso, até onde sabemos, o tráfego IKEv2 ainda não foi quebrado pela NSA. O mesmo não pode ser dito sobre o tráfego PPTP.

Além disso, o PPTP é muito menos estável que o IKEv2. Ele não resiste a alterações de rede com facilidade como o IKEv2 e, ainda pior, é extremamente fácil bloquear com um firewall - especialmente um firewall NAT, pois o PPTP não é suportado nativamente pelo NAT. De fato, se a Passagem PPTP não estiver ativada em um roteador, uma conexão PPTP não poderá ser estabelecida..

Normalmente, um dos principais destaques do PPTP que o destaca da concorrência é a velocidade muito alta. Bem, o engraçado é que o IKEv2 é realmente capaz de oferecer velocidades semelhantes às oferecidas pelo PPTP.

Basicamente, a única maneira de o PPTP ser melhor que o IKEv2 é quando se trata de disponibilidade e facilidade de configuração. Veja bem, o PPTP é nativo em várias plataformas, portanto, configurar uma conexão é extremamente simples. Ainda assim, isso pode não ser o caso no futuro, pois o suporte nativo ao PPTP começou a ser removido das versões mais recentes de alguns sistemas operacionais. Por exemplo, o PPTP não está mais disponível nativamente no iOS 10 e no macOS Sierra.

Em suma, você sempre deve escolher IKEv2 sobre PPTP, se possível.

Se você quiser saber mais sobre o PPTP e descobrir por que essa opção é tão arriscada, siga este link.

5. IKEv2 vs. Wireguard

O Wireguard é um protocolo VPN de código aberto muito novo que aparentemente visa se tornar significativamente melhor que o IPSec (o protocolo de encapsulamento no qual o IKEv2 se baseia). Por essa lógica, o Wireguard deve ser mais seguro, mais rápido e mais conveniente de usar do que o IKEv2 - e isso pode muito bem ser o caso no futuro.

Ainda assim, no momento, o Wireguard está apenas na fase experimental e não é muito estável, nem funciona em várias plataformas. De fato, no momento, o Wireguard funciona principalmente em distribuições Linux. De acordo com esses benchmarks, o Wireguard é muito mais rápido que o IPSec, embora isso não signifique necessariamente que seja mais rápido que o IKEv2 no momento, já que o IKEv2 é mais rápido que o IPSec também.

Portanto, ainda é mais seguro usar o IKEv2 quando você estiver na Internet.

Caso você queira saber mais sobre o Wireguard, aqui está um link para o nosso guia.

6. IKEv2 vs. SoftEther

O IKEv2 e o SoftEther são protocolos razoavelmente seguros e, embora o SoftEther possa ser mais confiável por ser de código aberto, você também pode encontrar implementações de código aberto do IKEv2. Ambos os protocolos também são muito rápidos, embora o SoftEther possa ser um pouco mais rápido que o IKEv2.

O que é o IKEv2? (Seu guia para o protocolo VPN IKEV2) |

Quando se trata de estabilidade, as coisas são diferentes. Por um lado, o SoftEther é muito mais difícil de bloquear com um firewall porque é executado na porta 443 (a porta HTTPS). Por outro lado, o recurso MOBIKE do IKEv2 permite resistir perfeitamente a alterações na rede (como quando você alterna de uma conexão WiFi para uma de plano de dados).

Também pode ser interessante saber que, embora o servidor VPN SoftEther tenha suporte para os protocolos IPSec e L2TP / IPSec (entre outros), ele não tem suporte para o protocolo IKEv2 / IPSec.

No final, o SoftEther é praticamente uma opção melhor do que o IKEv2, embora você prefira usar o IKEv2 se for um usuário móvel - especialmente porque ele está disponível em aparelhos BlackBerry.

Se você quiser saber mais sobre o SoftEther, acesse este link.

7. IKEv2 vs. SSTP

O IKEv2 e o SSTP oferecem um nível de segurança semelhante, mas o SSTP é muito mais resistente a firewall, pois usa a porta TCP 443, uma porta que normalmente não pode ser bloqueada. Por outro lado, o SSTP não está disponível em tantas plataformas quanto o IKEv2. O SSTP é incorporado apenas nos sistemas Windows (Vista e superior) e pode ser configurado ainda mais em roteadores, Linux e Android. O IKEv2 funciona em todas essas plataformas e mais (dispositivos macOS, iOS, FreeBSD e BlackBerry).

O IKEv2 e o SSTP foram desenvolvidos pela Microsoft, mas o IKEv2 foi desenvolvido pela Microsoft em conjunto com a Cisco. Isso o torna um pouco mais confiável do que o SSTP, que pertence exclusivamente à Microsoft - uma empresa que concedeu à NSA acesso a mensagens criptografadas no passado e que também faz parte do programa de vigilância PRISM.

Em termos de velocidade de conexão, os dois protocolos estão bastante vinculados, mas é muito provável que o IKEv2 seja mais rápido que o SSTP. Por quê? Como as velocidades do SSTP geralmente são comparadas às do OpenVPN, e já mencionamos que o IKEv2 é mais rápido que o OpenVPN. Além disso, também existe o fato de o SSTP usar apenas TCP, que é mais lento que o UDP (o protocolo de transmissão usado pelo IKEv2).

Interessado em aprender mais sobre SSTP? Aqui está um artigo que escrevemos sobre isso.

Então, o protocolo IKEv2 é uma boa escolha?

Sim, o IKEv2 é uma boa opção para uma experiência on-line segura e tranquila. Ainda recomendamos que você use o OpenVPN ou o SoftEther, mas se essas opções não estiverem disponíveis por algum motivo, o IKEv2 também funcionará bem - especialmente se você usar seu celular e viajar com frequência.

O que é o IKEv2? Em conclusão

O IKEv2 é um protocolo VPN e um protocolo de criptografia usado no pacote IPSec.

Essencialmente, é usado para estabelecer e autenticar uma comunicação segura entre um cliente VPN e um servidor VPN.

O IKEv2 é muito seguro de usar, pois suporta cifras de criptografia poderosas e também melhorou todas as falhas de segurança presentes no IKEv1. Além disso, o IKEv2 é uma excelente opção para usuários móveis, devido ao seu suporte MOBIKE, que permite que as conexões IKEv2 resistam a alterações na rede..

Ainda assim, recomendamos escolher um provedor de VPN que ofereça acesso a vários protocolos ao lado do IKEv2. Embora seja uma ótima opção para usuários móveis, não é necessário ter protocolos ainda melhores (como OpenVPN e SoftEther) como uma alternativa para outros dispositivos.

O que é o IKEv2? (Seu guia para o protocolo VPN IKEV2) |
admin Author
Sorry! The Author has not filled his profile.
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 4 = 2

map