Какво е IKEv2? (Вашето ръководство за IKEV2 VPN протокол) |


Какво е IKEv2?

IKEv2 (Internet Key Exchange версия 2) е протокол за криптиране на VPN, който обработва действия за заявка и отговор. Той гарантира, че трафикът е защитен чрез установяване и обработка на атрибута SA (Security Association) в рамките на пакет за удостоверяване - обикновено IPSec, тъй като IKEv2 е базиран на него и е вграден.

IKEv2 е разработен от Microsoft заедно с Cisco и е наследник на IKEv1.

Ето как работи IKEv2

Както всеки VPN протокол, IKEv2 е отговорен за създаването на защитен тунел между VPN клиента и VPN сървъра. Това прави, като първо се автентифицира както клиента, така и сървъра и след това се съгласи кои методи за криптиране ще се използват

Вече споменахме, че IKEv2 обработва атрибута SA, но какво е SA? Най-просто казано, това е процесът на установяване на атрибути за сигурност между две мрежови субекти (в случая VPN клиента и VPN сървъра). Това прави, като генерира един и същ симетричен ключ за криптиране и за двете единици. Споменатият ключ след това се използва за криптиране и декриптиране на всички данни, които пътуват през VPN тунела.

Общи технически подробности за IKEv2

  • IKEv2 поддържа най-новите алгоритми за криптиране на IPSec, наред с множество други криптиращи шифри.
  • Като цяло демон IKE (програма, която се изпълнява като фонов процес) работи в потребителското пространство (системна памет, посветена на работещи приложения), докато стекът IPSec работи в пространството на ядрото (ядрото на операционната система). Това помага за повишаване на производителността.
  • Протоколът IKE използва UDP пакети и UDP порт 500. Обикновено са необходими четири до шест пакета за създаване на SA.
  • IKE се основава на следните основни протоколи за сигурност:
    • ISAKMP (Асоциация за интернет сигурност и протокол за управление на ключовете)
    • SKEME (Универсален механизъм за обмен на сигурни ключове)
    • OAKLEY (протокол за определяне на ключовете на Oakley)
  • Протоколът IKEv2 VPN поддържа MOBIKE (IKEv2 Mobility and Multihoming Protocol), функция, която позволява на протокола да се съпротивлява на промените в мрежата..
  • IKEv2 поддържа PFS (Perfect Forward Secret).
  • Докато IKEv2 е разработен от Microsoft заедно с Cisco, има реализации на отворен код на протокола (като OpenIKEv2, Openswan и strongSwan).
  • IKE използва сертификати X.509, когато обработва процеса на удостоверяване.

IKEv1 срещу IKEv2

Ето списък на основните разлики между IKEv2 и IKEv1:

  • IKEv2 предлага поддръжка за отдалечен достъп по подразбиране благодарение на автентификацията си EAP.
  • IKEv2 е програмиран да консумира по-малка честотна лента от IKEv1.
  • Протоколът IKEv2 VPN използва ключове за криптиране и за двете страни, което го прави по-сигурен от IKEv1.
  • IKEv2 има поддръжка на MOBIKE, което означава, че може да устои на промените в мрежата.
  • IKEv1 няма вградено NAT траверса, както IKEv2.
  • За разлика от IKEv1, IKEv2 всъщност може да открие дали VPN тунелът е „жив“ или не. Тази функция позволява на IKEv2 автоматично да възстановява прекъсната връзка.
  • Криптирането на IKEv2 поддържа повече алгоритми от IKEv1.
  • IKEv2 предлага по-добра надеждност чрез подобрени номера на поредици и потвърждения.
  • Протоколът IKEv2 първо ще определи дали заявителят действително съществува, преди да пристъпи към извършване на някакви действия. Поради това той е по-устойчив на DoS атаки.

Безопасен ли е IKEv2?

Да, IKEv2 е безопасен за използване протокол. Той поддържа 256-битово криптиране и може да използва шифри като AES, 3DES, Camellia и ChaCha20. Нещо повече, IKEv2 / IPSec също поддържа PFS + функцията MOBIKE на протокола гарантира, че връзката ви няма да бъде прекъсната при смяна на мрежи.

Какво е IKEv2? (Вашето ръководство за IKEV2 VPN протокол) |

Друго, което си струва да се спомене, е, че процесът на удостоверяване, базиран на сертификати на IKEv2, гарантира, че не се предприемат действия, докато идентифицирането на заявителя не бъде определено и потвърдено.

Също така е вярно, че Microsoft е работил върху IKEv2 и това не е много надеждна корпорация. Те обаче не са работили само по протокола, а заедно със Cisco. Също така, IKEv2 не е напълно затворен код, тъй като съществуват реализации с отворен код на протокола.

Все пак трябва да разгледаме три въпроса, свързани със сигурността по отношение на IKEv2 / IPSec:

1. Проблеми с парола

Още през 2018 г. се появиха някои изследвания, които подчертаха потенциалните слабости на сигурността както на IKEv1, така и на IKEv2. Проблемите с IKEv1 не трябва да ви засягат наистина, стига да не използвате протокола. Що се отнася до проблема с IKEv2, изглежда, че той може да бъде сравнително лесно хакнат, ако паролата за вход, която се използва от него, е слаба.

И все пак това обикновено не представлява сериозен проблем за сигурността, ако използвате силна парола. Същото може да се каже, ако използвате VPN услуга на трета страна, тъй като те ще обработват паролите за вход в IKEv2 и автентификацията от ваше име. Стига да изберете приличен и сигурен доставчик, не би трябвало да има проблеми.

2. NSA експлоатация на ISAKMP

Германското списание Der Spiegel пусна изтичащи презентации на NSA, които твърдят, че NSA е в състояние да използва IKE и ISAKMP за декриптиране на IPSec трафик. В случай, че не сте знаели, ISAKMP се използва от IPSec за изпълнение на VPN преговори за услуга.

За съжаление, детайлите са малко неясни и няма точен начин да се гарантира, че презентациите са валидни. В случай, че сте много притеснени от този проблем, трябва да избягвате да задавате връзката самостоятелно и вместо това да получите IKEv2 връзка от надежден VPN доставчик, който използва мощни шифрови шифри.

3. Атаки на човек от средата

Изглежда, че IPSec VPN конфигурациите, които са предназначени да позволят съгласуване на множество конфигурации, потенциално биха могли да бъдат подложени на атаки с понижаване (вид атаки на човек в средата). Това може да се случи, дори ако IKEv2 се използва вместо IKEv1.

За щастие проблемът може да бъде избегнат, ако се използват по-строги конфигурации и ако клиентските системи са внимателно разделени на множество точки за достъп на услуги. Това, което означава на английски, е, че ако доставчикът на VPN върши своята работа правилно, не бива да се притеснявате за това.

Бързо ли е IKEv2?

Да, IKEv2 / IPSec предлага прилични онлайн скорости. Всъщност това е един от най-бързите VPN протоколи, които са достъпни за онлайн потребителите - потенциално дори толкова бърз като PPTP или SoftEther. И това е всичко благодарение на подобрената му архитектура и ефективния процес за обмен на съобщения за отговор / заявка. Освен това, фактът, че работи на UDP порт 500, гарантира, че има ниска латентност.

Още по-добре, поради функцията си MOBIKE, не е нужно да се притеснявате за скоростта на IKEv2, която намалява или се прекъсва при смяна на мрежи.

Предимства и недостатъци на IKEv2

Предимства

  • Сигурността на IKEv2 е доста силна, тъй като поддържа множество шифри от висок клас.
  • Въпреки високия си стандарт за сигурност, IKEv2 предлага бързи онлайн скорости.
  • IKEv2 може лесно да устои на промените в мрежата поради поддръжката на MOBIKE и може автоматично да възстанови прекъснатите връзки.
  • IKEv2 е налично в устройството на BlackBerry и може да бъде конфигуриран и на други мобилни устройства.
  • Настройката на IKEv2 VPN връзка е сравнително проста.

Недостатъци

  • Тъй като IKEv2 използва само UDP порт 500, защитна стена или мрежов администратор могат да го блокират.
  • IKEv2 не предлага толкова кросплатформена съвместимост като други протоколи (PPTP, L2TP, OpenVPN, SoftEther).

Какво е IKEv2 VPN поддръжка?

Поддръжката на IKEv2 VPN е основно, когато доставчик на VPN на трети страни предлага достъп до IKEv2 / IPSec връзки чрез своята услуга. За щастие, все повече доставчици на VPN започват да разпознават колко важен е този протокол за мобилните потребители, така че е по-вероятно да намерите услуги, които предлагат връзки с IKEv2 сега, отколкото преди.

Все пак препоръчваме да изберете доставчик на VPN, който предлага достъп до множество VPN протоколи. Докато IKEv2 / IPSec е страхотен протокол за мобилни устройства, не боли да имате прилично архивиране (като OpenVPN или SoftEther), когато използвате други устройства у дома

Нуждаете се от IKEv2 VPN, на който можете да разчитате?

CactusVPN е само услугата, от която се нуждаете. Ние предлагаме високоскоростни IKEv2 / IPSec връзки, които са защитени с AES, 256-битова NIST Elliptic крива, SHA-256 и RSA-2048. Нещо повече, ние защитаваме поверителността ви, като не регистрираме никоя от вашите данни, а нашата услуга е оборудвана със защита от течове от DNS и Killswitch също

Освен това трябва да знаете, че IKEv2 няма да бъде единствената възможност на ваше разположение. Ние също така предлагаме достъп до други VPN протоколи: OpenVPN, SoftEther, SSTP, L2TP / IPSec и PPTP.

Настройте IKEv2 връзка с изключително лесно

Можете да настроите IKEv2 / IPSec тунел само с няколко щраквания, ако използвате CactusVPN. Ние предлагаме множество съвместими между платформи клиенти, които са много лесни за използване.

Приложение CactusVPN

Опитайте нашите услуги безплатно сега

Интересувате ли се да видите какво може да направи CactusVPN за вас? Защо първо да не изпробваме нашата безплатна 24-часова пробна версия? Не е необходимо да предоставяте данни за кредитна карта и лесно можете да се регистрирате с информацията за социалните си медии.

Освен това, след като станете потребител на CactusVPN, ще се радвате да знаете, че предлагаме 30-дневна гаранция за връщане на парите, ако услугата не работи както е рекламирана.

IKEv2 срещу други VPN протоколи

Преди да започнем, трябва да споменем, че когато обсъждаме IKEv2 в този раздел, ще се позоваваме на IKEv2 / IPSec, тъй като това обикновено предлага VPN доставчиците на протоколи. Освен това IKEv2 не може да се използва самостоятелно, тъй като е протокол, изграден в IPSec (поради което той е свързан с него). И така, нека започнем:

1. IKEv2 срещу L2TP / IPSec

И L2TP и IKEv2 обикновено са сдвоени с IPSec, когато се предлагат от доставчици на VPN. Това означава, че са склонни да предлагат същото ниво на сигурност. И все пак, докато L2TP / IPSec е затворен код, има реализации на IKEv2 с отворен код. Това и Snowden твърди, че NSA са отслабили L2TP / IPSec, въпреки че няма реални доказателства, които да подкрепят това твърдение.

IKEv2 / IPSec е по-бърз от L2TP / IPSec, тъй като L2TP / IPSec е по-интензивен по отношение на ресурсите, благодарение на функцията за двойно капсулиране, а също така отнема повече време за договаряне на VPN тунел. И макар че и двата протокола използват почти едни и същи портове поради свързване с IPSec, L2TP / IPSec може да бъде по-лесно да се блокира с NAT защитна стена, тъй като L2TP понякога не работи добре с NAT - особено ако L2TP Passthrough не е активиран на рутера.

Освен това, докато сме по темата за стабилността, трябва да споменем, че IKEv2 е много по-стабилен от L2TP / IPSec, тъй като може да устои на промените в мрежата. По принцип това означава, че можете да превключите от WiFi връзка към връзка с план за данни, без връзката IKEv2 да се спуска. Да не говорим, че дори ако IKEv2 връзка спадне, тя се възстановява веднага.

Що се отнася до достъпността, L2TP / IPSec е родно достъпно на повече платформи, отколкото IKEv2 / IPSec, но IKEv2 е наличен на BlackBerry устройства.

Като цяло изглежда, че IKEv2 / IPSec е по-добър избор за мобилни потребители, докато L2TP / IPSec работи добре за други устройства.

В случай, че искате да разберете повече за L2TP, следвайте тази връзка.

2. IKEv2 срещу IPSec

IKEv2 / IPSec е доста по-добър във всички отношения от IPSec, тъй като предлага предимствата на сигурността на IPSec, наред с високите скорости и стабилността на IKEv2. Също така не можете да сравните IKEv2 самостоятелно с IPSec, тъй като IKEv2 е протокол, който се използва в пакета от протоколи IPSec. Също така IKEv2 се основава по същество на IPSec тунелиране.

Ако искате да прочетете повече за IPSec, разгледайте нашата статия за него.

3. IKEv2 срещу OpenVPN

OpenVPN е изключително популярен при онлайн потребителите поради подобрената си сигурност, но трябва да знаете, че IKEv2 може да предложи подобно ниво на защита. Вярно е, че IKEv2 защитава информация на ниво IP, докато OpenVPN прави това на транспортно ниво, но всъщност не е нещо, което трябва да направи огромна промяна.

Какво е IKEv2? (Вашето ръководство за IKEV2 VPN протокол) |

Не можем обаче да отречем факта, че OpenVPN с отворен код го прави по-привлекателен вариант от IKEv2. Разбира се, това вече не се превръща в такъв огромен проблем, ако използвате реализации с отворен код на IKEv2.

По отношение на скоростите онлайн, IKEv2 обикновено е по-бърз от OpenVPN - дори когато OpenVPN използва протокола за предаване на UDP. От друга страна е много по-трудно за мрежовия администратор да блокира OpenVPN връзки, тъй като протоколът използва порт 443, който е порта за трафик на HTTPS. IKEv2, за съжаление, използва само UDP порт 500, който мрежовият администратор може да блокира, без да се притеснява от спиране на други жизненоважни онлайн трафик.

Що се отнася до стабилността на връзката и двата протокола се справят доста добре, но IKEv2 надминава OpenVPN на мобилните устройства, тъй като може да устои на промените в мрежата. Вярно е, че OpenVPN може да бъде конфигуриран да прави същото с командата „float“, но това не е толкова ефективно и стабилно, колкото IKEv2.

Що се отнася до поддръжката на крос-платформата, IKEv2 е малко по-назад от OpenVPN, но работи на BlackBerry устройства. Също така, IKEv2 обикновено е малко по-лесен за настройване, тъй като той е обикновено интегриран в платформите, на които е наличен.

Искате ли да научите повече за OpenVPN? Ето подробно ръководство, за което писахме

4. IKEv2 срещу PPTP

IKEv2 обикновено е много по-добър избор от PPTP, просто защото е много по-сигурен от него. От една страна, той предлага поддръжка за 256-битови кодиращи ключове и висок клас шифри като AES. Освен това, доколкото знаем, трафикът на IKEv2 тепърва трябва да бъде разбит от NSA. Същото не може да се каже за PPTP трафик.

Освен това, PPTP е много по-малко стабилен от IKEv2. Той не може да устои на промените в мрежата с лекота като IKEv2 и - още по-лошо - е изключително лесно да се блокира с защитна стена - особено NAT защитната стена, тъй като PPTP не се поддържа от NAT естествено. В действителност, ако PPTP Passthrough не е активиран на рутер, PPTP връзка дори не може да бъде установена.

Обикновено един от основните акценти на PPTP, който го отличава от конкуренцията, е неговата висока скорост. Е, смешното е, че IKEv2 всъщност е в състояние да предложи скорости, подобни на тези, предлагани от PPTP.

По принцип единственият начин PPTP да е по-добър от IKEv2 е, когато става въпрос за достъпност и лекота на настройка. Виждате ли, че PPTP е вграден в множество платформи, така че конфигурирането на връзка е изключително просто. Все пак това може да не е в бъдеще, тъй като местната поддръжка за PPTP е премахната от по-новите версии на някои операционни системи. Например, PPTP вече не е наличен в iOS 10 и macOS Sierra.

Като цяло, винаги трябва да изберете IKEv2 над PPTP, ако е възможно.

Ако искате да научите повече за PPTP и да разберете защо това е толкова рискован вариант, следвайте тази връзка.

5. IKEv2 срещу Wireguard

Wireguard е много нов VPN протокол с отворен код, който очевидно има за цел да стане значително по-добър от IPSec (протоколът за тунелиране IKEv2 е базиран на). По тази логика Wireguard трябва да бъде по-сигурен, по-бърз и по-удобен за използване от IKEv2 - и това може би ще бъде така в бъдеще.

Все пак, за момента Wireguard е просто в експериментален етап и не е много стабилен, нито работи на множество платформи. Всъщност в момента Wireguard най-вече просто работи върху Linux дистрибуции. Според тези показатели, Wireguard е много по-бърз от IPSec, въпреки че това не означава непременно, че е по-бърз от IKEv2, тъй като IKEv2 е по-бърз и от IPSec.

Така че все още е по-безопасно да използвате IKEv2, когато сте в Интернет.

В случай, че искате да научите повече за Wireguard, ето линк към нашето ръководство.

6. IKEv2 срещу SoftEther

И IKEv2 и SoftEther са доста защитени протоколи и въпреки че SoftEther може да бъде по-надежден, тъй като е с отворен код, можете да намерите и open-source реализации на IKEv2. И двата протокола също са много бързи, въпреки че SoftEther може да е малко по-бърз от IKEv2.

Какво е IKEv2? (Вашето ръководство за IKEV2 VPN протокол) |

Що се отнася до стабилността, нещата са различни. От една страна, SoftEther е много по-трудно да се блокира с защитна стена, защото работи на порт 443 (HTTPS порта). От друга страна, функцията MOBIKE на IKEv2 му позволява безпроблемно да се съпротивлява на промените в мрежата (например при преминаване от WiFi връзка към план за данни).

Може също да ви интересува да знаете, че докато SoftEther VPN сървърът има поддръжка за протоколите IPSec и L2TP / IPSec (между другото), той няма никаква поддръжка за протокола IKEv2 / IPSec.

В крайна сметка SoftEther е доста по-добра опция от IKEv2, въпреки че може би предпочитате да използвате IKEv2, ако сте мобилен потребител, особено след като той е наличен на BlackBerry устройства.

Ако искате да разберете повече за SoftEther, разгледайте тази връзка.

7. IKEv2 срещу SSTP

IKEv2 и SSTP предлагат подобно ниво на сигурност, но SSTP е много по-устойчив на защитна стена, тъй като използва TCP порт 443, порт, който не може да бъде блокиран нормално. От друга страна, SSTP не е наличен на толкова платформи, колкото IKEv2. SSTP е вграден само в Windows системи (Vista и по-нови) и по-нататък може да бъде конфигуриран на рутери, Linux и Android. IKEv2 работи на всички тези платформи и други (macOS, iOS, FreeBSD и BlackBerry устройства).

И IKEv2 и SSTP са разработени от Microsoft, но IKEv2 е разработен от Microsoft заедно с Cisco. Това го прави малко по-надежден от SSTP, който е собственост единствено на Microsoft - компания, която е предоставила на NSA достъп до криптирани съобщения в миналото и това също е част от програмата за наблюдение на PRISM..

По отношение на скоростта на връзката и двата протокола са доста обвързани, но е много вероятно IKEv2 да е по-бърз от SSTP. Защо? Тъй като скоростите на SSTP често се сравняват със скоростите на OpenVPN и вече споменахме, че IKEv2 е по-бърз от OpenVPN. Освен това има и фактът, че SSTP използва само TCP, който е по-бавен от UDP (протоколът за предаване, използван от IKEv2).

Интересувате се да научите повече за SSTP? Ето статия, която написахме за това.

И така, протоколът IKEv2 е добър избор?

Да, IKEv2 е добър вариант за безопасно и гладко онлайн изживяване. Все още препоръчваме да използвате или OpenVPN, или SoftEther, но ако тези опции не са достъпни по някаква причина, IKEv2 също работи добре - особено ако използвате мобилния си телефон и пътувате доста често.

Какво е IKEv2? В заключение

IKEv2 е едновременно VPN протокол и протокол за криптиране, използван в пакета IPSec.

По същество се използва за установяване и удостоверяване на защитена комуникация между VPN клиент и VPN сървър.

IKEv2 е много безопасен за използване, тъй като има поддръжка на мощни криптиращи шифри, а също така подобри всички недостатъци на сигурността, които присъстваха в IKEv1. Също така, IKEv2 е отличен избор за мобилни потребители поради своята MOBIKE поддръжка, която позволява на IKEv2 връзките да се противопоставят на промените в мрежата.

Все пак препоръчваме да изберете доставчик на VPN, който предлага достъп до множество протоколи, заедно с IKEv2. Въпреки че е чудесна опция за мобилни потребители, не боли да имате още по-добри протоколи (като OpenVPN и SoftEther) като алтернатива за други устройства.

Какво е IKEv2? (Вашето ръководство за IKEV2 VPN протокол) |
admin Author
Sorry! The Author has not filled his profile.
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

18 − 12 =

map