Kaj je IKEv2? (Vaš vodnik po protokolu VPN IKEV2) |


Kaj je IKEv2?

IKEv2 (različica 2 internetnih ključev) je šifrirni protokol VPN, ki obravnava zahteve po zahtevah in odzivih. Zagotavlja promet varen z vzpostavitvijo in ravnanjem z atributom SA (Security Association) znotraj zbirke za preverjanje pristnosti - običajno IPSec, saj IKEv2 v osnovi temelji na njem in je vgrajen vanj.

IKEv2 je razvil Microsoft skupaj s Cisco in je naslednik IKEv1.

Tukaj je opisano, kako deluje IKEv2

Kot vsak protokol VPN je tudi IKEv2 odgovoren za vzpostavitev varnega tunela med odjemalcem VPN in strežnikom VPN. To stori tako, da najprej potrdi tako odjemalca kot strežnika in se nato dogovori, katere metode šifriranja bodo uporabljene

Omenili smo že, da IKEv2 obravnava atribut SA, ampak kaj je SA? Preprosto povedano, to je postopek vzpostavitve varnostnih atributov med dvema omrežnima entitetama (v tem primeru odjemalcem VPN in strežnikom VPN). To stori tako, da ustvari isti simetrični šifrirni ključ za obe entiteti. Omenjeni ključ se nato uporabi za šifriranje in dešifriranje vseh podatkov, ki potujejo skozi tunel VPN.

Splošne tehnične podrobnosti o IKEv2

  • IKEv2 podpira najnovejše algoritme šifriranja IPSec, poleg številnih drugih šifrirnih šifrantov.
  • Na splošno daemon IKE (program, ki se izvaja kot ozadje) deluje v uporabniškem prostoru (sistemski pomnilnik, namenjen zagnanim aplikacijam), medtem ko se IPSec sklad izvaja v prostoru jedra (jedro operacijskega sistema). To pomaga povečati zmogljivost.
  • Protokol IKE uporablja pakete UDP in vrata UDP 500. Za ustvarjanje SA so običajno potrebni štirje do šest paketov..
  • IKE temelji na naslednjih varnostnih protokolih:
    • ISAKMP (Združenje za internetno varnost in protokol za upravljanje ključev)
    • SKEME (vsestranski mehanizem za varno izmenjavo ključev)
    • OAKLEY (protokol o določitvi ključ Oakley)
  • Protokol IKEv2 VPN podpira MOBIKE (IKEv2 Mobility and Multihoming Protocol), funkcijo, ki protokolu omogoča, da se upira spremembam v omrežju.
  • IKEv2 podpira PFS (Perfect Forward Secrecy).
  • Medtem ko je IKEv2 Microsoft razvil skupaj s Cisco, obstajajo odprtokodne implementacije protokola (npr. OpenIKEv2, Openswan in strongSwan).
  • IKE uporablja postopke X.509, ko obravnava postopek preverjanja pristnosti.

IKEv1 proti IKEv2

Tu je seznam glavnih razlik med IKEv2 in IKEv1:

  • IKEv2 ponuja privzeto podporo za oddaljeni dostop zahvaljujoč pristnosti EAP.
  • IKEv2 je programiran tako, da porabi manj pasovne širine kot IKEv1.
  • Protokol IKEv2 VPN uporablja šifrirne ključe za obe strani, zaradi česar je bolj varen kot IKEv1.
  • IKEv2 ima podporo MOBIKE, kar pomeni, da se lahko upira spremembam v omrežju.
  • IKEv1 nima vgrajenega NAT-a, kot IKEv2.
  • Za razliko od IKEv1 lahko IKEv2 dejansko zazna, ali je tunel VPN "živ" ali ne. Ta funkcija omogoča IKEv2, da samodejno ponovno vzpostavi prekinjeno povezavo.
  • Šifriranje IKEv2 podpira več algoritmov kot IKEv1.
  • IKEv2 ponuja boljšo zanesljivost z izboljšanimi zaporednimi številkami in potrditvami.
  • Protokol IKEv2 najprej ugotovi, ali vlagatelj zahtevkov dejansko obstaja, preden nadaljuje z izvedbo kakršnih koli dejanj. Zaradi tega je bolj odporen na napade DoS.

Ali je IKEv2 varen?

Da, IKEv2 je protokol, ki je varen za uporabo. Podpira 256-bitno šifriranje in lahko uporablja šifre, kot so AES, 3DES, Camellia in ChaCha20. Še več, IKEv2 / IPSec podpira tudi PFS + funkcija protokola MOBIKE protokola zagotavlja, da vaša povezava med menjavanjem omrežij ne bo prekinjena.

Kaj je IKEv2? (Vaš vodnik po protokolu VPN IKEV2) |

Pomembno je omeniti še to, da postopek preverjanja pristnosti na podlagi certifikata IKEv2 zagotavlja, da se ne sprejme nič, dokler se ne ugotovi in ​​potrdi identiteta prosilca.

Prav tako je res, da je Microsoft delal na IKEv2 in da to ni zelo zanesljiva korporacija. Vendar pa protokola niso delali sami, ampak skupaj s Cisco. Prav tako IKEv2 ni popolnoma zaprt vir, ker obstajajo odprtokodne implementacije protokola.

Kljub temu bi morali obravnavati tri vprašanja, povezana z varnostjo v zvezi z IKEv2 / IPSec:

1. Izdaje gesla

Leta 2018 so se pojavile nekatere raziskave, ki so izpostavile potencialne varnostne pomanjkljivosti IKEv1 in IKEv2. Težave z IKEv1 naj vas ne bi resnično zadevale, dokler ne uporabljate protokola. Kar zadeva izdajo IKEv2, se zdi, da bi jo bilo mogoče relativno enostavno vdreti, če je geslo za prijavo, ki ga uporablja, šibko.

Kljub temu to običajno ni velika skrb glede varnosti, če uporabljate močno geslo. Enako lahko rečemo, če uporabljate storitev tretje osebe VPN, saj bodo v vašem imenu ravnale z gesli za prijavo IKEv2 in preverjanje pristnosti. Dokler izberete dostojnega, varnega ponudnika, ne bi smelo biti težav.

2. Izkoriščanje ISAKMP NSA

Nemška revija Der Spiegel je objavila predstavljene NSA predstavitve, ki so trdile, da lahko NSA izkoristi IKE in ISAKMP za dešifriranje prometa IPSec. Če še niste vedeli, ISAKMP IPSec uporablja za izvajanje pogajanj o storitvi VPN.

Na žalost so podrobnosti nekoliko nejasne in ni mogoče natančno zagotoviti, da bodo predstavitve veljavne. V primeru, da vas ta težava zelo skrbi, se izogibajte sami vzpostavitvi povezave in namesto tega dobite povezavo IKEv2 od zanesljivega ponudnika VPN, ki uporablja močne šifrirne šifri.

3. Napadi človeka v sredini

Zdi se, da bi lahko konfiguracije VPN IPSec, ki naj bi omogočile pogajanje z več konfiguracijami, podvržene napadom zmanjšanja (vrsta napadov Man-in-Middle). To se lahko zgodi, tudi če se namesto IKEv1 uporablja IKEv2.

Na srečo se lahko težavi izognemo, če uporabimo strožje konfiguracije in če so odjemalni sistemi skrbno ločeni na več dostopnih točk storitve. To v angleščini pomeni, da če ponudnik VPN-ja pravilno opravi svoje delo, vam tega ne bi smelo skrbeti.

Ali je IKEv2 hiter?

Da, IKEv2 / IPSec ponuja spodobne spletne hitrosti. V resnici gre za enega najhitrejših protokolov VPN, ki so na voljo spletnim uporabnikom - lahko celo tako hitri kot PPTP ali SoftEther. In to je vse zahvaljujoč izboljšani arhitekturi in učinkovitemu procesu izmenjave sporočil / odgovorov. Tudi dejstvo, da deluje na vratih UDP 500, zagotavlja, da so zamude majhne.

Še bolje, zaradi funkcije MOBIKE vam ni treba skrbeti, da hitrosti IKEv2 upadajo ali se prekinjajo, ko menjate omrežja.

Prednosti in slabosti IKEv2

Prednosti

  • Varnost IKEv2 je precej močna, saj podpira več šifre višjega cenovnega razreda.
  • Kljub visokemu varnostnemu standardu IKEv2 ponuja visoke hitrosti na spletu.
  • IKEv2 se lahko preprosto upira spremembam omrežja zaradi podpore MOBIKE in lahko samodejno obnovi padle povezave.
  • IKEv2 je na voljo v napravah BlackBerry in ga je mogoče konfigurirati tudi na drugih mobilnih napravah.
  • Nastavitev povezave IKEv2 VPN je razmeroma preprosta.

Slabosti

  • Ker IKEv2 uporablja samo UDP vrata 500, ga lahko požarni zid ali omrežni skrbnik blokira.
  • IKEv2 ne ponuja toliko združljivosti med platformami kot drugi protokoli (PPTP, L2TP, OpenVPN, SoftEther).

Kaj je podpora IKEv2 VPN?

Podpora IKEv2 VPN je v bistvu, ko ponudnik VPN drugega ponudnika ponuja dostop do povezav IKEv2 / IPSec prek svoje storitve. Na srečo je vse več ponudnikov VPN začelo prepoznavati, kako pomemben je ta protokol za mobilne uporabnike, zato je večja verjetnost, da boste zdaj našli storitve, ki ponujajo povezave IKEv2 kot prej.

Kljub temu priporočamo, da izberete ponudnika VPN, ki ponuja dostop do več VPN protokolov. Medtem ko je IKEv2 / IPSec odličen protokol za mobilne naprave, ne bo škodilo spodobne varnostne kopije (na primer OpenVPN ali SoftEther), če doma uporabljate druge naprave

Potrebujete IKEv2 VPN, na katerega se lahko zanesete?

CactusVPN je samo storitev, ki jo potrebujete. Ponujamo vam visoke hitrosti IKEv2 / IPSec povezave, ki so zavarovane z AES, 256-bitno NIST Elliptic Curve, SHA-256 in RSA-2048. Še več, vašo zasebnost ščitimo tako, da nobenega od vaših podatkov ne beležimo, naša storitev pa je opremljena tudi z zaščito pred uhajanjem DNS in Killswitch

Poleg tega morate vedeti, da IKEv2 ne bo edina možnost, ki vam je na voljo. Ponujamo tudi dostop do drugih protokolov VPN: OpenVPN, SoftEther, SSTP, L2TP / IPSec in PPTP.

Vzpostavite IKEv2 povezavo z izjemno lahkoto

Če uporabljate CactusVPN, lahko tunel IKEv2 / IPSec nastavite z le nekaj kliki. Ponujamo več strank, združljivih s platformo, ki so zelo uporabniku prijazne.

Aplikacija CactusVPN

Preizkusite naše storitve brezplačno zdaj

Vas zanima, kaj lahko CactusVPN naredi za vas? Zakaj ne bi najprej preizkusili naše brezplačne 24-urne preizkušnje? Podrobnosti o kreditni kartici vam ni treba izročiti in se lahko preprosto prijavite s podatki o svojih družbenih medijih.

Poleg tega, ko postanete uporabnik CactusVPN, boste z veseljem vedeli, da ponujamo 30-dnevno garancijo vračila denarja, če storitev ne deluje kot oglašuje.

IKEv2 v primerjavi z drugimi protokoli VPN

Preden začnemo, moramo omeniti, da bomo v tem razdelku o IKEv2 razpravljali o IKEv2 / IPSec, ker ponudniki protokolov VPN protokola na splošno ponujajo. Prav tako IKEv2 običajno ni mogoče uporabljati samostojno, saj gre za protokol, ki je vgrajen znotraj IPSeca (zato je z njim povezan). Začnimo s tem: začnimo:

1. IKEv2 v primerjavi z L2TP / IPSec

Tako L2TP kot IKEv2 sta na splošno seznanjena z IPSec, ko jih ponujajo ponudniki VPN. To pomeni, da ponavadi nudijo enako raven varnosti. Kljub temu, da je L2TP / IPSec zaprtega izvora, obstajajo tudi odprtokodne implementacije IKEv2. To in Snowden je trdil, da je NSA oslabila L2TP / IPSec, čeprav ni resničnih dokazov, ki bi podkrepili to trditev.

IKEv2 / IPSec je hitrejši od L2TP / IPSec, saj je L2TP / IPSec zaradi svoje dvojne enkapsulacije večja poraba virov in tudi za pogajanja o tunelu VPN traja dlje časa. In ker oba protokola precej uporabljata enaka vrata, ker sta povezana z IPSec, bo L2TP / IPSec lažje blokirati z NAT požarnim zidom, saj L2TP ponavadi ne deluje dobro z NAT, še posebej, če L2TP Passthrough ni omogočen usmerjevalnik.

Medtem ko smo na temo stabilnosti, je treba omeniti, da je IKEv2 veliko bolj stabilen kot L2TP / IPSec, saj se lahko upira spremembam v omrežju. V bistvu to pomeni, da lahko preklopite s povezave WiFi na povezavo s podatkovnim načrtom, ne da bi povezava IKEv2 padla. Da ne omenjam, da se tudi, če povezava IKEv2 prekine, takoj obnovi.

Kar zadeva dostopnost, je L2TP / IPSec na voljo na več platformah, kot je IKEv2 / IPSec, vendar je IKEv2 na voljo na napravah BlackBerry.

Na splošno se zdi, da je IKEv2 / IPSec boljša izbira za mobilne uporabnike, medtem ko L2TP / IPSec deluje dobro za druge naprave.

Če želite izvedeti več o L2TP, sledite tej povezavi.

2. IKEv2 proti IPSec

IKEv2 / IPSec je precej boljši v vseh pogledih kot IPSec, saj nudi varnostne prednosti IPSeca poleg visokih hitrosti in stabilnosti IKEv2. Prav tako IKEv2 ne morete zares primerjati sam s IPSec, ker je IKEv2 protokol, ki se uporablja v paketu protokolov IPSec. Prav tako IKEv2 v osnovi temelji na tuneliranju IPSec.

Če želite prebrati več o IPSec, si oglejte naš članek o tem.

3. IKEv2 proti OpenVPN

OpenVPN je zaradi svoje večje varnosti pri spletnih uporabnikih izjemno priljubljen, vendar morate vedeti, da lahko IKEv2 ponuja podobno raven zaščite. Res je, da IKEv2 zavaruje informacije na ravni IP, medtem ko OpenVPN to počne na transportni ravni, vendar to v resnici ne bi smelo narediti velikih sprememb.

Kaj je IKEv2? (Vaš vodnik po protokolu VPN IKEV2) |

Vendar ne moremo zanikati dejstva, da je OpenVPN z odprtokodno možnostjo bolj privlačna možnost kot IKEv2. Seveda to ne bo več tako velika težava, če uporabljate odprtokodne implementacije IKEv2.

Glede spletnih hitrosti je IKEv2 ponavadi hitrejši od OpenVPN - tudi če OpenVPN uporablja protokol prenosa UDP. Po drugi strani je omrežnemu skrbniku veliko težje blokirati povezave OpenVPN, saj protokol uporablja vrata 443, ki so prometna vrata HTTPS. IKEv2, na žalost, uporablja samo vrata UDP 500, ki jih omrežni skrbnik lahko blokira, ne da bi se morali skrbeti za zaustavitev drugega vitalnega spletnega prometa.

Kar zadeva stabilnost povezave, oba protokola delujeta dobro, vendar IKEv2 na mobilnih napravah presega OpenVPN, saj se lahko upira spremembam v omrežju. Res je, da je OpenVPN mogoče konfigurirati, da to stori z ukazom "float", vendar ni tako učinkovit in stabilen, kot je IKEv2.

Kar zadeva podporo za več platform, IKEv2 nekoliko zaostaja za OpenVPN, vendar deluje na napravah BlackBerry. Prav tako je IKEv2 običajno nekoliko lažje nastaviti, saj je običajno vgrajen v platforme, na katerih je na voljo.

Želite izvedeti več o OpenVPN? Tu smo napisali poglobljeni vodnik

4. IKEv2 proti PPTP

IKEv2 je na splošno veliko boljša izbira kot PPTP samo zato, ker je veliko bolj varen od njega. Za prvo ponuja podporo za 256-bitne šifrirne ključe in šifre višjega cenovnega razreda, kot je AES. Kolikor vemo, promet IKEv2 še ni prebil od NSA. Enako ne moremo trditi za PPTP promet.

Poleg tega je PPTP veliko manj stabilen kot IKEv2. Ne more se upreti spremembam omrežja z lahkoto, kot je IKEv2, in - še huje - z izredno enostavnim blokiranjem z požarnim zidom - zlasti NAT požarnim zidom, saj PPTP v NAT ne podpira izvirne podpore. Če PPTP Passthrough v usmerjevalniku ni omogočen, PPTP povezave sploh ni mogoče vzpostaviti.

Običajno je eden izmed glavnih poudarkov PPTP-ja, ki ga izstopajo od konkurence, njegova zelo velika hitrost. No, smešno je, da IKEv2 dejansko ponuja hitrosti, podobne hitrosti, ki jo ponuja PPTP.

V bistvu je edini način, da je PPTP boljši od IKEv2, ko gre za razpoložljivost in enostavnost nastavitve. Vidite, PPTP je izvorno vgrajen v številne platforme, zato je konfiguracija povezave izjemno preprosta. Kljub temu pa v prihodnosti morda ne bo tako, saj se je iz novejših različic nekaterih operacijskih sistemov začela odstranjevati izvorna podpora PPTP. Na primer, PPTP ni več na voljo v sistemih iOS 10 in macOS Sierra.

Skupno morate po možnosti vedno izbrati IKEv2 prek PPTP.

Če želite izvedeti več o PPTP in ugotoviti, zakaj je tako tvegana možnost, sledite tej povezavi.

5. IKEv2 proti žičniku

Wireguard je povsem nov odprtokodni protokol VPN, ki navidezno želi postati bistveno boljši od IPSec (temelji protokol IKEv2 za tuneliranje). Po tej logiki bi moral biti Wireguard bolj varen, hitrejši in bolj priročen za uporabo kot IKEv2 - in to bi lahko bilo v prihodnosti tako.

Še vedno pa je Wireguard ravno v poskusni fazi in ni ravno stabilen, prav tako ne deluje na več platformah. Pravzaprav Wireguard večinoma samo deluje na distribucijah Linuxa. Po teh merilih je Wireguard veliko hitrejši kot IPSec, čeprav to ne pomeni nujno, da je za zdaj hitrejši od IKEv2, saj je IKEv2 hitrejši tudi od IPSeca.

Tako je še vedno varneje uporabljati IKEv2, ko ste v internetu.

Če želite izvedeti več o Wireguard-u, je tu povezava do našega vodnika.

6. IKEv2 vs. SoftEther

Tako IKEv2 kot SoftEther sta dokaj varna protokola, in čeprav je SoftEther morda bolj zanesljiv, ker je odprtokodni, lahko najdete tudi odprtokodne implementacije IKEv2. Oba protokola sta tudi zelo hitra, čeprav je SoftEther morda nekoliko hitrejši od IKEv2.

Kaj je IKEv2? (Vaš vodnik po protokolu VPN IKEV2) |

Ko gre za stabilnost, so stvari drugačne. Pri enem je SoftEther veliko težje blokirati s požarnim zidom, ker deluje na vrata 443 (HTTPS vrata). Po drugi strani funkcija IKEv2 MOBIKE omogoča, da se brezhibno upirajo spremembam v omrežju (na primer pri prehodu iz povezave WiFi v podatkovni načrt).

Mogoče bi vas zanimalo tudi to, da ima strežnik VPN SoftEther podporo za protokole IPSec in L2TP / IPSec (med drugim) nima podpore protokolu IKEv2 / IPSec..

Na koncu je SoftEther precej boljša možnost kot IKEv2, čeprav boste morda raje uporabljali IKEv2, če ste mobilni uporabnik - še posebej, ker je na voljo v napravah BlackBerry.

Če želite izvedeti več o SoftEther-ju, si oglejte to povezavo.

7. IKEv2 proti SSTP

IKEv2 in SSTP ponujata podobno raven varnosti, vendar je SSTP veliko bolj odporen proti požarnemu zidu, saj uporablja TCP vrata 443, vrata, ki jih običajno ni mogoče blokirati. Po drugi strani SSTP ni na voljo na toliko platformah, kot je IKEv2. SSTP je vgrajen samo v sisteme Windows (Vista in novejše) in ga je mogoče nadalje konfigurirati na usmerjevalnikih, Linuxu in Androidu. IKEv2 deluje na vseh teh platformah in še več (macOS, iOS, FreeBSD in BlackBerry naprave).

IKEv2 in SSTP je razvil Microsoft, vendar je IKEv2 razvil Microsoft skupaj s Cisco. Zaradi tega je nekoliko bolj zaupanja vreden kot SSTP, ki je v izključni lasti Microsofta - podjetja, ki je NSA v preteklosti dalo dostop do šifriranih sporočil, kar je tudi del programa nadzora PRISM.

Glede hitrosti povezave sta oba protokola precej vezana, vendar je zelo verjetno, da je IKEv2 hitrejši od SSTP. Zakaj? Ker se hitrosti SSTP pogosto primerjajo s hitrostmi OpenVPN, smo že omenili, da je IKEv2 hitrejši od OpenVPN. Poleg tega obstaja tudi dejstvo, da SSTP uporablja samo TCP, ki je počasnejši od UDP (protokol prenosa, ki ga uporablja IKEv2).

Vas zanima, če želite izvedeti več o SSTP? Tukaj je članek, o katerem smo pisali.

Ali je protokol IKEv2 dobra izbira?

Da, IKEv2 je dobra možnost za varno in gladko spletno izkušnjo. Še vedno priporočamo, da uporabite OpenVPN ali SoftEther, vendar če te možnosti iz nekega razloga niso na voljo, IKEv2 deluje dobro - še posebej, če uporabljate mobilni telefon in potujete precej pogosto.

Kaj je IKEv2? V zaključku

IKEv2 je protokol VPN in šifrirni protokol, ki se uporablja v paketu IPSec.

V bistvu se uporablja za vzpostavitev in overjanje zavarovane komunikacije med odjemalcem VPN in strežnikom VPN.

IKEv2 je zelo varen za uporabo, saj ima podporo za zmogljive šifrirne šifre, poleg tega pa je izboljšal tudi vse varnostne pomanjkljivosti, ki so bile prisotne v IKEv1. Prav tako je IKEv2 zaradi svoje podpore MOBIKE odlična izbira za mobilne uporabnike, ki omogoča povezavam IKEv2, da se upirajo spremembam v omrežju..

Kljub temu priporočamo, da izberete ponudnika VPN, ki poleg IKEv2 ponuja dostop do več protokolov. Čeprav je odlična možnost za mobilne uporabnike, ne škodi, če imate še boljše protokole (na primer OpenVPN in SoftEther) kot alternativo za druge naprave.

Kaj je IKEv2? (Vaš vodnik po protokolu VPN IKEV2) |
admin Author
Sorry! The Author has not filled his profile.
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

48 − 44 =

map