Was ist das IKE und IKEv2 VPN Protokoll?

Internet Key Exchange oder IKE ist ein IPSec-basiertes Tunneling-Protokoll, das einen sicheren VPN-Kommunikationskanal bereitstellt und automatische Mittel zur Aushandlung und Authentifizierung für IPSec-Sicherheitsverbindungen auf geschützte Weise definiert. Die erste Version dieses VPN-Protokolls (IKEv1) wurde 1998 eingeführt, die zweite (IKEv2) kam 7 Jahre später heraus. Es gibt mehrere Unterschiede zwischen IKEv1 und IKEv2, nicht zuletzt die geringeren Bandbreitenanforderungen von IKEv2.

Vorteile des IKEv2 VPN-Protokolls

Warum IKEv2 verwenden:

• 256-Bit-Datenverschlüsselung
• Implementiert IPSec für die Sicherheit
• Stabile und konsistente Verbindung
• MOBIKE Support sorgt für mehr Geschwindigkeit

Sicherheit. IKEv2 verwendet eine Serverzertifikat-Authentifizierung, d. h. es werden keine Aktionen durchgeführt, bevor die Identität des Anfragenden festgestellt wurde. Dadurch werden die meisten Man-in-the-Middle- und DoS-Angriffe vereitelt.

Verlässlichkeit. Wenn du in der ersten Version des Protokolls bei eingeschaltetem VPN versuchst, zu einer anderen Internetverbindung zu wechseln, z.B. vom WLAN zum mobilen Internet, wird die VPN-Verbindung unterbrochen und muss neu aufgebaut werden. Das hat unerwünschte Folgen, wie z. B. Leistungseinbußen oder die Änderung einer früheren IP-Adresse.

Dank der Zuverlässigkeitsmaßnahmen, die in IKEv2 implementiert wurden, ist dieses Problem behoben. Darüber hinaus implementiert IKEv2 eine MOBIKE-Technologie, die es ermöglicht, dass es von mobilen und mehrfach gebunkerten Nutzern verwendet werden kann. Es ist außerdem eines der wenigen Protokolle, die Blackberry-Geräte unterstützen.

Geschwindigkeit. Die ausgeklügelte Architektur und das effektive Nachrichtenaustauschsystem von IKEv2 sorgen für eine bessere Leistung. Außerdem ist die Verbindungsgeschwindigkeit deutlich höher, nicht zuletzt wegen des eingebauten NAT-Traversals, das das Passieren von Firewalls und den Aufbau einer Verbindung deutlich schneller macht.

Eigenschaften und technische Merkmale des IKEv2 VPN Protokolls

Das Ziel von IKE ist es, unabhängig voneinander den gleichen symmetrischen Schlüssel für die kommunizierenden Parteien zu erzeugen. Dieser Schlüssel dient zur Ver- und Entschlüsselung der regulären IP-Pakete, die zur Datenübertragung zwischen VPN-Peers verwendet werden. IKE baut einen VPN-Tunnel auf, indem sich beide Seiten authentifizieren und sich auf Methoden zur Verschlüsselung und Integrität einigen. Das Ergebnis einer IKE-Verhandlung ist eine Security Association (SA).

IKE basiert auf den zugrundeliegenden Sicherheitsprotokollen, wie dem Internet Security Association and Key Management Protocol (ISAKMP), A Versatile Secure Key Exchange Mechanism for internet (SKEME) und dem Oakley Key Determination Protocol. ISAKMP legt einen Rahmen für die Authentifizierung und den Schlüsselaustausch fest, definiert diese aber nicht. SKEME beschreibt ein vielseitiges Schlüsselaustauschverfahren, das eine schnelle Schlüsselaktualisierung ermöglicht. Oakley ermöglicht authentifizierten Parteien den Austausch von Schlüsselmaterial über eine unsichere Verbindung mithilfe des Diffie-Hellman-Schlüsselaustauschalgorithmus. Diese Methode bietet ein perfektes Vorwärtsgeheimnis für Schlüssel, Identitätsschutz und Authentifizierung.

 

Das IKE-Protokoll verwendet den UDP-Port 500, der sich perfekt für Netzwerkanwendungen eignet, bei denen die wahrgenommene Latenzzeit entscheidend ist, z. B. für Spiele, Sprach- und Videokommunikation. Außerdem kommt das Protokoll ohne den Overhead aus, der bei Point-to-Point-Protokollen (PPP) anfällt. Dadurch ist IKE schneller als PPTP und L2TP. Durch den Support von AES- und Camellia-Chiffren mit einer Schlüssellänge von 256 Bit gilt IKE als sehr sicheres Protokoll.

IKEv2 hat viele Verbesserungen eingeführt und ist unbestreitbar besser als IKEv1. Die Vorteile von IKEv2 gegenüber IKEv1 sind folgende:

• Um einen VPN-Tunnel aufzubauen, müssen bei IKEv2 weniger Nachrichten zwischen den Tunnelendpunkten ausgetauscht werden (vier Nachrichten bei IKEv2 gegenüber sechs bei IKEv1).
• IKEv2 ist mit einer NAT-T-Funktionalität ausgestattet, die eine bessere Kompatibilität zwischen den Anbietern gewährleistet
• IKEv2 unterstützt das Extensible Authentication Protocol (EAP)
• IKEv2 bietet dank der Keep Alive-Option eine bessere Stabilität
• Für eine noch stabilere Verbindung unterstützt IKEv2 MOBIKE, auch bekannt als Mobility und Multi-homing Protokoll. Es ermöglicht IKEv2, eine VPN-Sitzung aufrechtzuerhalten, wenn ein Nutzer die IP-Adresse wechselt, ohne die Verbindung neu aufbauen zu müssen. Das Fehlen dieser Funktion war ein großes Sicherheitsproblem in IKEv1, das zu einem Datenleck führen konnte. Wenn ein Benutzer zum Beispiel von einem WLAN im Büro zu einer Ethernet-Verbindung wechselt, könnte dies die VPN-Sitzung unterbrechen.
• Sicherheitsassoziationen in IKEv2, auch bekannt als Child SAs, können jederzeit während der Laufzeit des VPN-Tunnels unabhängig voneinander erstellt, gelöscht und geändert werden.
• IKEv2 erfordert weniger Sicherheitsassoziationen pro Tunnel, was die benötigte Bandbreite reduziert
• IKEv2 definiert alle Nachrichtentypen als Request- und Response-Paare, wodurch das Protokoll zuverlässiger wird
• IKEv2 unterstützt die asymmetrische Authentifizierung

IKEv2 VPN Protokoll Pro und Kontra

Profis

• Schneller als PPTP und L2TP
• Unterstützt hochgradige Verschlüsselungsmethoden
• Stabil beim Wechsel des Netzwerks und beim Wiederherstellen einer VPN-Verbindung, wenn diese vorübergehend unterbrochen wurde
• Bietet einen erweiterten mobilen Support
• Leicht einzurichten

Nachteile

• Verwendet den UDP-Port 500, der von einigen Firewalls blockiert werden kann
• Nicht einfach auf der Server-Seite zu implementieren

VPN Unlimited und IKEv2

Das IKEv2 Protokoll ist in VPN Unlimited verfügbar für:

• Android
• Windows
• iOS
• macOS
• Linux