Что такое IKE и IKEv2 VPN протоколы?

IKE или Internet Key Exchange - это протокол туннелирования на основе IPSec, который обеспечивает безопасный канал связи и определяет автоматические средства согласования и аутентификации для сопоставлений безопасности IPSec защищенным способом. Первая версия протокола (IKEv1) была представлена в 1998 году, а вторая (IKEv2) вышла 7 лет спустя. Между IKEv1 и IKEv2 существует ряд различий, одним из которых является уменьшение пропускной способности IKEv2.

Подробнее о протоколе IKEv2

Для чего использовать IKEv2 VPN протокол:

• 256-битное шифрование данных

• Реализация IPSec для обеспечения безопасности

• Стабильное и согласованное соединение

• Поддержка MOBIKE для обеспечения лучшей скорости

Безопасность. IKEv2 использует проверку подлинности сертификата сервера, что означает, что он не будет выполнять никаких действий, пока не определит личность запрашивающей стороны. Благодаря этому количество атак «человек посередине» и DoS атак значительно уменьшается.

Надежность. В первой версии протокола, при подключении к другому интернет соединению при включенном VPN , например, при переходе с домашней Wi-Fi сети к мобильному интернету, требовалось переподключение. Это имело некоторые нежелательные последствия, такие как снижение производительности и изменение предыдущего IP адреса. В версии протокола IKEv2, эта проблема была исправлена. В IKEv2 VPN протоколе реализована технология MOBIKE, которая позволяет использовать этот протокол мобильным и много сетевым пользователям. Кроме того, IKEv2 - это один из немногих протоколов, который поддерживается на устройствах Blackberry.

Скорость. Продуманная архитектура и эффективная система обмена сообщениями протокола IKEv2 обеспечивают лучшую производительность. Благодаря встроенному механизму NAT, который делает проход через брандмауэр и устанавливает соединения намного быстрее, скорость IKEv2 соединения также значительно повышается.

Функции и технические особенности

Цель IKE - создать один и тот же симметричный ключ для взаимодействующих сторон. Этот ключ служит для шифрования и расшифровки IP пакетов, которые используются для передачи данных между узлами VPN. IKE создает VPN туннель путем аутентификации обеих сторон и достижения соглашения о методах шифрования и целостности. Результатом соглашения IKE является безопасная ассоциация SA.

IKE основан на базовых протоколах безопасности, таких как безопасная ассоциация SA, протокол управления ключами и контекстами безопасности ISAKMP, криптографический протокол распространения ключей SKEME и протокол определения ключей Oakley. ISAKMP определяет основу для аутентификации и обмена ключами, но не указывает сами ключи. SKEME описывает универсальную технику обмена ключами, которая обеспечивает быстрое обновление ключей. Oakley позволяет проверенным сторонам обмениваться ключами через небезопасное соединение, используя алгоритм обмена ключами Диффи-Хеллмана. Такой метод обеспечивает максимальную секретность ключей, защиту идентификационных данных и аутентификацию.

Протокол IKE использует UDP порт 500, который идеально подходит для сетевых приложений, для которых критически важно отсутствие временной задержки, например приложения связанные с аудио и видео обменом файлами или же онлайн игры. Более того, протокол не передает служебные данные, которые связаны с протоколом «точка-точка» (PPP). Это делает IKE быстрее, чем PPTP и L2TP протоколы. Кроме того, IKE протокол поддерживает шифрование AES и Camellia, а также использует ключи длинной 256 бит. Именно поэтому IKE считается достаточно безопасным протоколом.

В IKEv2 внесли много улучшений, которые сделали его значительно лучше по сравнению с IKEv1. Преимущества IKEv2 перед IKEv1 следующие:

• Чтобы установить VPN-туннель, IKEv2 требует меньшего количества сообщений, которыми обмениваются конечные точки туннеля (четыре сообщения для IKEv2 против шести для IKEv1)
• IKEv2 оснащен функцией NAT-T, которая обеспечивает лучшую совместимость между поставщиками
• IKEv2 поддерживает Extensible Authentication Protocol (EAP)
• IKEv2 предлагает лучшую стабильность благодаря опции Keep Alive
• Для более стабильного соединения IKEv2 поддерживает протокол MOBIKE, также известный как Mobility and Multi-homing. Это позволяет IKEv2 поддерживать сеанс VPN, когда пользователь переключает IP-адреса, без необходимости повторно устанавливать соединение. Отсутствие этой функции было серьезной проблемой безопасности в IKEv1, которая могла привести к утечке данных. Если, например, пользователь переключился с офисного Wi-Fi на соединение Ethernet, это могло прервать сеанс VPN
• Ассоциации безопасности в IKEv2, также известные как дочерние SA, могут быть независимо созданы, удалены и изменены в любое время в течение жизни VPN-туннеля
• IKEv2 требует меньшего количества ассоциаций безопасности на туннель, что снижает требуемую пропускную способность
• IKEv2 определяет все типы сообщений как пары запроса и ответа, что делает протокол более надежным
• IKEv2 поддерживает асимметричную аутентификацию

Преимущества и недостатки протокола IKEv2

Преимущества:

• Быстрее, чем PPTP и L2TP

• Поддерживает надежные методы шифрования

• Стабильность подключения при смене сетей и быстрое восстановление прерванного VPN подключения 

• Расширенная мобильная поддержка

• Простота установки

Недостатки:

• Использует UDP порт 500, поэтому может быть заблокирован некоторыми брандмауэрами

• Сложность реализации на стороне сервера

VPN Unlimited и протокол IKEv2

Приложение VPN Unlimited использует протокол IKEv2 по умолчанию для всех устройств.

Данный протокол доступен для следующих платформ:

• Android

• Windows

• iOS

• macOS

• Linux