Що таке IKE та IKEv2 VPN протоколи?

IKE або Internet Key Exchange - це протокол тунелювання на основі IPSec, який гарантує безпечний канал зв'язку та визначає автоматичні засоби узгодження та автентифікації для зіставлення безпеки IPSec захищеним способом. Перша версія протоколу (IKEv1) була представлена ​​в 1998 році, а друга (IKEv2) вийшла через 7 років. Між IKEv1 і IKEv2 існує ряд відмінностей, однією з яких є зменшення пропускної здатності IKEv2.

Докладніше про протокол IKEv2

Для чого використовувати IKEv2 VPN протокол:

• 256-бітне шифрування даних

• Реалізація IPSec для гарантування безпеки

• Стабільне та узгоджене з'єднання

• Підтримка MOBIKE для забезпечення кращої швидкості
  
  

Безпека. IKEv2 використовує автентифікацію сертифіката сервера, що означає, що він не виконуватиме жодних дій, доки не визначить особистість запитуючої сторони. Завдяки цьому кількість атак «людина посередині» та DoS атак значно зменшується.

Надійність. У першій версії протоколу, при підключенні до іншого інтернет з'єднання при увімкненому VPN, наприклад, при переході з домашньої Wi-Fi мережі до мобільного інтернету, потрібно перепідключення. Це мало деякі небажані наслідки, такі як зниження продуктивності та зміна попередньої IP адреси. У версії протоколу IKEv2, цю проблему було виправлено. В IKEv2 VPN протоколі реалізована технологія MOBIKE, яка дозволяє використовувати цей протокол мобільним та багатомережевим користувачам. Крім того, IKEv2 – це один із небагатьох протоколів, який підтримується на пристроях Blackberry.

Швидкість. Продумана архітектура та ефективна система обміну повідомленнями протоколу IKEv2 забезпечують кращу продуктивність. Завдяки вбудованому механізму NAT, який робить прохід через брандмауер та встановлює з'єднання набагато швидше, швидкість IKEv2 з'єднання також значно підвищується.

Функції та технічні особливості

Мета IKE - створити той самий симетричний ключ для взаємодіючих сторін. Цей ключ служить для шифрування та розшифровки IP-пакетів, які використовуються для передачі даних між вузлами VPN. IKE створює VPN тунель шляхом автентифікації обох сторін та досягнення угоди про методи шифрування та цілісності. Результатом угоди IKE є безпечна асоціація SA.

IKE ґрунтується на базових протоколах безпеки, таких як безпечна асоціація SA, протокол управління ключами та контекстами безпеки ISAKMP, криптографічний протокол розповсюдження ключів SKEME та протокол визначення ключів Oakley. ISAKMP визначає основу для автентифікації та обміну ключами, але не вказує самі ключі. SKEME визначає універсальну техніку обміну ключами, яка забезпечує швидке оновлення ключів. Oakley дозволяє перевіреним сторонам обмінюватися ключами через небезпечне з'єднання, використовуючи алгоритм обміну ключами Діффі-Хеллмана. Такий метод забезпечує максимальну секретність ключів, захист ідентифікаційних даних та автентифікацію.

Протокол IKE використовує UDP порт 500, який ідеально підходить для мережевих додатків, яким критично важлива відсутність тимчасової затримки, наприклад додатки пов'язані з аудіо та відео обміном файлами або онлайн ігри. Більше того, протокол не передає службові дані, пов'язані з протоколом "точка-точка" (PPP). Це робить IKE швидше, ніж PPTP та L2TP протоколи. Крім того, IKE протокол підтримує шифрування AES та Camellia, а також використовує ключі довжиною 256 біт. Саме тому IKE вважається досить безпечним протоколом.

IKEv2 суттєво вдосконалили, що зробило його значно кращим порівняно з IKEv1. Переваги IKEv2 перед IKEv1 такі:

• Щоб встановити VPN-тунель, IKEv2 вимагає меншої кількості повідомлень, якими обмінюються кінцеві точки тунелю (чотири повідомлення для IKEv2 проти шести для IKEv1)
• IKEv2 оснащений функцією NAT-T, яка забезпечує найкращу сумісність між постачальниками
• IKEv2 підтримує Extensible Authentication Protocol (EAP)
• IKEv2 пропонує найкращу стабільність завдяки опції Keep Alive
• Для більш стабільного з'єднання IKEv2 підтримує протокол MOBIKE, також відомий як Mobility and Multi-homing. Це дозволяє IKEv2 підтримувати сеанс VPN, коли користувач перемикає IP-адреси без необхідності повторно встановлювати з'єднання. Відсутність цієї функції була серйозною проблемою безпеки в IKEv1, яка могла призвести до витоку даних. Якщо, наприклад, користувач перейшов з офісного Wi-Fi на з'єднання Ethernet, це могло перервати сеанс VPN
• Асоціації безпеки в IKEv2, також відомі як дочірні SA, можуть бути незалежно створені, видалені та змінені у будь-який час протягом життя VPN-тунелю
• IKEv2 вимагає меншої кількості асоціацій безпеки на тунель, що знижує потрібну пропускну здатність
• IKEv2 визначає всі типи повідомлень як пари запиту та відповіді, що робить протокол більш надійним
• IKEv2 підтримує асиметричну автентифікацію

Переваги та недоліки протоколу IKEv2

Переваги:

• Швидший, ніж PPTP і L2TP
• Підтримує надійні методи шифрування
• Стабільність підключення при зміні мереж та швидке відновлення перерваного VPN підключення
• Розширена мобільна підтримка
• Простота налаштування

Недоліки:

• Використовує порт UDP 500, тому може бути заблокований деякими брандмауерами
• Складність реалізації на стороні сервера

VPN Unlimited і протокол IKEv2

Додаток VPN Unlimited використовує протокол IKEv2 за замовчуванням для всіх пристроїв.

Даний протокол доступний для таких платформ:

• Android

• Windows

• iOS

• macOS

• Linux