Что такое IKEv2?
Содержание статьи
IKEv2 (Internet Key Exchange version 2) — это протокол зашифрованного туннелирования, используемый VPN, который отвечает за безопасность интернет-трафика.
IKEv2 — это протокол, предоставляющий аутентифицированный ключевой материал для безопасности интернет-протокола (IPsec). IKEv2 заменил механизм IKE (RFC 2409), также известный как «IKE Phase 1». Один и тот же протокол можно использовать для согласования либо VPN-соединений IPsec, либо фактических алгоритмов шифрования и аутентификации для них. IKEv2 используется с IPsec для реализации безопасного обмена пакетами на уровне IP.
Когда VPN-подключение установлено, происходит безопасный обмен рядом параметров. Например, согласование IKE Phase 1 включает в себя предложение и ответ нескольких общедоступных значений Diffie-Hellman, nonce — или «cookie» — и информации, относящейся к сеансу.
На этапе 2 согласования IKE устанавливаются дополнительные ассоциации безопасности, которые можно использовать для передачи пакетов данных или настройки безопасного туннеля виртуальной частной сети (VPN). IKEv2 сам по себе является протоколом управления ключами (генерация, обмен и использование ключей, которые помогают вашему устройству и VPN-серверу распознавать друг друга), который используется вместе с IPsec.
Таким образом, IKEv2 — это протокол, ориентированный на ключи, который обеспечивает публичный обмен криптографическими параметрами между двумя объектами и создает для них ассоциации безопасности с использованием обмена ключами Диффи-Хеллмана.
Что делает IKEv2 VPN?
IKEv2 (Internet Key Exchange версии 2) является наиболее часто используемым методом проверки подлинности для IPsec. Он обеспечивает безопасность сетевого трафика, аутентифицируя и шифруя каждый пакет потока данных.
Это безопасно, потому что соединение инициируется с обеих сторон, поэтому нет возможности вводить пакеты из внешних источников.
Протокол также прекращает работу, когда обнаруживает падение качества соединения, поэтому ваши данные не отправляются, если это небезопасно.
IKE основан на протоколе определения ключа Oakley и ISAKMP, оба из которых определяют общепринятые методы для двух устройств.
Протокол IKEv2 VPN также имеет режим обхода NAT. Это обеспечивает безопасную связь, даже если устройства находятся за устройством преобразования сетевых адресов (NAT), таким как брандмауэр или маршрутизатор.
Для этого используются UDP-порты 500 и 4500 и IKE для создания ассоциаций безопасности (SA) и индексов параметров безопасности (SPI) для аутентификации и шифрования данных.
IKEv2 быстрее
При прочих равных условиях, IKEv2 будет всегда быстрее OpenVPN. Это особенно заметно на маломощных системах с медленной памятью, например на роутерах или одноплатных компьютерах.
Дело в том, что IPsec работает в контексте ядра операционной системы, а OpenVPN в контексте пользователя (userspace), и на обработку каждого пакета происходит переключение контекста между процессами ядра и процессами пользователя. Это влияет как на пропускную способность, так и на задержки.
Скриншот выше показывает разницу в задержке в два раза между IPsec и OpenVPN. Разумеется, разницу в 1мс невозможно заметить на глаз, но при нагрузке на систему эти значения могут значительно изменяться. Кроме того, реальные показатели сильно зависят от характеристик конкретной системы, поэтому я не буду приводить абсолютные цифры для сравнения двух протоколов. Задержки очень важны при использовании голосовой и видеосвязи через VPN.
По моим субъективным ощущениям IKEv2 на Windows 10 работает заметно отзывчивее чем OpenVPN. Ведь реальное использование десктопного компьютера сильно отличается от синтетических тестов VPN-протоколов. Нагрузка на процессор и память непостоянная, пользователь может запускать ресурсоемкие программы, все это будет влиять на показатели.
IKEv2 проще в настройке
Все современные операционные системы (кроме Android) поддерживают IPsec IKEv2 прямо из коробки. Не нужно устанавливать никакие программы, драйвера виртуальных адаптеров TUN/TAP и прочее. Всё управление VPN происходит из системного меню.
При этом настройку на клиенте можно упростить до трех строчек:
- Домен — для IPsec домен обязателен, так как для него выпускается SSL-сертификат
- логин
- пароль
Не нужно больше передавать клиенту файлы с сертификатами и ключами, заставлять его импортировать корневые сертификаты в системное хранилище. Достаточно логина и пароля, при этом соединение будет так же надежно защищено, как и в OpenVPN при использовании сертификатов, ведь для установки соединения используется такой же x.509 сертификат, как и для веб-сайтов с HTTPS.