representation of IKEv2/IPsec

Oletko koskaan ollut hämmentynyt VPN-palvelujen määrittämisessä käytetyistä termeistä? Olet ehkä kuullut termistä IKEv2 (Internet Key Exchange, versio 2), mutta kukaan ei ole koskaan selittänyt sinulle, mikä se on? Tässä tapauksessa sinulla on onnea, koska tässä artikkelissa kerrotaan IKEv2:sta ja mitä se tarkoittaa sinulle VPN-käyttäjänä.

Sisällysluettelo

    Mikä on IKEv2?

    Tietojenkäsittelyssä IKEv2 on VPN-tunnelointiprotokolla, joka takaa turvallisen verkkoviestinnän kahden laitteen välillä. IKEv2 toimii IPsec-protokollan kanssa muodostaen VPN-protokollan nimeltä IKEv2/IPSec. IKEv2 auttaa laitteita tunnistamaan toisensa ja IPsec-protokolla tarjoaa tietoturvaa tietojen siirron aikana.

    IKE perustuu Oakley Key Determination Protocol -protokollaan ja ISAKMP:iin. Ne ovat kummatkin laajalti hyväksyttyjä menetelmiä, jotta kaksi laitetta voivat vaihtaa tarvittavia tietoja suojausavainten luomiseksi (tietojen salaamista varten) suojaamattoman yhteyden kautta. 

    Kuvittele, että haluat lähettää salaisen viestin tuntemattomalle henkilölle. Jos salaat sen / kirjoitat sen salakirjoituksena, kukaan viestin sieppaava ei pysty lukemaan sitä – mutta ei pysty viestin vastaanottajakaan. Miten vaihdat käytetyn salakirjoituksen, jotta viesti pystytään lukemaan, kun et tiedä vastaanottajaa? IKEv2 auttaa tässä tekemällä jotain samantapaista kuin matemaattisessa ongelmanratkaisussa. 

    IKEv2 käyttää X.509-varmenteita (standardi sen tunnistamiseen, että julkinen avain kuuluu sinulle) laitteisiin esitelläkseen itsensä. Sen jälkeen se luo ”jaetun salaisuuden” Diffie–Hellman-avaintenvaihtoalgoritmin avulla. Se on parhaiten selitetty tässä. 

    Kaikki tämä tarkoittaa, että IKEv2 toimii salauksen turvallisuutta koskevien, julkisesti testattujen ja laajalti hyväksyttyjen standardien mukaisesti.

    Miksi IKEv2 ja IPsec mainitaan aina yhdessä?

    IKEv2 yhdistettiin IPSec-protokollaan Microsoftin ja Ciscon yhteisen ponnistelun tuloksena. IKEv2:n ja IPsecin sulautuminen on yksi sen nopeuden salaisuuksista. 

    IKEv2 toimii käyttäjätilassa, joka antaa sille käyttöoikeuden tietojen säilytykseen. Sen ansiosta IKEv2 voi helposti noutaa kaikki määritystiedot, joita tarvitaan suojaussidokseen. 

    Toisaalta IPsec toimii kernelissä, tietokonejärjestelmien syväkerroksessa, joka hallitsee kaikkea. Sen ansiosta IPsec voi käsitellä tietoja paljon nopeammin. 

    An image explaining how IPsec and IKEv2 work together.

    Toimimalla yhdessä IKEv2 käyttää vähemmän datapaketteja suojaussidoksen muodostamiseen palvelimen kanssa. Se vie sitten kaikki tiedot – yhteydessä käytetyt IP-osoitteet, tietoturvatoimenpiteet ja portit – ja antaa ne IPsecille, joka käyttää sitten suojaussidoksia liikenteen salaamiseen. 

    Mitä IPsec tekee tarkalleen ottaen? Olen iloinen, että kysyit – meillä on mahtava artikkeli, jossa selitetään IPsec VPN -palvelujen perusteita. Siinä selitetään myös, miksi siihen viitataan yleensä IKEv2:na koko nimen IKEv2/IPsec sijasta (lyhyesti sanoen, koska IKEv2 otettiin käyttöön vuonna 2005 eli se on selvästi uudempi kehitysaskel kuin IKEv1 ja IPsec vuodelta 1995).

    Mikä on IKEv1:n ja IKEv2:n ero?

    Saatat nyt pohtia, mikä eri versioissa on niin erityistä. IKEv1:n ja IKEv2:n välillä on varsin monia eroja, joilla on merkitystä lähinnä VPN-palveluja käyttäville. Tiivistettynä neljä tärkeintä asiaa ovat seuraavat:

    1. IKEv2 toimii nopeammin ja tehokkaammin joidenkin prosessien karsinnan ja optimoinnin ansiosta.
    2. IKEv2 kuluttaa vähemmän kaistanleveyttä.
    3. IKEv2:ssa on sisäinen NAT (Network address translation) -ylitys.
    4. IKEv2 tukee EAP (Extensible Authentication Protocol) -protokollaa tehden siitä turvallisemman.

    Onko IKEv2 VPN turvallinen?

    Lyhyt vastaus on kyllä.

    VPN-protokollan turvallisuudessa on kyse pohjimmiltaan sen soveltamisesta ja itse protokollaan liittyvistä luontaisista ongelmista. IKEv2:lla ei ole mitään omia tunnettuja haavoittuvuuksia.

    Jos VPN-palveluntarjoaja määrittää IKEv2:n oikein, siihen ei liity turvallisuusongelmia.

    Miten määritän IKEv2:n laitteeseeni?

    Helpoin tapa määrittää IKEv2 laitteeseesi on hankkia VPN-palvelu, joka tukee IKEv2:ta. macOS-, iOS- ja Android-käyttäjille ohjeet voivat olla näinkin yksinkertaiset:

    1. Tilaa Surfshark.
    2. Lataa ja asenna sovellus.
    3. Vaihda IKEv2:een siirtymällä kohtaan Settings > VPN settings > Protocol (Asetukset, VPN-asetukset, Protokolla). 

    Siinä kaikki!

    Jos haluat tehdä sen manuaalisesti tai määrittää sen Windowsissa tai Linuxissa, se voi olla paljon vaikeampaa.

    Miten IKEv2 määritetään Windows 11:een?

    Onko sinulla VPN-palveluntarjoaja ja asetukset palvelimelle, johon yhdistät? Tee silloin seuraavaa: 

    1. Avaa ”Haku” (napsauta Windows-kuvakkeen vieressä olevaa suurennuslasia tehtäväpalkissa).
    2. Kirjoita hakuun ”VPN”.
    3. Valitse VPN-asetukset.
    4. Napsauta ”Lisää VPN”.
    5. Syötä tarvittavat tiedot.
    6. Napsauta internet-yhteyden/äänen/akun (jos kannettava tietokone) kuvaketta kellon vieressä tehtäväpalkissa.
    7. Napsauta ”VPN”.
    8. Valitse luomasi yhteys.
    9. Napsauta ”Yhdistä”.

    Miten määritän IKEv2:n macOSiin?

    Tässä on oppaamme IKEv2:n määrittämiseen, kun palveluntarjoajana on Surfshark. Jos sinulla on toinen palveluntarjoaja ja järjestelmääsi on jo asennettu suojausvarmenne, toimi seuraavasti:

    1. Siirry järjestelmän asetuksiin ja valitse ”Verkko”.
    2. Napsauta verkon ikkunassa ”+”-kuvaketta ja syötä tarvittavat asetukset ennen kuin napsautat ”Luo”
      1. Rajapinta: VPN
      2. VPN-tyyppi: IKEv2
      3. Palvelun nimi: voit valita minkä tahansa haluamasi nimen.
    3. Täytä palvelimen osoite ja etätunnus, jotka sait VPN-palveluntarjoajalta. 
    4. Napsauta ”Todennusasetukset…” -painiketta, valitse todennusmenetelmäksi ”Käyttäjänimi” ja syötä tunnistetietosi.
    5. Paina ”OK” ja sovella asetuksia.
    6. Napsauta ”Yhdistä” yhteyden muodostamiseksi.
    7. Jos olet rastittanut ”Näytä VPN:n tila valikkopalkissa” -ruudun, voit nyt helposti yhdistää ja katkaista yhteyden suoraan valikkopalkista.

    Miten määritän IKEv2:n Android-laitteeseeni? 

    Jos olet Surfshark-käyttäjä, tässä on opas IKEv2:n määrittämiseen manuaalisesti Android-laitteeseen. Jos näin ei ole, tarvitset suojausvarmennetta VPN-palveluntarjoajalta ja sinun on toimittava seuraavasti: 

    1. Hanki strongSwan VPN -asiakassovellus Google Playsta.
    2. Avaa strongSwan-sovellus, napauta ylälaidassa olevaa kolmea pystysuoraa pistettä ja valitse ”CA certificates” (CA-varmenteet).
    3. Napauta varmenneluettelossa kolmea pystysuoraa pistettä ja valitse ”Import certificate” (Tuo varmenne).
    4. Etsi varmenne, napauta sitä, ja napauta sitten ”Import certificate” (Tuo varmenne).
    5. Siirry takaisin strongSwanin päänäyttöön ja napauta ”Add VPN” (Lisää VPN).
    6. Syötä ”Server” (Palvelin) -kenttään VPN-palvelimen isäntänimi.
    7. Syötä palvelun tunnistetiedot ”Username” (Käyttäjänimi)- ja ”Password” (Salasana) -kenttiin.
    8. Syötä haluamasi nimi ”Profile name” (Profiilin nimi) -kenttään.
    9. Napauta ”Save” (Tallenna).
    10. Kun olet palannut päänäyttöön, napauta uutta profiilia yhteyden muodostamiseksi.
    11. Siinä kaikki!

    Miten määritän IKEv2:n Ubuntuun?

    Oletetaan, että sinulla on jo VPN-toimittaja ja palvelin saatavilla. Toimi tällöin seuraavasti:

    1. Avaa pääte.
    2. Syötä ”sudo apt-get install -y strongswan network-manager-strongswan libcharon-extra-plugins”.
    3. Avaa ”Connection Settings” (Yhteysasetukset) ja valitse ”Wired Connections” (Langalliset yhteydet) ja sitten ”Wired Setting” (Langallinen yhteys).
    4. Napsauta valtavaa plus-merkkiä kohdan ”VPN” vieressä.
    5. Valitse IKEv2.
    6. Syötä käyttäjänimesi, salasanasi ja VPN-yhteyden muut tiedot.
    7. Napsauta ”Add” (Lisää).
    8. Voit nyt yhdistää VPN:ään!

    Miten määritän IKEv2:n iOSiin?

    Tässä on oppaamme IKEv2:n määrittämiseen iOSiin Surfsharkin kanssa. Jos sinulla on toinen palveluntarjoaja ja järjestelmääsi on jo asennettu suojausvarmenne, toimi seuraavasti:

    1. Avaa laitteesi Settings (Asetukset) -sovellus, siirry kohtaan ”General” (Yleistä) ja napauta VPN-välilehteä.
    2. Valitse ”Add VPN Configuration…” (Lisää VPN-määritys…) ja täytä kaikki tarvittavat tiedot:
      1. Tyyppi: IKEv2
      2. Kuvaus: nimi, jonka haluat antaa tälle yhteydelle.
      3. Palvelin: palvelimen isäntänimi.
      4. Etätunnus: sama isäntänimi, jonka syötit ”Server” (Palvelin) -kenttään.
      5. Paikallinen tunnus: jätä tyhjäksi.
      6. Käyttäjän todennus: valitse ”Username” (Käyttäjänimi).
      7. Käyttäjänimi: VPN-palvelun käyttäjänimi.
      8. Salasana: VPN-palvelun salasana.
      9. Välityspalvelin: pois päältä.
    3. Paina ”Done” (Valmis), kun olet syöttänyt kaikki tiedot.
    4. VPN-yhteytesi löytyy nyt VPN-välilehdestä kohdasta Settings > General (Asetukset, Yleistä).

    Miten IKEv2 pärjää vertailussa muihin protokolliin?

    IKEv2:n lisäksi on luonnollisesti myös muita protokollia ja käyttäjät haluavat aina tietää, miten ne pärjäävät keskinäisessä vertailussa.

    VPN-protokollista liikkuu paljon vääriä tietoja internetissä ja lähinnä itse protokollien vertailun vuoksi. Tiivistettynä voidaan todeta VPN-protokollan nopeudesta ja turvallisuudesta seuraavaa:

    1. Protokollaa, johon ei liity tunnettuja haavoittuvuuksia, pidetään turvallisena.
    2. VPN:n yhteysnopeutesi riippuu lähinnä seuraavista:
      1. internet-palvelun laatu,
      2. laitteen laatu,
      3. VPN-palvelimen suorituskyky ja kuormitus,
      4. etäisyytesi VPN-palvelimeen.

    Mikä näistä protokollista täyttää turvallisuuskriteerit? Lähinnä kolme eli OpenVPN, WireGuard® ja IKEv2. Kaikista muista suosituista protokollista on löytynyt haavoittuvuuksia (PPTP, L2TP/IPSec) tai niitä ei ole koskaan auditoitu (SSTP).

    Loppujen lopuksi VPN-protokollan suoriutuminen riippuu siitä, miten oma laitteesi toimii vuorovaikutuksessa VPN-palvelimen määrityksen kanssa. Käytä siis palveluntarjoajaa, johon luotat, ja VPN-protokollaa, joka sopii sinulle parhaiten!

    ”WireGuard” on Jason A. Donenfeldin rekisteröity tavaramerkki.

    IKEv2 vs. OpenVPN: kumpi on parempi?

    IKEv2 ja OpenVPN ovat hyvin samantapaisia, mitä tulee tavalliseen VPN-käyttäjään. 

    • Kummatkin protokollat ovat hyvin turvallisia: niissä voidaan käyttää monia salattuja algoritmeja, eikä niillä ole mitään tunnettuja heikkouksia. 
    • IKEv2 on teknisesti nopeampi: erilainen lähestymistapa salaukseen tarkoittaa, että IKEv2 on lähes aina nopeampi kuin OpenVPN. Se, onko nopeuserolla merkitystä, on toinen kysymys. 
    • IKEv2 on teknisesti helpompi määrittää: useat käyttöjärjestelmät ja mobiilijärjestelmät tukevat natiivisti IKEv2:ta. Jos OpenVPN halutaan määrittää manuaalisesti, käyttäjän on ladattava asennusohjelma: 
    • IKEv2 on vakaampi: IKEv2 käsittelee jälleenyhdistämisiä paremmin kuin OpenVPN. 
    • IKEv2 jälleenyhdistää automaattisesti: tarkoitus ei ole, että sinun pitäisi pitää silmällä OpenVPN:ää, mutta mobiilikäyttäjät arvostavat IKEv2:n mukanaan tuomaa vakautta. 

    Loppujen lopuksi kummatkin näistä protokollista ovat hyviä, tosin IKEv2 tarjoaa enemmän etuja mobiilikäyttäjille. 

    Mitkä ovat IKEv2:n edut ja haittapuolet? 

    IKEv2:lla on lukuisia etuja ja hyvin harvoja haittapuolia, kuten:

    Turvallinen salaus
    IKEv2/IPsec-salaus on pysynyt edistyksen vauhdissa mukana ja on aivan yhtä turvallinen kuin muutkin markkinoilla olevat protokollat.

    Yhdistettynä laajaan laitetukeen tämä tarkoittaa, että voit IKEv2/IPsecin avulla suojata laitteet, jotka eivät ehkä pysty suorittamaan uusimpia VPN-protokollia.
    Yhteyden vakaus
    IKEv2/IPsec vaihtaa sujuvasti verkkojen välillä liikkuessasi säilyttäen näin vakaan yhteyden koko ajan.

    Mobiilikäyttäjille tämä on hyvin kätevää, koska he ovat aina liikkeessä.
    Nopeus
    KEv2/IPsec hyödyntää hyvin tehokkaasti laiteresursseja. Se ei siten ole vain nopeampi vaan toimii myös paremmin vähemmän tehokkaissa laitteissa.

    Tämä on tärkeää älypuhelimen käyttäjille, koska heillä ei ole yhtä paljon käytettävää tehoa kuin esimerkiksi kannettavan tietokoneen käyttäjillä.
    Laitetuki
    IKEv2/IPsec-protokollaa voidaan käyttää tietokoneissa, reitittimissä ja älypuhelimissa, koska se tukee varsin useaa erilaista alustaa/käyttöjärjestelmää.

    Turvallisesta VPN-protokollasta on sinulle hyötyä vain, jos laitteesi voi käyttää sitä. Jos valitset IKEv2/IPsecin, laitteesi voi todennäköisesti käyttää sitä.

    Haittapuolia ei ole juuri nimeksikään: WireGuard on uudempi ja nopeampi kuin IKEv2. 

    Onko IKEv2 yhteensopiva laitteeni kanssa?

    VPN-protokollan yhteensopivuus riippuu siitä, miten sitä sovelletaan. Surfshark soveltaa sitä seuraavasti:

    • Windows: Ei (useimmat käyttäjät ovat vaihtaneet WireGuardiin)
    • Android: Kyllä
    • iOS: Kyllä
    • macOS: Kyllä
    • Linux: Ei 

    IKEv2 on ollut pitkän aikaa suositeltu protokolla mobiililaitteille ja se on tässä vain vahvistanut asemiaan. 

    Yhteenvetona: IKEv2 on IKE-OK.

    IKEv2 on laajalti luotettu ja hyväksytty VPN-protokolla. Käytettäessä sitä yhdessä IPsecin kanssa se tarjoaa pääsyn laadukkaisiin VPN-yhteyksiin monilla alustoilla. Vieläkin parempi, se on yhteyksiensä ansiosta houkutteleva vaihtoehto mobiilikäyttäjille, joiden pitää aina ottaa huomioon käytettävissään olevat resurssit. Sen vuoksi sitä tarjotaankin yhtenä protokollavaihtoehtona Surfshark VPN -käyttäjille – miksi et kokeilisi sitä myös itse?

    Hanki nopea mobiili-VPN
    Hanki Surfshark
    Surfshark

    Usein kysytyt kysymykset

    Sopiiko IKEv2 hyvin pelaamiseen?

    IKEv2 on hyvä VPN-protokolla pelaamiseen, koska se on varsin kevyt resurssi käyttää. 

    Onko IKEv2 VPN turvallinen?

    Kyllä. IKEv2:lla ei ole tunnettuja haavoittuvuuksia ja se on suojattu vahvalla salauksella. 

    Onko IKEv2 VPN ilmainen?

    IKEv2 VPN on sekä ilmainen että ei-ilmainen:

    1. Se on ilmainen siinä mielessä, että periaatteessa mikä tahansa käyttöjärjestelmä tukee sitä natiivisti.
    2. Se on ei-ilmainen siksi, ettei se vieläkään toimi ilman oikein määritettyä VPN-palvelinta (tämä koskee kaikkia VPN-protokollia). 

    Mikä on parempi: OpenVPN vai IKEv2?

    IKEv2 on taatusti parempi mobiililaitteille, koska se käyttää tehokkaammin laitteistoresursseja ja jälleenyhdistäminen on siinä helpompaa.

    Vaihtoehtovastaus: WireGuard. 

    Mikä on parempi: IKEv2 vai L2TP?

    IKEv2 tarjoaa paljon paremman turvallisuuden kuin L2TP.

    Onko IKEv2 turvallisempi kuin IKEv1?

    IKEv2 on turvallisempi kuin IKEv1 EAP (Extensible Authentication Protocol) -tukensa ansiosta. Se on myös nopeampi ja toimii paremmin. 

    Mitä IKEv2 tarkoittaa iPhonessa?

    iPhonessa IKEv2 on yksi iOSin tukemista VPN-protokollista. IKEv2 myös tarkoittaa samaa asiaa kaikkialla muualla.