representation of IKEv2/IPsec

Vind jij de begrippen waarmee VPN’s worden beschreven ook vaak verwarrend? Misschien heb je de term IKEv2 (Internet Key Exchange Version 2) eerder gehoord, maar heeft niemand je ooit uitgelegd wat die inhoudt? In dat specifieke geval heb je geluk. Dit artikel heeft tot doel jou kennis te laten maken met IKEv2 en uit te leggen wat jij als VPN-gebruiker ermee kunt.

In het kort: wat is IKEv2 VPN?

IKEv2 VPN is een korte benaming voor het IKEv2/IPsec VPN-protocol dat wereldwijd erg populair is. Het is een combinatie van een IKEv2-sleutelbeheerprotocol (dat ervoor zorgt dat jouw apparaat en een VPN-server elkaar herkennen) en een IPsec-protocol (dat veiligheid biedt bij het tunnelen en transporteren van gegevens).

Inhoudsopgave

    Wat is IKEv2?

    IKEv2 is een VPN-protocol. Eigenlijk heet het IKEv2/IPsec omdat het een samenvoeging van twee verschillende communicatieprotocollen is. Het IKEv2-deel is verantwoordelijk voor de veiligheidsassociatie (het bepaalt welke aard van beveiliging voor de verbinding zal worden gebruikt en regelt die vervolgens) tussen jouw apparaat en de VPN-server en IPsec regelt de gegevensoverdracht. 

    IKE bouwt voort op het Oakley Key Determination Protocol en ISAKMP, die allebei algemeen geaccepteerde methodes vertegenwoordigen voor twee apparaten die voor het uitwisselen van gegevens veiligheidssleutels (voor het coderen van gegevens) moesten genereren via een onbeveiligde verbinding. 

    Stel je even voor dat je een geheim bericht wilt versturen naar iemand die je niet kent. Als je het codeert/schrijft met cijfers, kan iemand die het bericht onderschept het niet lezen, maar de ontvanger ook niet. Hoe geef je cijfercode voor het lezen van het bericht door als je de ontvanger niet kent? IKEv2 lost dit op door iets te doen dat een beetje lijkt op de oplossing van het wolf–schaap–kool vraagstuk. 

    IKEv2 maakt gebruik van X.509-certificaten (een standaard die kan identificeren dat een openbare codering van jou afkomstig is) waarmee de apparaten zichzelf kunnen voorstellen. Vervolgens wordt er een ‘gedeeld geheim’ gecreëerd via een Diffie–Hellman-sleuteluitwisselingsalgoritme, dat hier het best wordt uitgelegd. 

    Dit geeft allemaal aan dat IKEv2 gebruik maakt van openbaar geteste en algemeen geaccepteerde standaarden voor cryptografische beveiliging.

    Waarom gaan IKEv2 en IPsec altijd samen?

    Dankzij een gezamenlijke inspanning van Microsoft en Cisco is IKEv2 vast verbonden met IPsec. De samenvoeging van IKEv2 en IPsec is een van de geheimen achter de snelheid ervan. 

    IKEv2 wordt uitgevoerd in de gebruikersruimte, waardoor het toegang heeft tot de gegevensopslag. Daardoor kan het gemakkelijk de configuratiegegevens ophalen die voor de beveiligingsorganisatie vereist zijn. 

    Aan de andere kant zorgt IPsec voor de uitvoering van de kern, de diepe laag van de computersystemen die alles regelt. Het stelt het systeem in staat om gegevens veel sneller te verwerken. 

    An image explaining how IPsec and IKEv2 work together.

    Door samen te werken kan IKEv2 met gebruik van enkele gegevenspakketten een beveiligingsassociatie met de server opzetten. Vervolgens geeft het alle gegevens, de IP- adressen, de gebruikte veiligheidsmaatregelen en de poorten die worden gebruikt voor de verbinding en door aan IPsec, dat vervolgens de beveiligingsassociaties gebruikt om het verkeer te coderen. 

    Wat doet IPsec precies? Goed dat je dat vraagt. Wij hebben een geweldig artikel waarin de basisbeginselen van IPsec-VPN’s worden uitgelegd. Hierin wordt ook toegelicht waarom doorgaans de aanduiding IKEv2 wordt gebruikt en niet de volledige naam IKEv2/IPsec (kort gezegd is dat omdat IKEv2 is geïmplementeerd in 2005. Een veel recentere ontwikkeling dus dan IKEv1 en IPsec uit 1995).

    Wat is het verschil tussen IKEv1 en IKEv2?

    Wellicht vraag je je af wat de beide versies zo bijzonder maakt. Nou, er zijn nogal wat verschillen tussen IKEv1 en IKEv2, waarvan de details vooral van belang zijn voor de gebruikers van VPN’s. Het gaat in feite om de volgende vier aspecten:

    1. IKEv2 werkt sneller en efficiënter omdat sommige processen bijgesnoeid en geoptimaliseerd zijn;
    2. IKEv2 verbruikt minder bandbreedte;
    3. IKEv2 beschikt over een ingebouwde NAT(netwerkadresvertaling)-traversal;
    4. IKEv2 ondersteunt EAP (Extensible Authentication Protocol) en is daardoor veiliger.

    Is IKEv2 VPN veilig?

    Het antwoord is: ja.

    De veiligheid van een VPN-protocol wordt bepaald door de implementatie en de aspecten die inherent zijn aan het protocol zelf. IKEv2 heeft op zich geen bekende kwetsbaarheden.

    Dus als jouw VPN-provider IKEv2 op de juiste manier configureert, zullen er geen veiligheidsgerelateerde problemen optreden.

    Hoe stel ik IKEv2 in op mijn apparaat?

    De gemakkelijkste manier om IKEv2 in te stellen op jouw apparaat, is gebruik maken van een VPN-dienst die IKEv2 ondersteunt. macOS-, iOS en Android-gebruikers hoeven dus alleen maar de volgende instructies op te volgen:

    1. Abonneer jezelf op Surfshark;
    2. Download en installeer de app.
    3. Schakel over op IKEv2 door naar Instellingen > VPN-instellingen > Protocol te gaan. 

    En dat is het!

    Als je dit handmatig wilt doen of wilt instellen voor Windows of Linux, is het een stuk lastiger.

    Hoe stel ik IKEv2 in op Windows 11

    Heb je een VPN-provider en de instellingen voor de server waarmee je verbinding gaat maken? Ga dan als volgt te werk: 

    1. Open de zoekfunctie (klik op het vergrootglas naast het Windows-pictogram in de taakbalk);
    2. Typ ‘VPN’
    3. Selecteer VPN-instellingen;
    4. Klik op ‘VPN toevoegen’;
    5. Voer de vereiste gegevens in;
    6. Klik op het pictogram voor internetverbinding/audio/accu (in geval van een laptop) naast het klok-symbool in de taakbalk;
    7. Klik op ‘VPN’;
    8. Selecteer de verbinding die je hebt aangemaakt;
    9. Klik op verbinden.

    Hoe stel ik IKEv2 in op macOS?

    Hier volgt onze handleiding voor het instellen van IKEv2 met Surfshark als provider. Als je nog een andere provider hebt en het beveiligingscertificaat van die provider als is geïnstalleerd op je systeem, doe je het volgende:

    1. Open Systeemvoorkeuren en selecteer ‘Netwerk’;
    2. In het venster netwerk klik je op het ‘+’-symbool, voer je de vereiste instellingen in en klik je vervolgens op ‘Maken:’
      1. Interface: VPN;
      2. VPN-type: IKEv2;
      3. Servicenaam: je kunt de naam helemaal zelf kiezen.
    3. Vul het serveradres en de externe ID in, die je van je VPN-provider hebt ontvangen; 
    4. Klik op de knop ‘Authenticatie-instellingen’, selecteer ‘Gebruikersnaam’ als authenticatiemethode en voer je toegangsgegevens in;
    5. Druk op ‘OK’ en pas de instellingen toe;
    6. Klik op Verbinden om een verbinding tot stand te brengen;
    7. Als je het selectievakje ‘VPN-status weergeven in menubalk’ hebt aangevinkt, kun je nu gemakkelijk rechtstreeks via de menubalk de verbinding tot stand brengen en weer verbreken.

    Hoe stel ik IKEv2 in op mijn Android? 

    Als Surfshark-gebruiker volg je de volgende aanwijzingen om IKEv2 handmatig in te stellen voor Android. Als je Surfshark niet gebruikt, heb je een beveiligingscertificaat van je VPN-provider nodig en ga je als volgt te werk: 

    1. Download de strongSwan VPN Client-app via Google Play;
    2. Open de strongSwan-app, tik op de drie verticale stippen bovenin en kies ‘CA certificates’ (CA-certificaten);
    3. In de lijst van certificaten tik je op de drie verticale stippen en kies je ‘Import certificate’ (Certificaat importeren);
    4. Zoek jouw certificaat op, tik erop en tik dan op ‘Import certificate’ (Certificaat importeren);
    5. Keer terug naar het hoofdscherm van strongSwan en tik op ‘Add VPN’ (VPN toevoegen);
    6. Voer in het veld ‘Server’ de hostnaam in van je VPN-server;
    7. In de velden ‘Username’ (gebruikersnaam) en ‘Password’ (wachtwoord) typ je de toegangsgegevens;
    8. Typ een naam naar keuze in het veld ‘Profile name’;
    9. Tik op ‘Save’ (Opslaan);
    10. Eenmaal terug in het hoofdscherm, tik je op het nieuwe profiel om verbinding te maken;
    11. Dat is alles!

    Hoe stel ik IKEv2 in voor Ubuntu?

    Ervan uitgaande dat je al een VPN-provider en een server hebt, ga je als volgt te werk:

    1. Open de terminal;
    2. Typ ‘sudo apt-get install -y strongswan network-manager-strongswan libcharon-extra-plugins’;
    3. Open ‘Connection Settings’ (Verbindingsinstellingen) en selecteer ‘Wired Connections’ (Bedrade verbindingen) en ‘Wired Setting’ (Bedrade instelling);
    4. Klik op het enorme plus-teken naast ‘VPN’;
    5. Kies IKEv2;
    6. Voer je gebruikersnaam, wachtwoord en andere gegevens van de VPN-verbinding in;
    7. Klik op ‘Add’ (Toevoegen);
    8. Nu kun je verbinding maken met een VPN!

    Hoe stel ik IKEv2 in op iOS?

    Hier volgt onze handleiding voor het instellen van IKEv2 op iOS met gebruik van Surfshark. Als je nog een andere provider hebt en het beveiligingscertificaat van die provider als is geïnstalleerd op je systeem, doe je het volgende:

    1. Open de Instellingen-app op je apparaat, ga naar ‘Algemeen’ en tik op het tabblad VPN;
    2. Selecteer ‘Voeg VPN-configuratie toe…’ en vul de vereiste gegevens in:
      1. Type: IKEv2;
      2. Beschrijving: een naam naar keuze voor deze verbinding;
      3. Server: de hostnaam van de server.
      4. Externe ID: dezelfde hostnaam die je hebt ingevuld in het veld ‘Server’;
      5. Lokale ID: blijft leeg;
      6. Authenticatie gebruiker: selecteer ‘Gebruikersnaam’;
      7. Gebruikersnaam: jouw gebruikersnaam voor de VPN-dienst;
      8. Wachtwoord: jouw wachtwoord voor de VPN-dienst;
      9. Proxy: Uit.
    3. Druk op ‘Gereed’ nadat je alle gegevens hebt ingevoerd.
    4. Jouw VPN-verbinding is nu te zien in het tabblad VPN in Instellingen > Algemeen.

    Hoe doet IKEv2 het in vergelijking met andere protocollen?

    Natuurlijk zijn er naast IKEv2 nog andere protocollen en veel mensen willen weten hoe goed het ene protocol scoort in vergelijking met een ander.

    Op internet is veel onjuiste informatie te vinden over VPN-protocollen. Vooral dat de protocollen zelf met elkaar te vergelijken zijn. Als het gaat om de snelheid en de veiligheid van VPN-protocollen, zijn de volgende punten bepalend:

    1. Een protocol zonder bekende kwetsbaarheden wordt als veilig beschouwd;
    2. De snelheid van je VPN-verbinding wordt voornamelijk bepaald door:
      1. de kwaliteit van je internetdienst;
      2. de kwaliteit van je apparaat;
      3. de doorlooptijd en de belasting van de VPN-server;
      4. de nabijheid van de VPN-server.

    Welk protocol vervult dan de veiligheidscriteria? Voornamelijk drie – OpenVPN, WireGuard® en IKEv2. Alle andere populaire protocollen zijn ofwel kwetsbaar gebleken (PPTP, L2TP/IPsec) of nooit onderzocht (SSTP).

    Uiteindelijk hangen de prestaties van ieder VPN-protocol af van de wijze waarop jouw apparaat een interactie aangaat met de VPN-serverconfiguratie. Gebruik dus de provider die jij vertrouwt en het VPN-protocol dat voor jou het beste werkt!

    ‘WireGuard’ is een geregistreerd handelsmerk van Jason A. Donenfeld.

    IKEv2 vs. OpenVPN: welke is beter?

    Voor regelmatige VPN-gebruikers lijken IKEv2 en OpenVPN sterk op elkaar. 

    • Beide protocollen zijn uitermate veilig: ze staan veel cryptografische algoritmen toe en hebben geen bekende kwetsbaarheden; 
    • IKEv2 is in technisch opzicht sneller: door een andere benadering van de codering is IKEv2 bijna altijd sneller dan OpenVPN. Of dat verschil in snelheid ertoe doet, is een andere vraag; 
    • IKEv2 is technisch gezien gemakkelijker in te richten: veel besturingssystemen en mobiele systemen bieden standaard IKEv2-ondersteuning. Om OpenVPN handmatig in te stellen, moeten gebruikers een installer downloaden: 
    • IKEv2 is stabieler: IKEv2 pakt herverbindingen beter aan dan OpenVPN; 
    • IKEv2 maakt automatisch opnieuw verbinding: niet dat je bij OpenVPN continu moet opletten, maar mobiele gebruikers zullen de stabiliteit die hiermee gepaard gaat op prijs stellen. 

    Uiteindelijk zijn beide protocollen goed, maar IKEv2 biedt meer voordelen voor mobiele gebruikers. 

    Wat zijn de voor- en nadelen van IKEv2? 

    IKEv2 biedt tal van voordelen en enkele nadelen, waaronder:

    Veilige codering
    De codering van IKEv2/IPsec heeft de vooruitgang bijgehouden en is net zo veilig als ieder ander beschikbaar protocol.

    Als we daarnaast de brede apparaatondersteuning in aanmerking nemen, betekent dit dat je met IKEv2/IPsec apparaten kunt beveiligen die de nieuwste VPN-protocollen wellicht niet kunnen uitvoeren.
    Stabiliteit van de verbinding
    IKEv2/IPsec wisselt soepel van netwerk als jij je verplaatst en houdt de verbinding altijd stabiel.

    Mobiele gebruikers waarderen dat enorm, omdat zij zich voortdurend verplaatsen.
    Snelheid
    IKEv2/IPsec gaat heel efficiënt om met de apparaatresources. Dat maakt het niet alleen sneller, maar ontziet ook minder krachtige apparaten.

    Dat is belangrijk voor smartphone-gebruikers, omdat zij over minder vermogen beschikken dat bijvoorbeeld laptopgebruikers.
    Apparaatondersteuning
    IKEv2/IPsec kan worden geïmplementeerd op computers, routers en smartphones, omdat het een behoorlijk aantal platforms/besturingssystemen ondersteunt.

    Je hebt alleen iets aan een veilig VPN-protocol als je apparaat ermee kan werken. Met IKEv2/IPsec kan het hoogstwaarschijnlijk prima uit de voeten.

    De nadele zijn nauwelijks noemenswaardig: WireGuard is nieuwer en sneller dan IKEv2. 

    Is IKEv2 compatibel met mijn apparaat?

    De compatibiliteit van een VPN-protocol wordt bepaald door de wijze waarop het wordt geïmplementeerd. Surfshark doet dat zo:

    • Windows: Nee (de meeste gebruikers zijn overgestapt op WireGuard)
    • Android: Ja
    • iOS: Ja
    • macOS: Ja
    • Linux: Nee 

    IKEv2 is lange tijd het aanbevolen protocol geweest voor mobiele apparaten en doet het niet op dat vlak nog steeds goed. 

    Kortom: IKEv2 is IKE-OK

    IKEv2 is een algemeen vertrouwd en geaccepteerd VPN-protocol. De tandemwerkwijze met IPsec geeft toegang tot kwalitatief hoogwaardige VPN-verbindingen via tal van platforms. Beter nog: dankzij de connectiviteit is dit het meest aantrekkelijke systeem voor mobiele gebruikers, die altijd aan hun resources moeten denken. Om dit reden is dit een van de protocollen waaruit Surfshark VPN-gebruikers kunnen kiezen. Waarom treed je niet toe tot die groep en ervaar je het zelf?

    Kies voor een snelle mobiele VPN

    Koop Surfshark

    Veelgestelde vragen

    Is IKEv2 geschikt om te gamen?

    IKEv2 is een goed VPN-protocol om te gamen omdat het relatief licht is als het gaat om het gebruik van resources. 

    Is IKEv2 VPN veilig?

    Ja. IKEv2 heeft geen bekende kwetsbaarheden en wordt beschermd door een krachtige versleuteling. 

    Is IKEv2 VPN gratis?

    IKEv2 VPN is zowel gratis als niet gratis:

    1. Het is gratis in die zin dat het standaard wordt ondersteund door nagenoeg elk besturingssysteem;
    2. Het is niet gratis omdat het nog steeds niet werkt zonder een naar behoren geconfigureerde VPN-server (dit geldt voor ieder VPN-protocol). 

    Welk systeem is beter: OpenVPN of IKEv2?

    IKEv2 is beslist beter voor mobiele apparaten, omdat het efficiënter gebruik maakt van hardwareresources en opnieuw verbinding maken heel gemakkelijk is.

    Het grappige antwoord: WireGuard. 

    Welk systeem is beter: IKEv2 of L2TP?

    IKEv2 biedt aanzienlijk betere beveiliging dan L2TP.

    Is IKEv2 veiliger dan IKEv1?

    Dankzij ondersteuning van het EAP (Extensible Authentication Protocol) is IKEv2 veiliger dan IKEv1. Het is ook sneller en werkt beter. 

    Welke betekenis heeft IKEv2 op een iPhone?

    Op een iPhone is IKEv2 een van de VPN-protocollen die iOS ondersteunt. Maar die betekenis heeft IKEv2 overal.