representation of IKEv2/IPsec

Вас иногда вводят в заблуждение термины, используемые для определения VPN? Возможно, вы встречали название IKEv2 («версия 2 протокола обмена ключами»), но не знаете, что это означает? В этом случае вам пригодится наша статья — она познакомит вас с протоколом IKEv2 и его ролью для вас как пользователя VPN.

Содержание

    Что такое IKEv2?

    IKEv2 — это протокол VPN-туннелирования, обеспечивающий безопасную онлайн-коммуникацию между двумя устройствами. IKEv2 работает с протоколом IPsec, которые в сочетании образуют VPN-протокол под названием IKEv2/IPSec. IKEv2 помогает устройствам распознавать друг друга, а протокол IPsec заботится о безопасной передаче данных.

    IKE основан на протоколе определения ключей Oakley и ISAKMP, которые определяют распространенные методы обмена данными между двумя устройствами, необходимые для создания ключей безопасности (для шифрования данных) через незащищенное соединение. 

    Представьте, что вы хотите отправить секретное сообщение незнакомцу. Если вы зашифруете/запишете его в зашифрованном виде, то в случае перехвата никто не сможет его прочитать — в том числе и целевой получатель. Как же передать получателю шифр для чтения вашего сообщения, если вы не знаете получателя? Именно этим занимается IKEv2, действуя как в популярной задачке про волка, козу и капусту. 

    IKEv2 использует сертификаты X.509 (стандарт идентификации принадлежности вам открытого ключа) для того, чтобы устройства могли представиться друг другу. Затем они создают «общий секрет» с помощью алгоритма обмена ключами Диффи-Хеллмана, принцип работы которого хорошо поясняется здесь. 

    Все это означает, что IKEv2 работает на публично протестированных и общепринятых стандартах криптографической безопасности.

    Почему IKEv2 и IPsec всегда используются вместе?

    IKEv2 был объединен с IPSec совместными усилиями Microsoft и Cisco. Объединение IKEv2 и IPsec — один из секретов его скорости. 

    IKEv2 работает в пользовательском пространстве, благодаря чему имеет доступ к хранилищу данных. Это позволяет ему легко извлекать любые данные конфигурации, необходимые для сопоставления безопасности. 

    С другой стороны, IPsec работает в ядре, глубоком слое компьютерных систем, который всем управляет. Это позволяет ему обрабатывать данные гораздо быстрее. 

    An image explaining how IPsec and IKEv2 work together.

    Работая вместе, IKEv2 использует несколько пакетов данных для установления сопоставления безопасности с сервером. Затем он берет все данные — IP-адреса, средства безопасности и участвующие в соединении порты — и передает их IPsec, который затем использует сопоставления безопасности для шифрования трафика. 

    Что именно делает IPsec? Это хороший вопрос — у нас есть отличная статья об основах работы VPN с IPsec. Там также объясняется, почему его обычно называют IKEv2, а не полностью IKEv2/IPsec (если коротко, то потому что IKEv2 был реализован в 2005 году — гораздо позже, чем IKEv1 и IPsec в 1995).

    В чем разница между IKEv1 и IKEv2?

    У вас может возникнуть логичный вопрос об особенностях каждой из этих версий. Между IKEv1 и IKEv2 довольно много различий, имеющих значение преимущественно для пользователей VPN. Перечислим четыре самых важных момента ниже.

    1. IKEv2 работает быстрее и эффективнее благодаря сокращению и оптимизации некоторых процессов;
    2. IKEv2 потребляет меньше пропускной способности;
    3. IKEv2 имеет встроенный обход NAT («преобразование сетевых адресов»);
    4. IKEv2 поддерживает EAP (расширяемый протокол аутентификации), усиливающий его безопасность.

    Безопасны ли VPN с IKEv2?

    Короткий ответ — да.

    Безопасность VPN-протокола сводится к реализации и проблемам, присущим самому протоколу. Сам по себе IKEv2 не имеет известных уязвимостей.

    Если ваш VPN-провайдер настроит IKEv2 правильно, то проблем с безопасностью у него не будет.

    Как настроить IKEv2 на моем устройстве

    Самый простой способ настроить IKEv2 на вашем устройстве — использовать VPN-сервис с поддержкой IKEv2. Для пользователей устройств с macOS, iOS и Android порядок действий следующий:

    1. оформите подписку на сервис Surfshark;
    2. скачайте и установите его приложение;
    3. переключитесь на IKEv2, перейдя в Настройки; Настройки VPN; Протокол. 

    Готово!

    Если вы хотите сделать это вручную или настроить IKEv2 на устройстве с Windows или Linux, процесс будет немного более сложным.

    Как настроить IKEv2 на Windows 11

    У вас уже есть VPN-провайдер и настройки сервера, к которому нужно подключиться? Тогда сделайте следующее: 

    1. Откройте «Поиск» (щелкните по увеличительному стеклу рядом со значком Windows на панели задач);
    2. Введите VPN;
    3. Выберите настройки VPN;
    4. Нажмите «Добавить VPN»;
    5. Введите необходимые данные;
    6. Щелкните значок подключения к Интернету/аудио/батареи (на ноутбуке) рядом с часами на панели задач;
    7. Нажмите на VPN;
    8. Выберите созданное вами подключение;
    9. Щелкните «Подключиться».

    Как настроить IKEv2 на macOS

    Ознакомьтесь с нашим руководством по настройке IKEv2 с Surfshark в качестве вашего провайдера. Если у вас другой провайдер и его сертификат безопасности уже установлен в вашей системе, сделайте следующее:

    1. Откройте «Системные настройки» и выберите «Сеть»;
    2. В окне сети щелкните значок «+» и введите необходимые параметры перед нажатием «Создать»;
      1. Интерфейс: VPN;
      2. Тип VPN: IKEv2;
      3. Название сервиса: вы можете выбрать любое имя на свое усмотрение.
    3. Введите адрес сервера и удаленный идентификатор, полученные от вашего VPN-провайдера; 
    4. Нажмите на кнопку «Настройки аутентификации…», выберите «Имя пользователя» в качестве метода аутентификации и введите свои учетные данные;
    5. Нажмите OK и примените настройки;
    6. Нажмите «Подключиться», чтобы установить соединение;
    7. Отметив галочкой пункт «Показывать статус VPN в строке меню», вы сможете легко подключаться и отключаться прямо из строки меню.

    Как настроить IKEv2 на Android 

    Если вы пользуетесь Surfshark, воспользуйтесь нашим руководством по ручной настройке IKEv2 на Android-устройствах. Если нет, вам нужно получить сертификат безопасности от своего VPN-провайдера и выполнить следующие действия: 

    1. Скачайте VPN-приложение strongSwan из Google Play;
    2. Откройте приложение strongSwan, нажмите на три вертикальные точки вверху и выберите «Сертификаты CA»;
    3. В списке сертификатов нажмите на три вертикальные точки и выберите «Импорт сертификата»;
    4. Найдите свой сертификат, нажмите на него, затем нажмите «Импорт сертификата»;
    5. Вернитесь на главный экран strongSwan и нажмите «Добавить VPN»;
    6. В поле «Сервер» введите имя хоста вашего VPN-сервера;
    7. В полях «Имя пользователя» и «Пароль» введите учетные данные сервиса;
    8. Введите любое название в поле имени профиля;
    9. Нажмите «Сохранить»;
    10. Вернитесь на главный экран и нажмите на новый профиль для подключения.
    11. Готово!

    Как настроить IKEv2 в Ubuntu

    Если у вас уже есть VPN-провайдер и сервер, вам нужно сделать следующее:

    1. Откройте терминал;
    2. Введите «sudo apt-get install -y strongswan network-manager-strongswan libcharon-extra-plugins»;
    3. Откройте «Настройки подключения» и выберите «Проводные подключения», затем «Настройка проводного подключения»;
    4. Щелкните большой знак «плюс» рядом с «VPN»;
    5. Выберите IKEv2;
    6. Введите свое имя пользователя, пароль и другие данные для VPN-подключения;
    7. Нажмите «Добавить»;
    8. Теперь вы можете подключаться к VPN!

    Как настроить IKEv2 на iOS

    Ознакомьтесь с нашим руководством по настройке IKEv2 на iOS с Surfshark в качестве вашего провайдера. Если у вас другой провайдер и его сертификат безопасности уже установлен в вашей системе, сделайте следующее:

    1. Откройте «Настройки» на своем устройстве, перейдите в раздел «Общие» и щелкните пункт VPN.
    2. Выберите «Добавить конфигурацию VPN…» и введите все необходимые данные:
      1. Тип: IKEv2;
      2. Описание: предпочитаемое название этого подключения;
      3. Сервер: имя хоста сервера.
      4. Удаленный идентификатор: то же имя хоста, которое вы ввели в поле «Сервер» ;
      5. Локальный идентификатор: оставьте это поле пустым;
      6. Аутентификация пользователя: выберите «Имя пользователя»;
      7. Имя пользователя: имя пользователя вашего VPN-сервиса;
      8. Пароль: пароль вашего VPN-сервиса;
      9. Прокси: выкл.
    3. Нажмите «Готово» после ввода всех данных;
    4. Теперь ваше VPN-подключение можно найти на вкладке VPN в разделе «Настройки» > «Общие».

    Сравнение IKEv2 с другими протоколами

    Конечно, помимо IKEv2 есть и другие протоколы, и пользователям всегда интересно сравнивать их друг с другом.

    В Интернете много дезинформации о VPN-протоколах, включая саму идею о возможности их сравнения. На самом деле скорость и безопасность VPN-протокола определяется следующим:

    1. Протокол без известных уязвимостей считается безопасным;
    2. Скорость вашего VPN-подключения в основном зависит от:
      1. Качества вашего интернет-сервиса;
      2. Качества вашего устройства;
      3. Пропускной способности и нагрузки VPN-сервера;
      4. Вашей близости к VPN-серверу.

    Какие же протоколы соответствуют критериям безопасности? Их три: OpenVPN, WireGuard® и IKEv2. Все остальные популярные протоколы либо были взломаны (PPTP, L2TP/IPSec), либо никогда не проверялись (SSTP).

    По сути эффективность работы любого VPN-протокола зависит от того, как ваше устройство взаимодействует с конфигурацией VPN-сервера. Пользуйтесь услугами провайдера, которому доверяете, и VPN-протоколом, который лучше всего подходит именно вам!

    WireGuard — зарегистрированный товарный знак Джейсона А. Доненфельда (Jason A. Donenfeld).

    Что лучше: IKEv2 или OpenVPN?

    IKEv2 и OpenVPN очень похожи с точки зрения обычного пользователя VPN. 

    • Оба протокола очень безопасны: используют множество криптографических алгоритмов и не имеют известных уязвимостей; 
    • IKEv2 технически более быстрый: из-за разницы в подходах к шифрованию IKEv2 почти всегда работает быстрее, чем OpenVPN. Другой вопрос, насколько важна для пользователя разница в скорости; 
    • IKEv2 технически быстрее настраивается: многие ОС и мобильные системы изначально поддерживают IKEv2. Для ручной настройки OpenVPN пользователю необходимо загрузить средство установки: 
    • IKEv2 более стабилен: IKEv2 лучше справляется с повторными подключениями, чем OpenVPN; 
    • IKEv2 автоматически переподключается: это не значит, что вам нужно все время следить за OpenVPN, но мобильные пользователи ценят стабильность IKEv2, которая обеспечивается его умением автоматически переподключаться. 

    Подводя итог, можно сказать, что оба эти протокола хороши, но IKEv2 больше нравится мобильным пользователям. 

    Каковы преимущества и недостатки IKEv2? 

    IKEv2 имеет множество преимуществ и очень мало недостатков. Все они перечислены ниже.

    Безопасное шифрование
    Шифрование IKEv2/IPsec идет в ногу с прогрессом и по безопасности не уступает любому другому протоколу.

    В сочетании с широкой поддержкой устройств это означает, что IKEv2/IPsec позволяет защищать устройства, которые не поддерживают новейшие VPN-протоколы.
    Стабильность соединения
    IKEv2/IPsec плавно переключается между сетями по мере вашего перемещения, непрерывно поддерживая стабильное соединение.

    Мобильные пользователи считают это очень удобным, так как часто меняют местоположение вместе со своими устройствами.
    Скорость
    KEv2/IPsec очень эффективно использует ресурсы устройств. Благодаря этому он не только работает быстрее, но и деликатнее на слабых устройствах.

    Это важно для пользователей смартфонов, поскольку у них ресурсов меньше по сравнению с ноутбуками.
    Совместимость с устройствами
    IKEv2/IPsec можно реализовать на компьютерах, маршрутизаторах и смартфонах благодаря его широкой поддержке разных платформ и операционных систем.

    Безопасный VPN-протокол будет вам полезен только в том случае, если ваше устройство сможет его использовать. С IKEv2/IPsec, скорее всего, так и будет.

    Для перечисления недостатков достаточно одной строки: WireGuard новее и быстрее, чем IKEv2. 

    Совместим ли IKEv2 с моим устройством?

    Совместимость протокола VPN зависит от того, как он реализован. У Surfshark это выглядит так:

    • Windows: Нет (большинство пользователей перешли на WireGuard)
    • Android: Да
    • iOS: Да
    • macOS: Да
    • Linux: Нет 

    IKEv2 долгое время был рекомендуемым протоколом для мобильных устройств, и продолжает хорошо справляться с этой ролью. 

    Выводы: IKEv2 — отличный продукт

    IKEv2 — широко используемый надежный VPN-протокол. Работая в дуэте с IPsec, он дает доступ к качественным VPN-подключениям на многих платформах. Более того, за эффективность подключений его высоко ценят пользователи мобильных устройств с ограниченными ресурсами. Именно поэтому IKEv2 предлагается пользователям Surfshark VPN — почему бы и вам не попробовать его на практике?

    Получите высокоскоростной мобильный VPN
    Surfshark

    Вопросы и ответы

    Подходит ли IKEv2 для игр?

    IKEv2 — хороший протокол VPN для игр, так как он довольно экономичен в потреблении ресурсов. 

    Безопасны ли VPN с IKEv2?

    Да. IKEv2 не имеет известных уязвимостей и защищен эффективным шифрованием. 

    IKEv2 для VPN — бесплатный продукт?

    И да, и нет:

    1. он бесплатен, потому что изначально поддерживается практически любой ОС;
    2. он платный, потому что все равно не будет работать без правильно настроенного VPN-сервера (это касается любого VPN-протокола). 

    Что лучше: OpenVPN или IKEv2?

    IKEv2 определенно больше подходит для мобильных устройств из-за более эффективного использования аппаратных ресурсов и простоты повторного подключения.

    Ответ с юмором: WireGuard. 

    Что лучше: IKEv2 или L2TP?

    IKEv2 дает гораздо лучшую безопасность, чем L2TP.

    IKEv2 безопаснее, чем IKEv1?

    IKEv2 безопаснее IKEv1 из-за поддержки EAP (расширяемый протокол аутентификации). Кроме того, он работает быстрее и эффективнее. 

    Что означает IKEv2 на iPhone?

    На iPhone IKEv2 — это один из VPN-протоколов, поддерживаемых iOS. То же самое IKEv2 означает на всех других устройствах.