representation of IKEv2/IPsec

Вас іноді вводять в оману терміни, що використовуються у визначеннях VPN? Можливо ви зустрічали назву IKEv2 («версія 2 протоколу обміну ключами», але не знаєте, що вона означає? У цьому випадку вам буде корисною наша стаття — вона познайомить вас із протоколом IKEv2 і його роллю для вас як користувача VPN.

Зміст

    Що таке IKEv2?

    IKEv2 — це протокол VPN-тунелювання, який забезпечує безпечну онлайн-комунікацію між двома пристроями. IKEv2 працює з протоколом IPsec, які разом утворюють VPN-протокол під назвою IKEv2/IPSec. IKEv2 допомагає пристроям розпізнавати один одного, а протокол IPsec піклується про безпечне передавання даних.

    IKE заснований на протоколі визначення ключів Oakley і ISAKMP, які визначають поширені методи обміну даними між двома пристроями, необхідні для створення ключів безпеки (для шифрування даних) через незахищене з’єднання. 

    Уявіть, що хочете надіслати секретне повідомлення незнайомцю. Якщо ви зашифруєте/запишете його у зашифрованому вигляді, то в разі перехоплення ніхто не зможе його прочитати — включно з цільовим одержувачем. Як передати одержувачу шифр для читання вашого повідомлення, якщо ви не знаєте одержувача? Саме цим займається IKEv2 за принципом, як у популярній загадці про вовка, козу й капусту. 

    IKEv2 використовує сертифікати X.509 (стандарт ідентифікації того, що відкритий ключ належить саме вам) для того, аби пристрої могли представитися один одному. Потім вони створюють «спільний секрет» за допомогою алгоритму обміну ключами Діффі-Хеллмана, принцип роботи якого пояснюється тут. 

    Все це означає, що IKEv2 працює на публічно протестованих і загальноприйнятих стандартах криптографічної безпеки.

    Чому IKEv2 і IPsec завжди використовуються разом?

    IKEv2 був об’єднаний з IPSec спільними зусиллями Microsoft і Cisco. Об’єднання IKEv2 і IPsec — один із секретів його швидкості. 

    IKEv2 працює в просторі користувача, завдяки чому має доступ до сховища даних. Це дозволяє йому легко отримувати будь-які дані конфігурації, необхідні для зіставлення безпеки. 

    З іншого боку, IPsec працює в ядрі, глибокому шарі комп’ютерних систем, який керує всім. Це дозволяє йому обробляти дані набагато швидше. 

    An image explaining how IPsec and IKEv2 work together.

    Працюючи разом, IKEv2 використовує кілька пакетів даних для встановлення зіставлення безпеки зі сервером. Потім він бере всі дані — IP-адреси, засоби безпеки й порти, що беруть участь у з’єднанні — і передає їх IPsec, який потім використовує зіставлення безпеки для шифрування трафіку. 

    Що саме робить IPsec? Це хороше питання — ми маємо чудову статтю про основи роботи VPN із IPsec. Там також пояснюється, чому його зазвичай називають IKEv2, а не повним ім’ям IKEv2/IPsec (якщо коротко, то тому, що IKEv2 був реалізований у 2005 — a набагато пізніше, ніж IKEv1 і IPsec у 1995).

    Чим відрізняються IKEv1 і IKEv2?

    У вас може виникнути логічне питання про особливості кожної з цих версій. Між IKEv1 і IKEv2 є досить багато відмінностей, що мають значення переважно для користувачів VPN. Чотири найважливіші особливості описано нижче.

    1. IKEv2 працює швидше й ефективніше завдяки скороченню та оптимізації деяких процесів;
    2. IKEv2 споживає менше пропускної здатності;
    3. IKEv2 має вбудований обхід NAT («перетворення мережевих адрес»);
    4. IKEv2 підтримує EAP(розширюваний протокол автентифікації), що посилює його безпеку.

    Чи безпечні VPN із IKEv2?

    Коротка відповідь — так.

    Безпека VPN-протоколу зводиться до його реалізації і проблем, властивих самому протоколу. Сам по собі IKEv2 не має відомих уразливостей.

    Якщо VPN-провайдер налаштує IKEv2 правильно, то проблем із безпекою у нього не буде.

    Як налаштувати IKEv2 на моєму пристрої

    Найпростіший спосіб налаштувати IKEv2 на вашому пристрої — використовувати VPN-сервіс із підтримкою IKEv2. Для користувачів пристроїв із macOS, iOS і Android порядок дій є наступним:

    1. оформіть підписку на сервіс Surfshark;
    2. завантажте й установіть його додаток;
    3. перейдіть на IKEv2, перейшовши в Налаштування; Налаштування VPN; Протокол. 

    Готово!

    Якщо ви хочете зробити це вручну чи налаштувати IKEv2 на пристрої з Windows або Linux, процес буде трохи складнішим.

    Як налаштувати IKEv2 на Windows 11

    У вас уже є VPN-провайдер і налаштування сервера, до якого потрібно підключитися? Тоді зробіть наступне: 

    1. Відкрийте «Пошук» (клацніть на збільшувальне скло поруч із піктограмою Windows на панелі завдань);
    2. Введіть «VPN»;
    3. Оберіть налаштування VPN;
    4. Натисніть «Додати VPN»;
    5. Введіть потрібні дані;
    6. Клацніть піктограму підключення до Інтернету/аудіо/батареї (на ноутбуці) біля годинника на панелі завдань;
    7. Натисніть «VPN»;
    8. Оберіть створене вами підключення;
    9. Натисніть «Підключитися».

    Як налаштувати IKEv2 на MacOS

    Ознайомтеся з нашим посібником з налаштування IKEv2, якщо вашим провайдером є Surfshark. Якщо у вас інший провайдер і його сертифікат безпеки вже встановлений у вашій системі, зробіть таке:

    1. Відкрийте «Системні налаштування» і оберіть пункт «Мережа»;
    2. У вікні мережі клацніть «+» і введіть необхідні параметри перед натисканням «Створити»:
      1. Інтерфейс: VPN;
      2. Тип VPN: IKEv2;
      3. назва сервісу: будь-яке ім’я на ваш розсуд.
    3. Введіть адресу сервера й віддалений ідентифікатор, отримані від вашого VPN-провайдера; 
    4. Натисніть на кнопку «Налаштування автентифікації…», оберіть «Ім’я користувача» як метод автентифікації і введіть свої облікові дані;
    5. Натисніть OK і застосуйте налаштування;
    6. Натисніть «Підключитися», щоб встановити з’єднання;
    7. Позначивши прапорцем пункт «Показувати стан VPN у рядку меню», ви зможете легко підключатися й відключатися прямо звідти.

    Як налаштувати IKEv2 на Android 

    Якщо ви користуєтеся Surfshark, скористайтеся нашим посібником із ручного налаштування IKEv2 на Android-пристроях. Якщо ні, вам потрібно отримати сертифікат безпеки від свого VPN-провайдера й виконати наступні дії: 

    1. Завантажте VPN-додаток strongSwan із Google Play;
    2. Відкрийте додаток strongSwan, натисніть на три вертикальні точки вгорі й виберіть «СертифікатиCA»;
    3. У списку сертифікатів натисніть на три вертикальні точки й виберіть «Імпортсертифіката»;
    4. Знайдітьсвій сертифікат, натисніть на нього, потім натисніть «Імпортсертифіката»;
    5. Поверніться на головний екран strongSwan і натисніть «Додати VPN»;
    6. У полі «Сервер» введіть ім’я хоста вашого VPN-сервера;
    7. У полях «Ім’я користувача» і «Пароль» введіть облікові дані сервісу;
    8. Введіть будь-яку назву у полі імені профілю;
    9. Натисніть «Зберегти»;
    10. Поверніться на головний екран і натисніть на новий профіль для підключення.
    11. Готово!

    Як налаштувати IKEv2 в Ubuntu

    Якщо у вас вже є VPN-провайдер і сервер, вам потрібно зробити наступне:

    1. Відкрийте термінал;
    2. Введіть «sudo apt-get install -y strongswan network-manager-strongswan libcharon-extra-plugins»;
    3. Відкрийте «Параметри підключення» й виберіть «Дротові підключення», потім «Параметри дротового підключення»;
    4. Клацніть великий знак + поруч із «VPN»;
    5. Оберіть IKEv2;
    6. Введіть своє ім’я користувача, пароль і інші дані для підключення до VPN;
    7. Натисніть «Додати»;
    8. Тепер ви можете підключатися до VPN!

    Як налаштувати IKEv2 на iOS

    Ознайомтеся з нашим посібником із налаштування IKEv2 на iOS, якщо вашим провайдером є Surfshark. Якщо у вас інший провайдер і його сертифікат безпеки вже встановлений у вашій системі, зробіть таке:

    1. Відкрийте «Параметри» на своєму пристрої, перейдіть до розділу «Загальні» і клацніть вкладку VPN;
    2. Оберіть «Додати конфігурацію VPN…» і введіть усі необхідні дані:
      1. Тип: IKEv2;
      2. Опис: ваша назва цього підключення;
      3. Сервер: ім’я хоста сервера.
      4. Віддалений ідентифікатор: те саме ім’я хоста, яке ви ввели в полі «Сервер» ;
      5. Локальний ідентифікатор: залиште це поле порожнім;
      6. Автентифікація користувача: оберіть «Ім’я користувача»;
      7. Ім’я користувача: ім’я користувача вашого VPN-сервісу;
      8. Пароль: пароль до вашого VPN-сервісу;
      9. Проксі: вимк.
    3. Натисніть «Готово» після введення всіх даних;
    4. Тепер ваше VPN-підключення можна знайти на вкладці VPN у розділі «Налаштування» > «Загальні».

    Порівняння IKEv2 з іншими протоколами

    Звісно, крім IKEv2 існують інші протоколи, і користувачам завжди цікаво порівнювати їх один із одним.

    В Інтернеті багато дезінформації про VPN-протоколи, включно з самою ідеєю, що протоколи можна порівнювати. Насправді швидкість й безпека VPN-протоколу визначається наступними пунктами:

    1. Протокол без відомих уразливостей вважається безпечним;
    2. Швидкість вашого VPN-підключення здебільшого залежить від:
      1. Якості вашого інтернет-сервісу;
      2. Якості вашого пристрою;
      3. Пропускної здатності й навантаження VPN-сервера;
      4. Вашої близькості до VPN-сервера.

    Які ж протоколи відповідають критеріям безпеки? Їх три: це OpenVPN, WireGuard® і IKEv2. Решта популярних протоколів або були зламані (PPTP, L2TP/IPSec), або ніколи не перевірялися (SSTP).

    Загалом ефективність роботи будь-якого VPN-протоколу залежить від того, як ваш пристрій взаємодіє з конфігурацією VPN-сервера. Користуйтеся послугами провайдера, якому довіряєте, і VPN-протоколом, який найкраще підходить саме вам!

    WireGuard — зареєстрований товарний знак Джейсона А. Доненфельда (Jason A. Donenfeld).

    Що краще: IKEv2 чи OpenVPN?

    IKEv2 і OpenVPN є дуже схожими з точки зору звичайного користувача VPN. 

    • Обидва протоколи дуже безпечні: підтримують багато криптографічних алгоритмів і не мають відомих уразливостей; 
    • IKEv2 технічно є швидшим: через різницю в підходах до шифрування IKEv2 майже завжди працює швидше, ніж OpenVPN. Інше питання, наскільки важливою для користувача є різниця у швидкості; 
    • IKEv2 технічно швидше налаштовується багато ОС і мобільних систем мають вбудовану підтримку IKEv2. Для ручного налаштування OpenVPN користувачеві необхідно завантажити інсталятор: 
    • IKEv2 є більш стабільним: IKEv2 краще перепідключається, ніж OpenVPN; 
    • IKEv2 автоматично перепідключається: це не означає, що вам потрібно постійно стежити за OpenVPN, але мобільні користувачі цінують стабільність IKEv2, яка забезпечується його вмінням автоматично повторно підключатися. 

    Підсумовуючи, можна сказати, що обидва ці протоколи чудово працюють, але IKEv2 більше подобається мобільним користувачам. 

    Якими є переваги й недоліки IKEv2? 

    IKEv2 має безліч переваг і дуже мало недоліків — усі вони наведені нижче.

    Безпечне шифрування
    Шифрування IKEv2/IPsec йде в ногу з прогресом і за безпекою не поступається будь-якому іншому протоколу.

    У поєднанні з широкою підтримкою пристроїв це означає, що IKEv2/IPsec дозволяє захищати пристрої, які не підтримують новітні протоколи VPN.
    Стабільність з'єднання
    IKEv2/IPsec непомітно перемикається між мережами паралельно з вашим переміщенням, безперервно підтримуючи стабільне з'єднання.

    Мобільні користувачі вважають це дуже зручним, оскільки часто змінюють розташування разом зі своїми пристроями.
    Швидкість
    KEv2/IPsec дуже ефективно використовує ресурси пристроїв. Завдяки цьому він працює не тільки швидше, а й делікатніше на слабких пристроях.

    Це важливо для користувачів смартфонів, оскільки вони мають менше ресурсів у порівнянні з ноутбуками.
    Сумісність із пристроями
    IKEv2/IPsec можна реалізувати на комп'ютерах, маршрутизаторах і смартфонах завдяки його широкій підтримці різних платформ і операційних систем.

    Безпечний VPN-протокол буде корисним лише в тому випадку, якщо ваш пристрій зможе його використовувати. Швидше за все, IKEv2/IPsec він використовувати зможе.

    Для опису недоліків IKEv2 достатньо одного рядка: WireGuard є новішим і швидшим, ніж IKEv2. 

    Чи сумісний IKEv2 з моїм пристроєм?

    Сумісність VPN-протоколу залежить від того, як він реалізований. Із Surfshark ситуація є наступною:

    • Windows: Ні (більшість користувачів перейшли на WireGuard)
    • Android: Так
    • iOS: Так
    • macOS: Так
    • Linux: Ні 

    IKEv2 тривалий час був рекомендованим протоколом для мобільних пристроїв, і продовжує добре справлятися з цією роллю. 

    Висновки: IKEv2 є відмінним продуктом

    IKEv2 — надійний і популярний VPN-протокол. Працюючи в дуеті з IPsec, він надає доступ до якісних VPN-підключень на багатьох платформах. Окрім того, за ефективність підключень його високо цінують користувачі мобільних пристроїв із обмеженими ресурсами. Саме тому IKEv2 пропонується користувачам Surfshark VPN — чому би й вам не спробувати його в дії?

    Отримайте високошвидкісний мобільний VPN
    Отримати Surfshark
    Surfshark

    Питання й відповіді

    Чи підходить IKEv2 для ігор?

    IKEv2 — хороший VPN-протокол для ігор, оскільки він є досить економічним у споживанні ресурсів. 

    Чи безпечні VPN із IKEv2?

    Так. IKEv2 не має відомих уразливостей й захищений ефективним шифруванням. 

    IKEv2 для VPN — безкоштовний продукт?

    І так, і ні одночасно:

    1. він безкоштовний, оскільки підтримується практично всіма ОС;
    2. він платний, тому що все одно не працюватиме без правильно налаштованого VPN-сервера (це стосується будь-якого VPN-протоколу). 

    Що краще: OpenVPN чи IKEv2?

    IKEv2 є оптимальнішим для мобільних пристроїв через ефективніше використання апаратних ресурсів і простоту повторного підключення.

    Жартівлива відповідь: WireGuard. 

    Що краще: IKEv2 чи L2TP?

    IKEv2 дає набагато кращу безпеку, ніж L2TP.

    Чи є IKEv2 безпечнішим, ніж IKEv1?

    IKEv2 безпечніший, ніж IKEv1 через підтримку EAP (протокол розширюваної автентифікації). Окрім того, він працює швидше й ефективніше. 

    Що означає IKEv2 на iPhone?

    На iPhone IKEv2 є одним із VPN-протоколів, що підтримуються iOS. Те ж саме IKEv2 означає на всіх інших пристроях.