پروتکل IKEv2 در سالهای اخیر هر چه بیشتر در حال کسب محبوبیت و رشد در استفاده بین ارائه دهندگان خدمات VPNها و به طبع آن کاربران وی پی ان است به خصوص کاربران موبایل. سخت نیست تا باور کنیم پروتکل IKEv2 تا چه اندازه خوب و موثر است وقتی از تمامی ویژگیهای منحصر به فرد آن اطلاع پیدا کنیم.
برای خرید vpn از سایت چیتا وی پی ان از طریق لینک اقدام کنید
اما براستی IKEv2 چیست؟ و چگونه به کاربران خود یک سرویس امن و مطمئن آنلاین را ارائه میکند؟ خب هر چیزی که نیاز دارید تا درباره آن بدانید در این مقاله برای شما گردآوری شده است.
IKEv2 چیست؟
این پروتکل به عنوان مبدل کلید اینترنت نسخه دوم یا Internet Key Exchange version 2 شناخته شده و به اختصار به آن IKEv2 گفته میشود. یک پروتکل رمزنگاری وی پی ان یا VPN encryption protocol است که عملیاتهای درخواست (Request) و پاسخ (Response) را بر عهده میگیرد. این پروتکل اطمینان حاصل میکند که ترافیک بر بستر SA یا Security Association که معمولا بر اساس IPSec کار میکند، به صورت امن جابجا شود.
IKEv2 به وسیله مایکروسافت (Microsoft) و سیسکو (Cisco) توسعه یافت تا ارتقایی برای IKEv1 باشد.
IKEv2 چگونه کار میکند؟
مانند هر پروتکل VPN دیگری، IKEv2 مسئول برقراری تونل (Tunnel) امن مابین VPN کاربر و VPN سرور است. این اتفاق به کمک احراز هویت (authenticating) اولیه بین آن دو رخ میدهد و سپس توافق در مورد روشهای رمزگذاری مورد استفاده صورت میپذیرد.
ما کمی قبل بیان کردیم که این پروتکل بر اساس SA کار میکند، اما SA یا Security Association چیست؟ به شکل ساده میتوان گفت که SA فرآیند برقراری ارتباط امن مابین دو شبکه که همان VPN سرور و VPN کاربر هست را بر عهده دارد. این فرآیند را به وسیله تولید کلید رمزگذاری متقارن یا symmetric encryption key برای هر دو سر ارتباط انجام میدهد. از کلید برای رمزنگاری و بعد از آن برای حذف آن بر روی تمامی دیتاهای منتقل شده از طریق VPN استفاده میشود.
اطلاعات تکنیکال عمومی درباره IKEv2
- پروتکلی است که از آخرین الگوریتمهای IPSec در کنار چندین سایفر رمزنگاری (encryption algorithms) دیگر استفاده مینماید.
- به شکل عمومی IKE daemon (یک برنامه که در طی فرآیند در پس زمینه فعال است) در قسمت حافظه سیستم متعلق به نرمافزارهای در حال اجرا، برای کاربر برقرار است در حالی که IPSec در فضای هسته یا همان Kernel (مرکز سیستم کاربر یا همان OS) برقرا میباشد. این شرایط به بهبود عملکرد کمک میکند.
- پروتکل IKEv2 از پاکتهای UDP و پورت 500 UDP استفاده کرده و به شکل معمول چهار تا شش پاکت در جهت ایجاد SA ضروری است.
- IKE بر اساس پروتکلهای امنیتی زیر کار میکند:
- ISAKMP (Internet Security Association and Key Management Protocol)
- SKEME (Versatile Secure Key Exchange Mechanism)
- OAKLEY (Oakley Key Determination Protocol)
- این پروتکل از MOBIKE (IKEv2 Mobility and Multihoming Protocol) پشتیبانی میکند که عملگری است که اجازه میدهد در برابر تغییرات شبکه پایدار بماند.
- زمانی که توسط مایکروسافت و سیسکو توسعه یافت، به شکل منبع باز یا Open Source مانند Open IKEv2، OpenVPN، OpenSwan و StronSwan ارائه شد.
- IKE از X.509 Certificate در زمان احراز هویت بهره میبرد.
IKEv1 در مقابل IKEv2
در اینجا لیستی از تفاوتهای مابین این دو ارائه شده است:
- پشتیبانی از دسترسی از راه دور یا Remote Access را به صورت پیش فرض با بهره گیری از احراز هویت EAP ارائه میدهد.
- برنامه نویسی شده است تا میزان پهنای باند یا bandwidth کمتری را نسبت به IKEv1 مصرف کند.
- پروتکل IKEv2 از کلیدهای رمزنگاری در دو سر ارتباط مابین کاربر و سرور برای ارتقائ امنیت نسبت به IKEv1 بهره میبرد.
- از MOBIKE پشتیبانی میکند که معنای پایداری ارتباط در اثر تغییران شبکه است.
- از NAT به صورت درون ریز بر خلاف IKEv1 استفاده میکند.
- میتواند بر خلاف ورژن نخست خود میتواند قابل استفاده بودن یک تونل وی پی ان را بررسی کند و به این پروتکل اجازه میدهد که به شکل خودکار ارتباط را در صورت قطع شدن برقرار نماید.
- از الگوریتمهای رمزنگاری بیشتری نسبت به IKEv1 پشتیبانی میکند.
- قابل اتکا تر است زیرا از مراحل بیشتری در جهت تصدیق ارتباط استفاده میکند.
- ابتدا بررسی میکند که درخواست کننده برقراری ارتباط وجود دارد یا خیر تا بعد از آن فرآیندها و عملیاتهای مربوط به خود را آغاز نماید و به همین دلیل است که نسبت به حملات DoS مقاومت و امنیت بیشتری دارد.
آیا IKEv2 امن است؟
بله، پروتکلی است امن برای استفاده انواع کاربران برای کاربردهای متفاوت. از رمزنگاری 256 بیت پشتیبانی کرده و از سایفرهایی مانند AES، 3DES، Camellia و ChaCha20 استفاده مینماید. همچنین پشتیبانی از PFS را به علاوه ویژگیهای پروتکل MOBIKE که سبب برقراری و پایداری ارتباط برای کاربر میشود را با خود به ارمغان میآورد.
شایان ذکر است که این پروتکل فرآیند احراز هویت را تنها در زمانی تایید مینماید که اطمینان حاصل نماید هیچ فرآیندی تا زمان تعیین و تایید هویت درخواست کننده صورت نمیپذیرد. همچنین به دلیل آنکه مایکروسافت بر روی این پروتکل به همراهی شرکت سیسکو کار کرده است از امنیت آن میتوان آسوده خاطر بود. همچنین IKEv2 پروتکلی دارای منبع کاملا بسته نیست تا زمانی کهopen-source implementations در آن وجود دارند.
اما اگر بخواهیم به مشکلات امنیتی بپردازیم…
1- مشکلات گذرواژه
اگر به سال 2018 برگردیم، برخی تحقیقات نشان میدهند که ضعف اصلی هر دو پروتکل IKEv1 و IKEv2 در آن است که در صورت استفاده از یک پسورد ضعیف در جهت ورود امکان هک شدن وجود دارد. به شکل معمول این یک نگرانی بسیار بزرگ نیست اگر شما از یک گذرواژه یا پسور قوی و مطمئن استفاده کنید. همچنین اگر این مسئولیت بر عهده VPN سرویسها باشد میتوان با خیال راحت از این پروتکل استفاده نمود.
2- بهره برداری NSA از ISAKMP
مجله آلمانی Der Spiegel گزارشاتی را از طرف NSA منتشر نمود که نشان میداد NSA میتوانسته از IKE و ISAKMP برای حذف کدگذاری ترافیک IPSec استفاده نماید. متاسفانه اطلاعات منتشر شده کمی نامشخص هستند و راه مشخص و تضمین شدهای برای تایید جزییات آن در دسترس نیست. اما اگر از ارائه کننده VPN مطمئنی سرویس دریافت میکنید، جای نگرانی برای شما وجود نخواهد داشت.
3- حملات اینترنتی
به نظر میرسد که تنظیمات IPSec VPN که اجاز میدهند چندین پیکربندی برقرار باشند، پتانسیل قرارگیری در معرض حملات اینترنتی را برای کاربر بالا میبرند. خوشبختانه، مشکل میتواند از طریق تغییر در تنظیمات و محدود کردن این ویژگی برطرف گردد و معمولا توسط ارائه دهندگان VPNها در نظر گرفته میشوند.
آیا IKEv2 سریع است؟
بله، IKEv2 / IPSec سرعت آنلاین مناسبی را ارائه می دهد. در حقیقت، این یکی از سریعترین پروتکل های VPN است که برای کاربران آنلاین در دسترس است – حتی به سرعت PPTP یا SoftEther. و این همه به لطف معماری بهبود یافته و روند کارآمد تبادل پیام / درخواست برای پیام است. همچنین، این واقعیت که با پورت UDP 500 کار می کند، تأخیر کم را تضمین می کند.
از این بهتر، به دلیل ویژگی MOBIKE، نیازی نیست نگران کاهش یا قطع شدن سرعت IKEv2 در هنگام تغییر شبکه باشید.
مزایا و معایب IKEv2
مزایا
- امنیت کاملاً قوی است زیرا از چندین رمز بالا رده پشتیبانی می کند.
- با وجود استاندارد امنیتی بالا ، سرعت آنلاین سریع را ارائه می دهد.
- به دلیل پشتیبانی از MOBIKE به راحتی می تواند در برابر تغییرات شبکه مقاومت کند و می تواند ارتباطات افتاده را به صورت خودکار بازیابی کند.
- بطور بومی در دستگاههای BlackBerry موجود است و می توان آن را در سایر دستگاههای تلفن همراه نیز پیکربندی کرد.
- تنظیم اتصال VPN IKEv2 نسبتاً ساده است.
معایب
- از آنجا که فقط از پورت 500 UDP استفاده می کند، یک فایروال یا ادمین شبکه می تواند آن را مسدود کند.
- همانند سایر پروتکل ها (PPTP ، L2TP ، OpenVPN ، SoftEther) سازگاری بین پلتفرمی را ارائه نمی دهد.