IKEv2 (Internet Key Exchange 2 bertsioa) Interneteko komunikazio segururako erabiltzen den protokoloa da. Bi gailuen artean VPN (Virtual Private Network) konexioa ezartzeko erabiltzen da, haien artean transmititzen diren datu guztiak zifratuta eta seguru daudela ziurtatuz. IKEv2 bere abiadura eta fidagarritasunagatik ezaguna da, eta gailu mugikorrentzako eta urruneko langileentzako aukera ezaguna da.
IKEv2 (Internet Key Exchange 2 bertsioa) Internet bidez bi gailuren arteko komunikazio segurua ezartzeko erabiltzen den protokoloa da. Normalean VPN (Virtual Private Network) konexioetarako erabiltzen da. Pentsa ezazu bi pertsonek telefono-linea publiko baten bidez pribatuki elkarri hitz egiteko erabiltzen duten kode sekretu bat bezala.
IKEv2 sare pribatu birtualeko (VPN) bezeroen eta zerbitzarien arteko komunikazio segururako erabiltzen den protokoloa da IPsec protokolo-multzoaren barruan. Microsoftek eta Ciscok elkarrekin garatu zuten eta 2005ean kaleratu zuten. IKEv1-en jatorrizko bertsioaren oinordekoa denez, IKEv2 da egungo protokoloa eta hainbat abantaila eskaintzen ditu aurrekoaren aldean.
IKEv2-ren onura esanguratsuetako bat IPsec end-to-end garraio moduko konexioak onartzeko gaitasuna da. Era berean, Windows-entzat elkarreragingarritasuna eskaintzen du muturreko segurtasunerako IKEv2 erabiltzen duten beste sistema eragile batzuekin. Gainera, Suite B (RFC 4869) eskakizunak onartzen ditu eta AuthIP/IKEv1 zabaltzen duten lehendik dauden politikekin batera dago. IKEv2 Segurtasun Elkartea (SA) konfiguratzeaz arduratzen da VPN bezeroen eta VPN zerbitzarien arteko komunikazio segurua IPsec barruan.
Zer da IKEv2?
IKEv2 Internet Key Exchange 2 bertsioa da. IPsec VPN tunel bat ezartzeko erabiltzen den protokoloa da. IKEv2 tunel-protokolo segurua da, datuak enkriptatzen dituena eta bi amaiera-puntuen arteko autentifikazioa eskaintzen duena. IKE protokoloaren azken bertsioa da, ezaugarri berri asko dituena, fidagarriagoa, seguruagoa, azkarragoa eta sinpleagoa bihurtzen dutenak.
IKEv2 protokoloa
IKEv2 bi punturen arteko konexioa ziurtatzeko protokoloa da. Bi amaiera-puntuen arteko konexio seguru eta autentifikatu bat ezartzeko erabiltzen da. IKEv2-k IKEv1-ek baino mezu gutxiago trukatzen ditu segurtasun-elkarte bat ezartzeko. Horrek azkarragoa eta eraginkorragoa egiten du.
IKEv2/IPsec Protokoloa
IKEv2 sarritan erabiltzen da IPSec protokolo multzoarekin VPN konexio segurua eskaintzeko. IPSec-ek datu-paketeen enkriptatzea eta autentifikazioa eskaintzen du, eta IKEv2-k, berriz, bi amaiera-puntuen arteko konexio segurua eta autentifikatua eskaintzen du. IKEv2/IPsec bere segurtasunagatik eta fidagarritasunagatik oso erabilia den VPN protokolo ikaragarria da.
IKEv2 vs IKEv1
IKEv2-k abantaila asko ditu IKEv1-en aldean. Esaterako, IKEv2-k aurrerako sekretu ezin hobea eskaintzen du, hau da, hacker batek gako pribatua eskuratzea lortzen badu ere, ezingo du aldez aurretik atzemandako trafikoa deszifratu. IKEv2-k konexio fidagarriagoa ere erabiltzen du, mezu guztiak eskaera/erantzun bikote gisa bidaltzen baitira, beraz, bakoitza egiaztatzen da. Hau "truke" gisa ezagutzen da.
IKEv2-k IKEv1-ek baino zifratze-algoritmo eta autentifikazio-metodo gehiagorako onartzen du. IKEv2-k segurtasun-elkarte bat ezartzeko modu errazagoa eta eraginkorragoa ere eskaintzen du.
Bukatzeko, IKEv2 VPN konexioa ezartzeko erabiltzen den protokolo seguru eta fidagarria da. Bi amaierako puntuen arteko enkriptatzea, autentifikazioa eta tunel segurua eskaintzen ditu. IKEv2 IKEv1 baino hobekuntza bat da, segurtasun, fidagarritasun eta eraginkortasun gehiago eskaintzen ditu.
IKEv2 xehetasun teknikoak
IKEv2 bi gailuen arteko konexio segurua ezartzeko erabiltzen den protokoloa da, normalean bezero eta zerbitzari baten artean. IKEv1-en ondorengoa da eta Microsoft-ek eta Ciscok elkarrekin garatu zuten. IKEv2 IPsec suitearen parte da eta munduko VPN protokolorik erabilienetako bat da. VPN irtenbide azkarra, segurua eta urruneko lana ahalbidetzen du.
IKEv2 autentifikazioa
IKEv2-k hainbat autentifikazio-metodo onartzen ditu, besteak beste, aurrez partekatutako gakoak, RSA sinadurak eta Extensible Authentication Protocol (EAP). Aurrez partekatutako gakoak trafikoa trukatzen duten bi gailuak autentifikatzeko erabiltzen dira. RSA sinadurak gailuak autentifikatzeko eta trukatutako paketeen osotasuna egiaztatzeko erabiltzen dira. EAP erabiltzen da erabiltzaileen autentifikazioa ahalbidetzen duen autentifikazio-metodo malguagoa eta seguruagoa emateko.
IKEv2 faseak
IKEv2 bi fasetan funtzionatzen du. Lehen fasean, bi gailuek kanal seguru bat ezartzen dute Internet Security Association eta Key Management Protocol (ISAKMP) erabiliz. Bigarren fasean, bi gailuek IPsec tunelaren parametroak negoziatzen dituzte, enkriptazio algoritmoak, autentifikazio metodoak eta Diffie-Hellman taldeak barne.
IKEv2 Trukeak
IKEv2-k truke sorta bat erabiltzen du bi gailuen arteko kanal segurua ezartzeko eta mantentzeko. Trukeak honako hauek dira:
- Hasitzaileak proposamena bidaltzen du: abiarazleak proposamen bat bidaltzen dio erantzun dionari, erabili beharreko enkriptazio eta autentifikazio algoritmoak barne hartzen dituena.
- Erantzuntzaileak proposamen bat bidaltzen du: erantzuleak proposamen bat bidaltzen dio abiarazleari, bere enkriptazio eta autentifikazio algoritmoak barne hartzen dituena.
- Diffie-Hellman trukea: Bi gailuek Diffie-Hellman gako publikoak trukatzen dituzte sekretu partekatu bat ezartzeko.
- Autentifikazio-trukea: Bi gailuek elkar autentifikatzen dute aukeratutako autentifikazio metodoa erabiliz.
- IPsec tunelaren sorrera: Bi gailuek IPsec tunela sortzen dute negoziatutako parametroak erabiliz.
Beste xehetasun tekniko batzuk
IKEv2-k Perfect Forward Secrecy (PFS) onartzen du, hau da, erasotzaile batek saio baterako erabilitako gakoak arriskuan jartzen baditu, ezingo ditu aurreko edo etorkizuneko saiorik deszifratu. IKEv2-k Oakley-ren gako-trukea ere onartzen du, hau da, bi gailuk kanal seguru batean partekatutako sekretu bat adosteko modua eskaintzen duen gako-akordio-protokoloa.
Laburbilduz, IKEv2 VPN protokolo azkarra, segurua eta oso erabilia da, autentifikazio-metodo malgu eta segurua eskaintzen duena, PFS onartzen duena eta truke sorta bat erabiltzen duena bi gailuen arteko kanal segurua ezartzeko eta mantentzeko.
IKEv2 Abantailak
IKEv2 IPsec VPN tunel bat ezartzeko erabiltzen den Interneteko gakoen truke protokoloaren azken bertsioa da. Hainbat abantaila eskaintzen ditu aurreko IKEv1-en aldean. Atal honetan, IKEv2ren abantailak aztertuko ditugu.
Abiadura eta Konfiantza
IKEv2 IKEv1 baino azkarragoa da tunel bat ezartzeko mezu gutxiago erabiltzen dituelako. Horrek esan nahi du IKEv2 eraginkorragoa dela, batez ere gailu mugikorretan. Gainera, sare batetik bestera aldatzean fidagarriagoa da, eta konexioak azkar berrezartzen ditu. IKEv2-k IKEv1-ek baino banda-zabalera gutxiago erabiltzen du, eta aukera ezin hobea da banda-zabalera mugatutako inguruneetarako.
Segurtasuna eta fidagarritasuna
IKEv2-k segurtasun-maila handia eskaintzen du enkriptazio sendoa eta autentifikazio-metodo ugari erabiliz, hala nola EAP eta RSA sinadurak. Era berean, Perfect Forward Secrecy (PFS) onartzen du, hau da, erasotzaile batek saio-gako baterako sarbidea lortzen badu ere, ezin duela erabili iraganeko edo etorkizuneko saioak deszifratzeko. IKEv2-k ere erresistentea da Deial of Service (DoS) erasoei, eta misio kritikoko aplikazioetarako aukera segurua da.
Segurtasun aurreratua
IKEv2-k Suite B (RFC 4869) eskakizunak onartzen ditu, hau da, bi alderdiren arteko komunikazio segurua eskaintzen duten algoritmo kriptografikoen multzoa. Mugikortasun eta etxebizitza anitzeko protokoloak ere onartzen ditu, gailu bati sare ezberdinen artean mugitzen den bitartean konexioa mantentzeko aukera ematen diotenak.
Laburbilduz, IKEv2-k hainbat abantaila eskaintzen ditu IKEv1-en aurrean, besteak beste, abiadura, konfiantza, segurtasuna eta fidagarritasuna. Aukera ezin hobea da banda-zabalera mugatutako inguruneetarako eta misio kritikoko aplikazioetarako. IKEv2-k segurtasun-eginbide aurreratuak ere eskaintzen ditu, hala nola, PFS, mugikortasuna eta etxebizitza anitzeko protokoloak, eta aukera segurua da segurtasun-maila handia behar duten erakundeentzat.
IKEv2 Desabantailak
IKEv2 VPN protokolo ezaguna da, urruneko lanerako VPN irtenbide azkar eta segurua eskaintzeagatik ezaguna. Hala ere, beste edozein teknologiak bezala, bere desabantailak ditu. Atal honetan, IKEv2ren desabantaila nagusietako batzuk eztabaidatuko ditugu.
Banda-zabalera eta bateragarritasuna
IKEv2-ren desabantaila nagusietako bat bere banda-zabalera handia da, eta horrek interneteko abiadura motelagoa izan dezake. Gainera, IKEv2 ez da sistema eragile guztiekin bateragarria, eta horrek bere erabilgarritasuna muga dezake egoera jakin batzuetan.
Konplexutasuna eta arazoak konpontzea
IKEv2 protokolo konplexua da, konfiguratzen eta arazoak konpontzen zaila izan daitekeena. Konplexutasun horrek erabiltzaile teknikoak ez direnentzat zaila izan daiteke konfiguratzea eta mantentzea. Gainera, IKEv2 konexioarekin arazoren bat izanez gero, arazoak konpontzea denbora asko eta frustrantea izan daiteke.
Enkriptatutako zifraketak
IKEv2-k enkriptatutako zifraketa multzo mugatu bat erabiltzen du, eta horrek eraso mota batzuen aurrean zaurgarria izan dezake. Gainera, IKEv2-k erabiltzen dituen zifratze batzuk beste VPN protokolo batzuek erabiltzen dituztenak baino seguruagotzat jotzen dira, WireGuard adibidez.
Beste gogoetak
IKEv2-ren errendimenduan eta segurtasunean eragina izan dezaketen beste faktore batzuk NAT zeharkatzea, aurrez partekatutako gakoak, L2TP, PPTP, UDP paketeak, L2TP/IPsec eta SSTP dira. Garrantzitsua da faktore hauek kontuan hartzea IKEv2 VPN konexioa konfiguratzean, errendimendu eta segurtasun ezin hobea bermatzeko.
Oro har, IKEv2-k desabantaila batzuk baditu ere, sare korporatiboetarako urruneko sarbide azkarra eta segurua eskaintzen duen VPN protokolo ezaguna izaten jarraitzen du. IKEv2-ren eragozpen potentzialak ulertuz eta horiek arintzeko neurriak hartuz, erabiltzaileek VPN protokolo indartsu honen abantailez gozatu ahal izango dute bere mugak gutxituz.
IKEv2 ezarpenak
IKEv2 ingurune ezberdin askotan erabiltzen da, Windows, Cisco IOS, Linux, StrongSwan, OpenIKEv2/OpenSwan eta abar barne. Hona hemen IKEv2-ren inplementazio ezagunenetako batzuk:
Microsoft
Microsoft-ek IKEv2rako euskarria sartu du Windows 7 eta bere sistema eragilearen ondorengo bertsioetan. IKEv2 Windows-en VPN konexioetarako gomendatutako protokoloa da, eta integratutako VPN bezero eta zerbitzariak erabiltzen du. IKEv2 Windows Phone eta Windows RT-n ere onartzen da.
Cisco
Cisco IOS bideratzaileak eta ASA suebakiek IKEv2 onartzen dute. IKEv2 Cisco IOS bideratzaileetan gunez guneko VPNetarako erabiltzen den protokolo lehenetsia da, eta Cisco AnyConnect VPN bezeroan ere onartzen da. Cisco-k IKEv2 erabiltzea gomendatzen du VPN konexioetarako, bere segurtasuna eta errendimendua hobetu direlako.
Linux
IKEv2 Linux-en onartzen da StrongSwan eta OpenIKEv2/OpenSwan inplementazioen bidez. StrongSwan IKEv2 onartzen duen Linuxerako kode irekiko VPN irtenbide ezaguna da. OpenIKEv2/OpenSwan IKEv2 onartzen duen eta beste VPN bezero eta zerbitzari askorekin bateragarria den kode irekiko beste VPN irtenbide bat da.
ExpressVPN
ExpressVPN VPN zerbitzu ezagun bat da, IKEv2 bere VPN protokoloetako bat bezala erabiltzen duena. IKEv2 ExpressVPN aplikazioak erabiltzen du Windows, macOS, iOS eta Android-en. ExpressVPN-k IKEv2 ere onartzen du protokoloa onartzen duten bideratzaileetan.
Beste Inplementazio batzuk
IKEv2 beste VPN bezero eta zerbitzari askok onartzen dute, Check Point, Fortinet, Juniper Networks eta abarrekoak barne. VPN hornitzaile askok IKEv2-rako laguntza eskaintzen dute beren zerbitzuetan.
Oro har, IKEv2 oso onartzen den VPN protokoloa da, eta segurtasun eta errendimendu hobeak eskaintzen ditu aurreko IKEv1-en aldean. Windows, Linux, Cisco IOS edo beste plataforma bat erabiltzen ari zaren ala ez, ziurrenik zure beharrak asetuko dituen IKEv2 inplementazio bat egongo da.
Ondorioa
Ondorioz, IKEv2 VPN bezero eta zerbitzarien arteko komunikazio autentifikatua bermatzen duen protokolo sendoa eta segurua da. Hainbat abantaila eskaintzen ditu aurreko IKEv1ekiko, besteak beste, konexio denbora azkarragoak, fidagarritasun hobea eta segurtasun-eginbide hobeak.
IKEv2-ren abantail nagusietako bat enkriptazio-gako anitz onartzeko gaitasuna da, 256 biteko enkriptatzea, 3DES, Camellia eta Chacha20 barne. Horrek ziurtatzen du VPN bidez transmititutako datuak enkriptazio sendoaren bidez babestuta daudela eta ez direla atzematea edo entzuterik jasan.
IKEv2-k X.509 ziurtagiriak ere erabiltzen ditu autentifikaziorako, aurrez partekatuak edo DNS bidez banatuak, eta Diffie-Hellman gako-trukea bezeroaren eta zerbitzariaren artean kanal seguru bat ezartzeko. Horrek bermatzen du baimendutako erabiltzaileei soilik ematen zaiela VPNrako sarbidea eta transmititzen diren datu guztiak zifratuta eta seguru daudela.
Gainera, IKEv2-k beste segurtasun-eginbide batzuk onartzen ditu, besteak beste, sekuentzia-zenbakiak, Encapsulating Security Payload (ESP) eta Layer 2 Tunneling Protocol (L2TP), datuak VPN bidez segurtasunez eta fidagarritasunez transmititzen direla ziurtatzen dutenak.
IKEv2 protokoloa RFC 2409, RFC 4306 eta RFC 7296-n definitzen da, eta IKE deabruak erabiltzailearen espazioan ezartzen du. Protokoloak bi truke nagusi erabiltzen ditu, IKE_AUTH trukea eta IKE_SA_INIT trukea, eta bezeroaren eta zerbitzariaren artean informazioa trukatzeko aukera ematen duen Notify karga bat ere barne hartzen du.
Orokorrean, IKEv2 aukera bikaina da gunez guneko VPNetarako eta urruneko sarbiderako VPNetarako, segurtasun-eginbide sendoak eta errendimendu fidagarriak eskaintzen ditu. Jarritako konexioetatik edo beste arazo batzuetatik salbu ez den arren, orokorrean VPN komunikaziorako protokolo oso seguru eta fidagarritzat jotzen da.
Irakurketa gehiago
IKEv2 Internet Key Exchange 2 bertsioko protokolo bat da, Internet bidez bi parekideren arteko komunikaziorako tunel seguru bat ezartzeko erabiltzen dena. Segurtasun-elkarteak negoziatzen ditu IPSec-en autentifikazio-protokolo-multzo baten barruan. IKEv2-k segurtasun-elkartea aldatu gabe mantentzea ahalbidetzen du azpiko konexioan aldaketak egin arren, eta eskaera- eta erantzun-ekintzak kudeatzen ditu segurtasun-elkartearen atributua autentifikazio-multzo batean ezarri eta kudeatzeko. (iturria: Pribatutasun gaiak)
Lotutako Interneteko sareko baldintzak