Wie das IKEv2 VPN-Protokoll funktioniert: Ein detaillierter Überblick

Einführung in IKEv2

Was ist IKEv2?

IKEv2 ist eines der beliebtesten VPN-Protokolle, die uns zur Verfügung stehen. Es basiert auf dem Prinzip der Einrichtung einer Sicherheitsassoziation (SA) zwischen zwei Teilen des Netzes und bietet so eine sichere Verbindung. IPSec, eine Reihe von Netzwerksicherheitsprotokollen, wird immer zusammen mit IKEv2 verwendet und kann daher genauer als IKEv2/IPSec bezeichnet werden, während dies oft nur als IKEv2 abgekürzt wird.

Neben anderen VPN-Protokollen wird IKEv2 häufig für seine Stabilität, Sicherheit, Geschwindigkeit und Benutzerfreundlichkeit gelobt.

Wie funktioniert IKEv2?

Wie andere VPN-Protokolle ist auch IKEv2 für den Aufbau einer Art Tunnel zuständig, der eine sichere Kommunikation zwischen den beiden Enden eines bestimmten virtuellen privaten Netzwerks ermöglicht. Es nimmt auch am Authentifizierungsprozess teil, wobei es durch das SA-Attribut unterstützt wird. Letzteres ist für die Verschlüsselung mit symmetrischen Schlüsseln zuständig.

Das Tandem aus IKEvP und IPSec ist einer der Faktoren, die für die Geschwindigkeit von IKEv2 im Besonderen verantwortlich sind. Ersteres (IKEvP) arbeitet im Benutzerbereich, während letzteres im Kernel aktiv ist, einer tieferen Ebene, die einen spürbar schnelleren Zugriff auf die Hardwareressourcen ermöglicht.

Darüber hinaus ist IKEv2 für die Übermittlung der Informationen und die Einrichtung der SA zuständig, während IPSec den Verschlüsselungsprozess übernimmt.

​Ein Vergleich von IKEv1 und IKEv2

Wie der Name schon vermuten lässt, wurde IKEv2 offenbar von seiner älteren Version IKEv1 abgelöst.

Die zweite Version hat eine Reihe von neuen Funktionen erhalten, die der Grund für die Ablösung von IKEv1 sind. Unter ihnen:

• Für den Aufbau einer sicheren Verbindung sind nicht so viele Nachrichten erforderlich.
• Unterstützung von NAT-Traversal.
• EAP-Unterstützung.
• MOBIKE-Unterstützung, ermöglicht die Aufrechterhaltung der Verbindung auch im Falle einer Änderung der IP durch den Client.
• Es wird weniger SA benötigt, was zu einer Bandbreitensparsamkeit führt.
• Weitere Verschlüsselungsalgorithmen.
• DDoS-Widerstand.
• Erhöhte Zuverlässigkeit durch verbesserte Nachrichtenübermittlung.
• Unterstützung der asymmetrischen Authentifizierung.

​Advantages and Disadvantages of IKEv2

Vor- und Nachteile von IKEv2

Vorteile:

• Unterstützung einer Vielzahl von Sicherheitsalgorithmen.
• Die zertifikatsbasierte Authentifizierung bietet Widerstand gegen verschiedene Möglichkeiten der Sicherheitsbeeinträchtigung.
• Erhöhte Geschwindigkeit.
• Unterstützung von macOS, Windows, Linux und Android.
• MOBIKE macht IKEv2 für mobile Geräte praktischer, da man zwischen Netzen wechseln kann, ohne die Verbindung zum VPN zu unterbrechen.
• ist weit verbreitet und zugänglich.
• Geringere Latenzzeit durch UDP 500-Port.

Nachteile:

• Da es von Microsoft und Oracle entwickelt wurde, ist IKEv2 ein Closed-Source-Verfahren.
• Ist leicht zu blockieren, da er nur einen Port (UDP 500) verwendet.
• Passwörter sind leichter zu hacken.

IKEv2 im Vergleich zu anderen VPN-Protokollen

Neben IKEv2 gibt es viele andere VPN-Protokolle, die weit verbreitet sind.

IKEv2 vs. L2TP/IPSeс

L2TP ist ein weiteres Protokoll, das zusammen mit IPSec verwendet wird. Im Vergleich zu IKEv2 erweist es sich jedoch als weniger vorteilhaft.

Datenschutz: Nach Angaben von Edward Snowden wurde L2PT von Geheimdiensten durchbrochen, was bedeutet, dass es für eine der wichtigsten VPN-Funktionen nicht mehr vollständig nützlich sein könnte.

Geschwindigkeit: Der Tunnel von IKEv2 erwies sich als deutlich schneller als der von L2TP.

Stabilität: IKEv2 bietet seinen Nutzern eine bessere Stabilität. Außerdem ist es weniger anfällig für NAT-Firewalls.

IKEv2 vs. OpenVPN

IKEv2 wird im Allgemeinen als ebenso gut angesehen wie OpenVPN, mit dem Unterschied, dass letzteres Open-Source ist.

Sie haben in einigen Aspekten unterschiedliche Funktionsprinzipien. Zum Beispiel sichert OpenVPN die Daten während der Übertragung, während IKEv2 dies auf der IP-Ebene tut.

OpenVPN ist jedoch dank der Verwendung des TCP-Ports 443 resistenter gegen Blockierungen und Firewalls.

IKEv2 wiederum behält seine Geschwindigkeitsvorteile bei.

IKEv2 vs. WireGuard

WireGuard ist ein innovatives, modernes, quelloffenes und besonders kleines VPN-Protokoll (ca. 4000 Zeilen), das bereits von vielen VPN-Anbietern eingesetzt wird.

Durch die ausschließliche Verwendung von UDP kann er jedoch ohne große Schwierigkeiten blockiert werden.

Obwohl es sich noch in der Entwicklung befindet, teilt es im Allgemeinen viele Vorteile von IKEv2, da es sich ungefähr auf dem gleichen Niveau befindet.

Die 3 besten VPNs, die IKEv2 verwenden

NordVPN

NordVPN ist einer der größten VPN-Anbieter weltweit mit rund 5100 Servern und 60 Ländern. Er gilt als fähig, Firewalls jeder Ebene zu umgehen und ist einer der wenigen, die P2P-Server unterstützen.

Neben IKEv2 bietet NordVPN auch die Protokolle OpenVPN und Wireguard an.

Atlas VPN

Ist ein jüngerer, aber schnell wachsender VPN-Anbieter, der IKEv2 VPN anbietet. Derzeit bietet er ca. 750 Server und 37 Länder an.

Sie bieten auch erschwingliche Pläne an, sogar mit einem kostenlosen Plan, der ausreicht, um die grundlegenden Vorteile eines VPN-Dienstes zu erkunden.

ExpressVPN

Ein weiterer großer VPN-Anbieter mit einem Angebot von 160 in 94 Staaten.

Der Anbieter bietet unter anderem robuste Sicherheitsmaßnahmen.

Da es sich um einen recht teuren Anbieter handelt, sind seine Angebote ziemlich großzügig. Neben dem Protagonisten dieses Artikels bieten sie Protokolle wie Lightway (UDP oder TCP), OpenVPN (UDP oder TCP) und L2TP/IPSec.

Schlussfolgerung und Empfehlungen

IKEv2 ist ein weit verbreitetes, leistungsstarkes VPN-Protokoll, das von Windows und Oracle entwickelt wurde. Es ist schnell, stabil und zuverlässig und widersteht auch den meisten Firewalls. Daher ist es eine der am meisten empfohlenen Optionen auf dem Markt.

Auch wenn IKEv2 Ihren Anforderungen wahrscheinlich gerecht wird, sollten Sie sich nach Anbietern umsehen, die andere renommierte Protokolle wie Open VPN und Wireguard anbieten, damit Sie mehr Auswahlmöglichkeiten haben.

FAQ

Wird die IKEv2-Domäne durch die Sicherheit verdeckt?

Nicht wirklich, denn dafür ist das Protokoll nicht gedacht. IKEv2 selbst bietet keine Sicherheit, indem es Domains tarnt oder Informationen verbirgt. Sein Hauptzweck ist die Einrichtung eines sicheren Tunnels für die Datenübermittlung.

Läuft das Tempo von IKEv2 auf der Überholspur?

IKEv2 gilt als eines der schnellsten verfügbaren VPN-Protokolle. Die allgemeine Effizienz kann jedoch von einer Reihe externer Faktoren abhängen, z. B. von der Geschwindigkeit der Internetverbindung, der Leistung des Geräts, den Netzwerkbedingungen wie Latenz und Paketverlust, der Auslastung des VPN-Servers und den Verschlüsselungseinstellungen.

Welche Portnummer schützt die Herrschaft von IKEv2?

Der primäre von IKEv2 verwendete Port ist UDP-Port 500. Neben dem UDP-Port 500 kann IKEv2 auch den UDP-Port 4500 für Network Address Translation (NAT) Traversal verwenden. Dies ist von Bedeutung, wenn sich der Client oder Server hinter einem NAT-Gerät befindet.

Sprechen Sie über den Austauschbereich von Phase 1 und Phase 2.

Um einen sicheren Tunnel zu erstellen, verwendet IKEv2 ein zweistufiges Aushandlungsverfahren. Die erste Phase wird als IKE_SA_INIT bezeichnet, die zweite als IKE_AUTH.

Phase 1:

• Initiierung: Die beiden VPN-Peers tauschen Nachrichten aus, um sich auf Sicherheitsparameter zu einigen und einen sicheren Kommunikationskanal aufzubauen.
• Authentifizierung: Die VPN-Peers authentifizieren sich gegenseitig, um sicherzustellen, dass sie mit legitimen und vertrauenswürdigen Parteien kommunizieren. Zu den Methoden, die in der Regel bei der Authentifizierung zum Einsatz kommen, gehören Pre-Shared Keys, digitale Zertifikate und andere.
• Diffie-Hellman-Schlüsselaustausch:  IKEv2 verwendet das Diffie-Hellman-Schlüsselaustauschprotokoll, um sicheres Schlüsselmaterial auszutauschen, das in Phase 2 zur Verschlüsselung verwendet wird. Dies geschieht, damit beide Peers später in Phase 2 Schlüssel erstellen können.
• SA-Parameter: In dieser Phase werden auch einige andere Sicherheitsparameter ausgehandelt. Dazu gehören Verschlüsselungsalgorithmen, Integritätsalgorithmen, die Dauer der IKE-SA usw. Ihr Hauptzweck ist der Schutz des Datenverkehrs während der Phase 2.
• IKE SA-Einrichtung: Phase 1 ist mit der vollständigen Einrichtung von IKE SA abgeschlossen und bietet Sicherheit während Phase 2.

Phase 2:

• Initiation: Der Hauptzweck von Phase 2 ist die Einrichtung einer oder mehrerer Child SAs, die einen sicheren Datenverkehr über den VPN-Tunnel gewährleisten.
• Schutz des Datenverkehrs: In dieser Phase handeln beide Peers Verschlüsselungs- und Authentifizierungsparameter für den Datenverkehr aus.
• Lebensdauer und Rekeying: Ein weiteres Merkmal von Child SAs ist, dass sie eine begrenzte Lebensdauer haben. Nachdem eine bestimmte Menge an Datenverkehr ausgetauscht wurde, werden neue Child SAs mit neuen Schlüsseln erstellt. Dies trägt erheblich zur Aufrechterhaltung der Sicherheit bei.
• Datenaustausch: Nach Abschluss von Phase 2 kann der Datenaustausch zwischen den beiden VPN-Peers aufgebaut werden.

Wie wird die Einrichtung von IKEv2 auf dem iPhone beeinträchtigt?

Wenn Sie ein iPhone-Benutzer sind, fragen Sie sich vielleicht, wie Sie ein IKEv2 VPN auf Ihrem mobilen Gerät einrichten können. Schauen wir mal:

1.Zugriff auf die VPN-Einstellungen:

• Öffnen Sie die App "Einstellungen" auf Ihrem iPhone.

2. Allgemeine VPN-Einstellungen:

• Scrollen Sie nach unten und tippen Sie auf "VPN".

3. VPN-Konfiguration hinzufügen:

• Tippen Sie auf "VPN-Konfiguration hinzufügen".

4. IKEv2-Konfiguration:

• Wählen Sie unter dem Abschnitt "VPN-Konfiguration" die Option "IKEv2".

5. Details zur Konfiguration:

• Geben Sie die Details der VPN-Konfiguration ein:

1. Beschreibung: Geben Sie den Namen für Ihre VPN-Verbindung ein.
2. Server: Geben Sie den Hostnamen oder die IP-Adresse des VPN-Servers ein, mit dem Sie sich verbinden möchten.
3. Remote ID: Dies kann der Hostname oder die IP-Adresse des VPN-Servers sein.
4. Lokale ID: Normalerweise ist dies optional, aber Sie müssen eventuell einen Wert eingeben, wenn der VPN-Server dies verlangt.
5. Benutzer-Authentifizierung: Wählen Sie je nach VPN-Anbieter die geeignete Authentifizierungsmethode (Benutzername/Passwort, Zertifikat usw.).

6. Details zur Authentifizierung:

• Geben Sie Ihren Benutzernamen und Ihr Passwort ein, falls erforderlich.

7. Proxy- und Konto-Optionen:

• Wenn Ihr VPN-Server einen Proxy verwendet, können Sie ihn im Abschnitt "Proxy" konfigurieren.
• Je nach den Anforderungen Ihres VPN-Anbieters können zusätzliche Kontoeinstellungen erforderlich sein.

8. Speichern Sie die Konfiguration:

• Nachdem Sie alle erforderlichen Informationen eingegeben haben, tippen Sie auf "Fertig", um die VPN-Konfiguration zu speichern.

9. Verbinden Sie sich mit dem VPN:

• Nachdem Sie nun das IKEv2-VPN konfiguriert haben, kehren Sie zum Hauptbildschirm "Einstellungen" zurück und tippen auf den VPN-Schalter, um eine Verbindung zum VPN-Server herzustellen.
• Je nach Ihrer Konfiguration werden Sie aufgefordert, Ihren Benutzernamen und Ihr Kennwort einzugeben oder sich mit anderen Methoden zu authentifizieren.

10. Verbunden:

• Sobald die Verbindung hergestellt ist, sehen Sie ein VPN-Symbol (ein kleines VPN-Schlüssel-Symbol) in der Statusleiste oben auf dem iPhone-Bildschirm, das anzeigt, dass die VPN-Verbindung aktiv ist.

11. Trennen der Verbindung: Um die Verbindung zum VPN zu trennen, kehren Sie zum Abschnitt "VPN" unter "Einstellungen" zurück und schalten Sie den VPN-Schalter aus.