IKEv2 چیست؟

پروتکل IKEv2 در سالهای اخیر هر چه بیشتر در حال کسب محبوبیت و رشد در استفاده بین ارائه دهندگان خدمات VPNها و به طبع آن کاربران وی پی ان است به خصوص کاربران موبایل. سخت نیست تا باور کنیم پروتکل IKEv2 تا چه اندازه خوب و موثر است وقتی از تمامی ویژگی‌های منحصر به فرد آن اطلاع پیدا کنیم.

اما براستی IKEv2 چیست؟ و چگونه به کاربران خود یک سرویس امن و مطمئن آنلاین را ارائه میکند؟ خب هر چیزی که نیاز دارید تا درباره آن بدانید در این مقاله برای شما گردآوری شده است.

IKEv2 چیست؟

این پروتکل به عنوان مبدل کلید اینترنت نسخه دوم یا Internet Key Exchange version 2 شناخته شده و به اختصار به آن IKEv2 گفته میشود. یک پروتکل رمزنگاری وی پی ان یا VPN encryption protocol است که عملیات‌های درخواست (Request) و پاسخ (Response) را بر عهده میگیرد. این پروتکل اطمینان حاصل میکند که ترافیک بر بستر SA یا Security Association که معمولا بر اساس IPSec کار میکند، به صورت امن جابجا شود.

IKEv2 به وسیله مایکروسافت (Microsoft) و سیسکو (Cisco) توسعه یافت تا ارتقایی برای IKEv1 باشد.

IKEv2 چگونه کار میکند؟

مانند هر پروتکل VPN دیگری، IKEv2 مسئول برقراری تونل (Tunnel) امن مابین VPN کاربر و VPN سرور است. این اتفاق به کمک احراز هویت (authenticating) اولیه بین آن دو رخ میدهد و سپس توافق در مورد روشهای رمزگذاری مورد استفاده صورت می‌پذیرد.

ما کمی قبل بیان کردیم که IKEv2 بر اساس SA کار میکند، اما SA یا Security Association چیست؟ به شکل ساده میتوان گفت که SA فرآیند برقراری ارتباط امن مابین دو شبکه که همان VPN سرور و VPN کاربر هست را بر عهده دارد. این فرآیند را به وسیله تولید کلید رمزگذاری متقارن یا symmetric encryption key برای هر دو سر ارتباط انجام میدهد. از کلید برای رمزنگاری و بعد از آن برای حذف آن بر روی تمامی دیتاهای منتقل شده از طریق VPN استفاده میشود.

اطلاعات تکنیکال عمومی درباره IKEv2

• پروتکلی است که از آخرین الگوریتم‌های IPSec در کنار چندین سایفر رمزنگاری (encryption algorithms) دیگر استفاده می‌نماید.
• به شکل عمومی IKE daemon (یک برنامه که در طی فرآیند در پس زمینه فعال است) در قسمت حافظه سیستم متعلق به نرم‌افزارهای در حال اجرا، برای کاربر برقرار است در حالی که IPSec در فضای هسته یا همان Kernel (مرکز سیستم کاربر یا همان OS) برقرا میباشد. این شرایط به بهبود عملکرد کمک میکند.
• پروتکل IKEv2 از پاکت‌های UDP و پورت 500 UDP استفاده کرده و به شکل معمول چهار تا شش پاکت در جهت ایجاد SA ضروری است.
• IKE بر اساس پروتکل‌های امنیتی زیر کار میکند:

1. ISAKMP (Internet Security Association and Key Management Protocol)
2. SKEME (Versatile Secure Key Exchange Mechanism)
3. OAKLEY (Oakley Key Determination Protocol)

• این پروتکل از MOBIKE (IKEv2 Mobility and Multihoming Protocol) پشتیبانی میکند که عملگری است که اجازه میدهد در برابر تغییرات شبکه پایدار بماند.
• زمانی که توسط مایکروسافت و سیسکو توسعه یافت، به شکل منبع باز یا Open Source مانند Open IKEv2، OpenVPN، OpenSwan و StronSwan ارائه شد.
• IKE از X.509 Certificate در زمان احراز هویت بهره میبرد.

IKEv1 در مقابل IKEv2

در اینجا لیستی از تفاوت‌های مابین این دو ارائه شده است:

• IKEv2 پشتیبانی از دسترسی از راه دور یا Remote Access را به صورت پیش فرض با بهره گیری از احراز هویت EAP ارائه میدهد.
• IKEv2 برنامه نویسی شده است تا میزان پهنای باند یا bandwidth کمتری را نسبت به IKEv1 مصرف کند.
• پروتکل IKEv2 از کلیدهای رمزنگاری در دو سر ارتباط مابین کاربر و سرور برای ارتقائ امنیت نسبت به IKEv1 بهره می‌برد.
• IKEv2 از MOBIKE پشتیبانی میکند که معنای پایداری ارتباط در اثر تغییران شبکه است.
• IKEv2 از NAT به صورت درون ریز بر خلاف IKEv1 استفاده میکند.
• IKEv2 میتواند بر خلاف ورژن نخست خود میتواند قابل استفاده بودن یک تونل وی پی ان را بررسی کند و به این پروتکل اجازه میدهد که به شکل خودکار ارتباط را در صورت قطع شدن برقرار نماید.
• IKEv2 از الگوریتم‌های رمزنگاری بیشتری نسبت به IKEv1 پشتیبانی میکند.
• IKEv2 قابل اتکا تر است زیرا از مراحل بیشتری در جهت تصدیق ارتباط استفاده میکند.
• IKEv2 ابتدا بررسی میکند که درخواست کننده برقراری ارتباط وجود دارد یا خیر تا بعد از آن فرآیندها و عملیات‌های مربوط به خود را آغاز نماید و به همین دلیل است که نسبت به حملات DoS مقاومت و امنیت بیشتری دارد.

آیا IKEv2 امن است؟

بله، پروتکلی است امن برای استفاده انواع کاربران برای کاربردهای متفاوت. از رمزنگاری 256 بیت پشتیبانی کرده و از سایفرهایی مانند AES، 3DES، Camellia و ChaCha20 استفاده می‌نماید. همچنین پشتیبانی از PFS را به علاوه ویژگی‌های پروتکل‌ MOBIKE که سبب برقراری و پایداری ارتباط برای کاربر میشود را با خود به ارمغان می‌آورد.

شایان ذکر است که این پروتکل فرآیند احراز هویت را تنها در زمانی تایید می‌نماید که اطمینان حاصل نماید هیچ فرآیندی تا زمان تعیین و تایید هویت درخواست کننده صورت نمی‌پذیرد. همچنین به دلیل آنکه مایکروسافت بر روی این پروتکل به همراهی شرکت سیسکو کار کرده است از امنیت آن میتوان آسوده خاطر بود. همچنین IKEv2 پروتکلی دارای منبع کاملا بسته نیست تا زمانی کهopen-source implementations در آن وجود دارند.

اما اگر بخواهیم به مشکلات امنیتی بپردازیم…

1- مشکلات گذرواژه

اگر به سال 2018 برگردیم، برخی تحقیقات نشان میدهند که ضعف اصلی هر دو پروتکل IKEv1 و IKEv2 در آن است که در صورت استفاده از یک پسورد ضعیف در جهت ورود امکان هک شدن وجود دارد. به شکل معمول این یک نگرانی بسیار بزرگ نیست اگر شما از یک گذرواژه یا پسور قوی و مطمئن استفاده کنید. همچنین اگر این مسئولیت بر عهده VPN سرویس‌ها باشد میتوان با خیال راحت از این پروتکل استفاده نمود.

2- بهره برداری NSA از ISAKMP

مجله آلمانی Der Spiegel گزارشاتی را از طرف NSA منتشر نمود که نشان میداد NSA میتوانسته از IKE و ISAKMP برای حذف کدگذاری ترافیک IPSec استفاده نماید. متاسفانه اطلاعات منتشر شده کمی نامشخص هستند و راه مشخص و تضمین شده‌ای برای تایید جزییات آن در دسترس نیست. اما اگر از ارائه کننده VPN مطمئنی سرویس دریافت می‌کنید، جای نگرانی برای شما وجود نخواهد داشت.

3- حملات اینترنتی

به نظر می‌رسد که تنظیمات IPSec VPN که اجاز میدهند چندین پیکربندی  برقرار باشند، پتانسیل قرارگیری در معرض حملات اینترنتی را برای کاربر بالا می‌برند. خوشبختانه، مشکل میتواند از طریق تغییر در تنظیمات و محدود کردن این ویژگی برطرف گردد و معمولا توسط ارائه دهندگان VPNها در نظر گرفته می‌شوند.