IKEv2/IPSec spiegato rapidamente:
In breve, IKEv2/IPSec è un protocollo VPN altamente sicuro con prestazioni eccellenti e velocità elevate. Utilizza la crittografia AES-256, offre connessioni stabili e funziona bene sui dispositivi mobili. IKEv2 è più veloce di OpenVPN, ma è leggermente meno popolare a causa della sua natura closed-source, dell’incompatibilità con alcuni dispositivi e della probabilità di essere bloccato da firewall e amministratori di rete.
Nel complesso, è uno dei protocolli VPN più sicuri, grazie al supporto di MOBIKE, NAT-T e Autenticazione asimmetrica, che lo rende superiore a IKEv1, una prima iterazione di IKE.
IKE, noto anche come “Internet Key Exchange“, è un protocollo VPN molto diffuso, noto per la sua combinazione di prestazioni e sicurezza. Tuttavia, se siete un utente medio di VPN, potreste chiedervi perché questo protocollo sia così popolare e venga spesso utilizzato come sostituto di OpenVPN.
Nella guida di oggi vi spiegheremo cos’è il popolare protocollo IKEv2, nonché le sue iterazioni v1 e v3. Inoltre, spiegheremo perché viene spesso combinato con IPSec per proteggere ulteriormente la connessione e garantirne una maggiore stabilità e affidabilità.
Cosa sono i protocolli VPN?
Le VPN si basano su una miriade di protocolli di sicurezza per connettere il dispositivo al server VPN. Questa è la funzione principale di un protocollo VPN. I protocolli VPN generano le chiavi di crittografia dopo aver autenticato il server VPN e il dispositivo dell’utente. Questa chiave può essere utilizzata da entrambi.
Le VPN moderne si basano su diversi protocolli, come OpenVPN, WireGuard, NordLynx, Lightway e IKEv2/IPSec. Quest’ultimo è particolarmente interessante, in quanto la sua facilità di implementazione ne consente l’utilizzo su dispositivi mobili. In particolare, IKEv2 è molto popolare sui dispositivi iOS a causa della sua incompatibilità nativa con OpenVPN. Ma cos’è IKEv2/IPSec?
IKEv2/IPSec: Cos’è? Come funziona?
Come detto, IKE sta per “Internet Key Exchange” e la parte “v2” sta per la seconda versione, sviluppata da Microsoft e Cisco. IKEv2 si basa su IPSec, che ora sta per “Internet Protocol Security” Si pensi a IPSec come a un autenticatore che garantisce un traffico sicuro.
IPSec è fondamentale per connettere i dispositivi e aggiungere la crittografia, che consente un viaggio sicuro dei dati. Sebbene IPSec e IKEv2 possano essere utilizzati separatamente (molto raramente), vengono quasi sempre combinati per ottenere l’effetto migliore. IKEv2 è veloce e stabile e consente una connessione fluida e affidabile.
Per gentile concessione di ARAVIND .S(LinkedIn)
D’altro canto, IPSec offre un’eccellente sicurezza, impedendo il tracciamento e il monitoraggio da parte di terzi. Nel 99% dei casi, il protocollo VPN IKEv2 è combinato con IPSec. Ora dobbiamo vedere come funziona IKEv2. Come previsto, la sua funzione di base non è diversa da quella di qualsiasi altro protocollo VPN.
La funzione principale è quella di connettere il server e il client VPN. IPSec si occupa di autenticare entrambe le parti con una chiave privata, impostando le cosiddette regole di scambio. In questo processo viene determinato il metodo di crittografia, dopodiché viene stabilita la connessione.
Oltre a IPSec, IKEv2 gestisce anche alcuni attributi di sicurezza (Security Association o SA). Ad esempio, il server VPN e il client VPN devono avere le stesse configurazioni per uno scambio di dati efficace e IKEv2 fornisce a entrambi una chiave di crittografia identica (simmetrica).
Tuttavia, mentre IPSec stabilisce tutte le regole di cui sopra e assegna una chiave privata prima di stabilire una connessione, la chiave di IKEv2 viene utilizzata quando i dati sono già passati attraverso il tunnel VPN, alla fine.
Differenze tra IKEv1 e IKEv2 e IKEv3
Indipendentemente dal numero che compare alla fine di ogni protocollo IKE, è fondamentale sapere che funziona allo stesso modo. Naturalmente, ci si chiede come siano diversi e perché l’IKEv2 sia l’opzione più popolare. Per cominciare, IKEv1 è un vecchio protocollo introdotto nel 1998.
IKEv2 è stato rilasciato nel 2005 ed è, in poche parole, una versione migliore. IKEv2 è noto per il supporto di EAP o Extensible Authentication Protocols, che consente l’accesso remoto. Inoltre, essendo un miglioramento rispetto a IKEv1, IKEv2 tende a consumare meno larghezza di banda ed è molto più veloce.
Non dimentichiamo che IKEv2 supporta NAT-T (Network Address Translation-Traversal), che consente prestazioni superiori e più stabili. MOBIKE (Mobility and Multi-homing Protocol) è un altro aspetto che IKEv1 non supporta, ma è presente in IKEv2 e migliora le prestazioni e la sicurezza complessiva.
Anche dal punto di vista della sicurezza, IKEv2 è decisamente migliore. Ad esempio, IKEv2 utilizza chiavi di crittografia separate per ogni lato (client VPN e server VPN) e supporta molti algoritmi di crittografia complessi rispetto a IKEv1, tra cui ChaCha20, Camellia, AES e altri.
IKEv3 è spesso citato online, ma questo protocollo è più una teoria che una pratica. IKEv2 è l’iterazione più moderna al momento in cui scriviamo, mentre IKEv3 è praticabile solo sulla carta. VPN come NordVPN, CyberGhost e altre utilizzano ancora IKEv2 come migliore versione del protocollo IKE.
In futuro potremmo vedere l’IKEv3 realizzarsi, ma in 2024 non è ancora così.
IKEv2 vs IPSec vs OpenVPN: qual è il protocollo migliore?
Non ha senso paragonare IPSec a IKEv2, perché sono molto diversi. Ecco perché vanno bene insieme. IPSec è estremamente sicuro, mentre il punto di forza di IKEv2 è la velocità di connessione. Raramente, se non mai, le VPN utilizzano IPSec come protocolli separati.
Nel 99,99% dei casi, è abbinato a IKEv2 sotto il nome di IKEv2/IPSec o semplicemente IKEv2. Questo “ibrido” consente di usufruire di tempi di connessione ridotti, velocità VPN più elevate e sicurezza impeccabile. Ora, se confrontiamo IKEv2/IPSec e OpenVPN, quale protocollo è superiore?
Secondo gli esperti di sicurezza informatica come, ad esempio, Avast, IKEv2 ha un leggero vantaggio su OpenVPN in termini di prestazioni complessive, velocità e stabilità. OpenVPN è tuttavia più sicuro, poiché è open-source, supporta ulteriori personalizzazioni e non è bloccato da firewall e amministratori IT.
OpenVPN può anche aiutare a bypassare la censura in alcuni Paesi, se abbinato all’offuscamento. Non a caso i server offuscati di NordVPN si basano su OpenVPN TCP e funzionano bene in Cina.
Gli svantaggi di IKEv2
IKEv2/IPSec sembra quasi perfetto sulla carta, ma presenta alcuni svantaggi che vale la pena considerare.
- Non è open-source. IKE è stato sviluppato da Microsoft e Cisco e il protocollo è closed-source. Questo è uno svantaggio importante perché non lascia spazio a miglioramenti. Protocolli open-source come OpenVPN e WireGuard permettono a tutti di ispezionarli, consentendo agli esperti di cybersicurezza di verificarli e di apportare miglioramenti alla sicurezza.
- Compatibilità dei dispositivi. IKEv2/IPSec funziona abbastanza bene su Windows, iOS e macOS. Purtroppo, la compatibilità dei dispositivi finisce qui, poiché tutti gli altri dispositivi di solito si affidano a OpenVPN o WireGuard, mentre la configurazione di IKEv2 è molto più complicata, se possibile.
- Richiede porte specifiche. 443 e 80 sono le porte tipiche utilizzate per le connessioni VPN e HTTP. la 443 è utilizzata per OpenVPN, mentre la porta 80 è utilizzata per le connessioni HTTP. IKEv2 utilizza la porta 500 (UDP), che spesso può essere chiusa dagli amministratori IT o dai firewall per motivi di sicurezza.
In conclusione
Con un’ampia scelta di protocolli VPN, IKEv2 è ancora tra le opzioni migliori, nonostante il lancio di WireGuard. IKEv2 è altamente sicuro, stabile e performante. La sua sicurezza è molto forte, con il supporto della crittografia AES-256 e l’autenticazione IPSec per una maggiore sicurezza.
In effetti, IKEv2 non funziona su tutti i dispositivi, è closed-source e richiede la porta 500 UDP per funzionare. Tuttavia, se si dispone di un moderno PC macOS/Windows o di un iPhone, è probabile che IKEv2 funzioni bene. La maggior parte delle VPN mobili utilizza IKEv2 per impostazione predefinita su iOS/macOS senza necessità di configurazione manuale.
We earn commissions using affiliate links.