Internet Key Exchange ou IKE est un protocole de tunneling basé sur IPSec qui fournit un canal de communication VPN sécurisé et définit des moyens automatiques de connexion et d'authentification pour les liens sécurisés IPSec en fonction de la manière dont ils sont protégés.
La première version du protocole (IKEv1) a été introduite en 1998 et la deuxième version (IKEv2) est sortie 7 ans plus tard. Il existe un certain nombre de différences entre IKEv1 et IKEv2, la plus importante étant la réduction des besoins en bande passante d'IKEv2.
Introduction détaillée à IKEv2
Pourquoi utiliser IKEv2 ?
- Cryptage des données 256 bits
- Déployez IPSec pour la sécurité
- Connexion stable et cohérente
- Le support MOBIKE assure une meilleure vitesse
IKEv2 utilise l'authentification par certificat de serveur
Sécurité
IKEv2 utilise l'authentification par certificat de serveur, ce qui signifie qu'il n'effectuera aucune action tant qu'il n'aura pas déterminé l'identité du demandeur. Cela échoue à la plupart des attaques de type man-in-the-middle et DoS .
Fiabilité
Dans la première version du protocole, si vous tentiez de passer à une autre connexion Internet, par exemple du WiFi à l'Internet mobile, avec le VPN activé , cela interromprait la connexion VPN et nécessiterait une reconnexion.
Cela a certaines conséquences indésirables telles qu'une baisse des performances et une modification de l'adresse IP précédente. Grâce aux mesures de fiabilité appliquées dans IKEv2, ce problème a été surmonté.
De plus, IKEv2 implémente la technologie MOBIKE, lui permettant d'être utilisée par les utilisateurs mobiles et bien d'autres. IKEv2 est également l'un des rares protocoles prenant en charge les appareils Blackberry.
Vitesse
La bonne architecture et le système d'échange d'informations efficace d'IKEv2 offrent de meilleures performances. De plus, ses vitesses de connexion sont nettement plus élevées, notamment grâce à la fonction de traversée NAT intégrée qui permet de contourner les pare-feu et d'établir des connexions beaucoup plus rapidement.
Caractéristiques et détails techniques
L'objectif d'IKE est de créer la même clé symétrique pour les parties communicantes de manière indépendante. Cette clé est utilisée pour crypter et déchiffrer les paquets IP normaux, utilisés pour transmettre des données entre VPN homologues. IKE construit un tunnel VPN en authentifiant les deux parties et en parvenant à un accord sur les méthodes de cryptage et d'intégrité.
IKE est basé sur des protocoles de sécurité sous-jacents, tels que Internet Security Association and Key Management Protocol (ISAKMP), A Versatile Secure Key Exchange Mechanism for Internet (SKEME) et Oakley Key Determination Protocol.
Comment fonctionne IKEv2
ISAKMP spécifie un cadre pour l'authentification et l'échange de clés, mais ne les définit pas. SKEME décrit une technique d'échange de clés flexible qui offre des capacités d'actualisation rapide des clés. Oakley permet aux parties authentifiées d'échanger des documents clés via une connexion non sécurisée, en utilisant l'algorithme d'échange de clés Diffie-Hellman. Cette méthode fournit une méthode de transfert de secrets parfaite pour les clés, la protection de l'identité et l'authentification.
Le protocole IKE utilisant le port UDP 500 est parfait pour les applications réseau où la latence perçue est importante, comme les jeux et les communications vocales et vidéo. De plus, le protocole est associé aux protocoles point à point (PPP). Cela rend IKE plus rapide que PPTP et L2TP . Avec la prise en charge des chiffrements AES et Camellia avec des longueurs de clé de 256 bits, IKE est considéré comme un protocole très sécurisé.
Avantages et inconvénients du protocole IKEv2
Avantage
- Plus rapide que PPTP et L2TP
- Prend en charge les méthodes de cryptage avancées
- Stable lors du changement de réseau et du rétablissement des connexions VPN, lorsque la connexion est temporairement perdue
- Fournit un support mobile amélioré
- Installation facile
Défaut
- L'utilisation du port UDP 500 peut être bloquée par certains pare-feu
- Pas simple à appliquer côté serveur
En savoir plus :
