Cómo funciona el protocolo VPN IKEv2: Una visión detallada
19:02, 12.10.2023
Una de las principales variables que definen un servicio VPN es el protocolo VPN en el que se basa. Define su velocidad y seguridad, así como muchos otros aspectos técnicos más sutiles. Una de las opciones disponibles hoy en día es el protocolo IKEv2, ampliamente utilizado por Windows y Oracle. Hoy queremos echar un vistazo en profundidad a este protocolo, analizando sus principales características y comparándolo con sus competidores.
Introducción a IKEv2
¿Qué es IKEv2?
IKEv2 es uno de los protocolos VPN más populares de los que disponemos. Se basa en el principio de establecer una asociación de seguridad (SA) entre dos partes de la red, proporcionando así una conexión segura. IPSec, un conjunto de protocolos de seguridad de red, siempre se utiliza junto con IKEv2 y, por lo tanto, puede denominarse de forma más precisa IKEv2/IPSec, aunque a menudo se abrevia sólo como IKEv2.
Entre otros protocolos VPN, IKEv2 suele ser elogiado por su estabilidad, seguridad, velocidad y facilidad de uso.
¿Cómo funciona IKEv2?
Al igual que otros protocolos VPN, IKEv2 se encarga de establecer una especie de túnel que proporciona una comunicación segura entre los dos extremos de una red privada virtual determinada. También participa en el proceso de autenticación, mientras que está asistido por el atributo SA. Este último es responsable del cifrado con claves simétricas.
El tándem de IKEvP e IPSec es uno de los factores responsables de la velocidad de IKEv2 en particular. El primero (IKEvP) opera en el espacio de usuario, mientras que el segundo está activo en el núcleo, un nivel más profundo que permite un acceso notablemente más rápido a los recursos de hardware.
Además, IKEv2 se encarga de transmitir la información y configurar SA, mientras que IPSec se ocupa del proceso de cifrado.
Comparación de IKEv1 e IKEv2
Como puede deducirse de su nombre, IKEv2 fue precedido por su versión anterior IKEv1.
La segunda versión ha obtenido una serie de nuevas características que son las razones de la sustitución de IKEv1. Entre ellas:
- No se necesitan tantos mensajes para establecer una conexión segura.
- Soporte NAT traversal.
- Soporte EAP.
- Soporte MOBIKE, permite preservar la conexión incluso en caso de cambio de IP por parte del cliente.
- Se necesita menos SA, lo que se traduce en un ahorro de ancho de banda.
- Más algoritmos de cifrado.
- Resistencia a DDoS.
- Mayor fiabilidad gracias a la mejora de la mensajería.
- Soporte de autenticación asimétrica.
Ventajas y desventajas de IKEv2
Pros y contras de IKEv2
Pros:
- Compatibilidad con diversos algoritmos de seguridad.
- La autenticación basada en certificados ofrece resistencia a distintas formas de comprometer la seguridad.
- Mayor velocidad.
- Compatibilidad con macOS, Windows, Linux y Android.
- MOBIKE hace que IKEv2 sea más práctico para dispositivos móviles, ya que se puede cambiar entre redes sin desconectarse de la VPN.
- Es ampliamente utilizado y accesible.
- Latencia reducida a través del puerto UDP 500.
Contras:
- Al haber sido creado por Microsoft y Oracle, IKEv2 es de código cerrado.
- Es fácil de bloquear porque sólo utiliza un puerto (UDP 500).
- Las contraseñas son más fáciles de piratear.
IKEv2 frente a otros protocolos VPN
Además de IKEv2, existen muchos otros protocolos VPN ampliamente utilizados.
IKEv2 vs. L2TP/IPSeс
L2TP es otro protocolo que se utiliza junto con IPSec. Sin embargo, en comparación con IKEv2, resulta menos ventajoso.
Privacidad: Según Edward Snowden, L2PT ha sido vulnerado por las agencias de inteligencia, lo que significa que puede que ya no sea del todo útil para una de las principales funciones de las VPN.
Velocidad: El túnel de IKEv2 ha demostrado ser considerablemente más rápido que el de L2TP.
Estabilidad: IKEv2 ofrece mayor estabilidad a sus usuarios. Además, es menos susceptible a los cortafuegos NAT.
IKEv2 vs. OpenVPN
IKEv2 suele considerarse tan bueno como OpenVPN, con la diferencia de que este último es de código abierto.
Tienen principios de funcionamiento diferentes en algunos aspectos. Por ejemplo, OpenVPN asegura los datos mientras se transmiten, mientras que IKEv2 lo hace a nivel de IP.
OpenVPN tiene, sin embargo, una mayor resistencia al bloqueo y a los cortafuegos, gracias al uso del puerto TCP 443.
A su vez, IKEv2 mantiene sus ventajas en términos de velocidad.
IKEv2 vs. WireGuard
WireGuard es un protocolo VPN moderno e innovador, que es de código abierto y es particularmente pequeño en tamaño (aproximadamente 4000 líneas), que ya está ampliamente implementado por muchos proveedores de VPN.
Sin embargo, puede ser bloqueado sin mucha dificultad debido al uso exclusivo de UDP.
Aunque todavía está en fase de desarrollo, en general comparte muchas de las ventajas de IKEv2, estando aproximadamente al mismo nivel.
Las 3 mejores VPN que utilizan IKEv2
NordVPN
NordVPN es uno de los principales proveedores de VPN a nivel mundial con alrededor de 5100 servidores y 60 países. Se considera capaz de eludir cortafuegos de cualquier nivel y es uno de los pocos que admiten servidores P2P.
Además de IKEv2, NordVPN también ofrece los protocolos OpenVPN y Wireguard.
Atlas VPN
Es un proveedor de VPN joven pero en rápido crecimiento que ofrece VPN IKEv2. Actualmente, ofrecen alrededor de 750 servidores y 37 países.
También ofrecen planes asequibles, incluso con un plan gratuito que es suficiente para explorar los beneficios básicos de un servicio VPN.
ExpressVPN
Otro importante proveedor de VPN con una oferta de 160 en 94 estados.
Entre otras cosas, el proveedor ofrece sólidas medidas de seguridad.
Siendo un proveedor bastante caro, tienen ofertas bastante generosas. Además del protagonista del artículo, ofrecen protocolos como Lightway (UDP o TCP), OpenVPN (UDP o TCP) y L2TP/IPSec.
Conclusiones y recomendaciones
IKEv2 es un potente protocolo VPN ampliamente utilizado y desarrollado por Windows y Oracle. Es rápido, estable y fiable, además de resistente a la mayoría de cortafuegos, por lo que es una de las opciones más recomendadas del mercado.
Aunque es probable que IKEv2 satisfaga sus necesidades, puede ser una buena idea buscar proveedores que ofrezcan otros protocolos de renombre, como Open VPN y Wireguard para que tenga más opciones entre las que elegir.
FAQ
¿Cubre la seguridad el dominio de IKEv2?
En realidad no, ya que no es lo que el protocolo está destinado a ser. IKEv2 en sí mismo no proporciona seguridad camuflando dominios u ocultando información. Su propósito principal es establecer un túnel seguro para que los datos lo atraviesen.
¿Corre el ritmo de IKEv2 por la vía rápida?
IKEv2 se considera uno de los protocolos VPN más rápidos que existen. Sin embargo, la eficacia general puede depender de una serie de factores externos, como la velocidad de conexión a Internet, el rendimiento del dispositivo, las condiciones de la red, como la latencia y la pérdida de paquetes, la carga del servidor VPN y la configuración del cifrado.
¿Qué número de puerto alberga el reinado de IKEv2?
El puerto principal utilizado por IKEv2 es el puerto UDP 500. Además del puerto UDP 500, IKEv2 también puede utilizar el puerto UDP 4500 para atravesar la Traducción de Direcciones de Red (NAT). Esto es relevante cuando el cliente o servidor está detrás de un dispositivo NAT.
Habla del dominio de intercambio de la Fase 1 y la Fase 2.
Para crear un túnel seguro, IKEv2 utiliza un procedimiento de negociación en dos fases. La primera fase se denomina IKE_SA_INIT y la segunda IKE_AUTH.
Fase 1:
- Inicio: Los dos pares VPN intercambian mensajes para acordar los parámetros de seguridad y establecer un canal de comunicación seguro.
- Autenticación: Los pares VPN se autentican mutuamente para garantizar que se comunican con partes legítimas y de confianza. Los métodos que suelen utilizarse en la autenticación son las claves precompartidas, los certificados digitales y otros.
- Intercambio de claves Diffie-Hellman: IKEv2 utiliza el protocolo de intercambio de claves Diffie-Hellman para intercambiar de forma segura el material de claves que se utilizará para el cifrado durante la Fase 2. Esto se hace para que ambos pares puedan intercambiar claves de forma segura. Esto se hace para que ambos pares puedan crear claves más adelante en la Fase 2.
- Parámetros SA: Durante esta fase también se negocian otros parámetros de seguridad. Incluyen algoritmos de encriptación, algoritmos de integridad, la duración del IKE SA, etc. Su propósito principal es la protección del tráfico durante la Fase 2.
- Establecimiento de IKE SA: La Fase 1 finaliza con el establecimiento completo de IKE SA, proporcionando seguridad durante la Fase 2.
Fase 2:
- Iniciación: El objetivo principal de la Fase 2 es el establecimiento de una o varias Child SA que garanticen el intercambio seguro de tráfico de datos a través del túnel VPN.
- Protección del tráfico: En esta fase, ambos peers negocian los parámetros de encriptación y autenticación para el tráfico de datos.
- Vida útil y recodificación: Otra característica de las Child SA es que tienen una vida útil limitada. Cuando se ha intercambiado una cierta cantidad de tráfico, se crean nuevas Child SA con nuevas claves. Esto contribuye considerablemente a mantener la seguridad.
- Intercambio de datos: Una vez completada la Fase 2, el intercambio de datos entre los dos pares VPN está listo para establecerse.
En iPhone, ¿cómo disminuye la configuración de IKEv2?
Si usted es un usuario de iPhone, puede que se pregunte cómo configurar una VPN IKEv2 en su dispositivo móvil. Veamos:
1.Acceder a la configuración de VPN:
- Abra la aplicación "Settings" de su iPhone.
2. Configuración general de VPN:
- Desplácese hacia abajo y pulse "VPN".
3. Añadir la Configuración de VPN:
- Pulse sobre "Añadir configuración VPN".
4. Configuración de IKEv2:
- En la sección "Configuración VPN", seleccione "IKEv2".
5. Detalles de la configuración:
- Rellene los datos de configuración de la VPN:
- Descripción: Introduzca el nombre de su conexión VPN.
- Servidor: Introduzca el nombre de host o la dirección IP del servidor VPN al que desea conectarse.
- ID remoto: puede ser el nombre de host o la dirección IP del servidor VPN.
- ID local: Normalmente, esto es opcional, pero puede que tenga que introducir un valor si el servidor VPN lo requiere.
- Autenticación de usuario: Dependiendo de su proveedor de VPN, elija el método de autenticación adecuado (Nombre de usuario/contraseña, Certificado, etc.).
6. Detalles de autenticación:
- Proporcione su nombre de usuario y contraseña si es necesario.
7. Opciones de proxy y cuenta:
- Si su servidor VPN utiliza un proxy, puede configurarlo en la sección "Proxy".
- Dependiendo de los requisitos de su proveedor de VPN, es posible que necesite realizar ajustes adicionales en la cuenta.
8. Guarde la configuración:
- Tras introducir toda la información necesaria, pulse "Done" para guardar la configuración de la VPN.
9. Conéctese a la VPN:
- Ahora que ya ha configurado la VPN IKEv2, vuelve a la pantalla principal de "Configuración" y toca el interruptor VPN para conectarse al servidor VPN.
- Es posible que se le pida que introduzca su nombre de usuario y contraseña o que se autentique utilizando otros métodos, dependiendo de su configuración.
10. Conectado:
- Una vez conectado, verá un icono VPN (un pequeño icono de una llave VPN) en la barra de estado de la parte superior de la pantalla de su iPhone, lo que indica que la conexión VPN está activa.
11. Desconectándose: Para desconectarse desde una VPN, hay que volver a la sección "VPN" en "Settings" y desactivar el interruptor VPN.