ما الفرق بين IPsec وIKEv2؟

IPsec هو البروتوكول الذي يقوم بتشفير حزم IP والمصادقة عليها. IKEv2 هو البروتوكول الذي يتفاوض بشأن المفاتيح التي يستخدمها IPsec. إنهما يعملان معًا دائمًا تقريبًا - عندما يقول الناس "IKEv2 VPN"، فإنهم يقصدون أن IKEv2 يقوم بتبادل المفاتيح بينما يقوم IPsec بتشفير الحزمة الفعلية.

تعتبر تكوينات IPsec الحديثة — IKEv2 أو AES-GCM أو ChaCha20-Poly1305 أو تبادل مفاتيح ECDH مع Curve25519 أو مجموعات DH أكبر، والمصادقة المستندة إلى الشهادات — آمنة. التكوينات الأقدم التي تستخدم مجموعات Diffie-Hellman الصغيرة أو الوضع العدواني IKEv1 أو المفاتيح المشتركة مسبقًا تكون عرضة للهجمات التي يمكن أن يشنها الخصوم الممولين جيدًا. التعقيد هو المشكلة الحقيقية: من السهل نشر IPsec بشكل غير آمن دون معرفة ذلك.

ما هو L2TP/IPsec؟ هل يجب أن أستخدمه؟

يقوم L2TP/IPsec بتغليف بروتوكول نفق L2TP الأقدم داخل IPsec للتشفير. كان مدعومًا على نطاق واسع على أنظمة التشغيل وأجهزة التوجيه القديمة. في عام 2026، لا يوجد سبب وجيه لاستخدامه - جميع عملاء أنظمة التشغيل الحديثة يتحدثون IKEv2/IPsec مباشرة، وهو أكثر نظافة وأسرع وأبسط. استخدم IKEv2 بدلاً من L2TP/IPsec أينما كان لديك الاختيار.

هل يعمل IPsec من خلال NAT؟

نعم، في وضع النفق باستخدام NAT-Traversal (NAT-T، RFC 3948)، الذي يقوم بتغليف حزم ESP داخل UDP. يقوم كل تطبيق IPsec الحديث تقريبًا بذلك تلقائيًا. لا يعمل AH (رأس المصادقة) من خلال NAT لأن مصادقة AH تغطي رأس IP نفسه، والذي يقوم NAT بتعديله.

هل IPsec أسرع من WireGuard؟

على خادم Linux متطور مع تسريع الأجهزة AES-NI، يمكن لـ IPsec مطابقة إنتاجية WireGuard. على الأجهزة ذات المواصفات المنخفضة، أو الأجهزة المحمولة، أو في وقت إعداد الاتصال، يكون WireGuard عادةً أسرع. بالنسبة لاستخدام VPN اليومي للمستهلك، فإن قاعدة التعليمات البرمجية الأصغر حجمًا والتكوين الأبسط لـ WireGuard تجعله الخيار الافتراضي الأفضل.

شرح IPsec: مجموعة البروتوكولات التي يبلغ عمرها 30 عامًا والتي لا تزال تدعم معظم شبكات VPN الخاصة بالمؤسسات

IPsec هو بروتوكول VPN الذي ربما لم تسمع عنه من قبل ولكنك تستخدمه كل يوم. تقريبًا كل شبكة VPN خاصة بالمؤسسات من موقع إلى موقع، وكل إعداد "VPN" أصلي لنظام التشغيل iOS، وكل تكوين L2TP/IPsec على جهاز التوجيه يعمل على تشغيل IPsec تحته. إنه أيضًا البروتوكول الذي وصفه بروس شناير بأنه "معقد جدًا بحيث لا يمكن تأمينه" في عام 2003. يغطي هذا الشرح ماهيته، وكيف يعمل فعليًا، وأين يتألق، وأين أضر به 30 عامًا من التعقيد المتراكم.

يتم توفير نص المقالة الكامل باللغة الإنجليزية أدناه.

ما هو IPsec

IPsec هو إطار أمان من الطبقة الثالثة (طبقة الشبكة) محدد بواسطة مجموعة من معايير IETF، المعايير الأساسية التي يرجع تاريخها إلى عام 1995. على عكس TLS (الذي يعمل في طبقة النقل) أو SSH (طبقة التطبيق)، يقع IPsec أسفل النقل. يمكن مصادقة كل حزمة TCP أو UDP أو ICMP — أو أي بروتوكول آخر يعتمد على IP — وتشفيرها بشفافية للتطبيق.

إنه ليس بروتوكولًا واحدًا. إنه إطار يتكون من عدة بروتوكولات تعمل معًا:

Authentication Header (AH) - تكامل ومصادقة بدون اتصال، ولكن بدون سرية. RFC 1826 الأصلي (1995)، أصبح الآن RFC 4302.
حمولة الأمان (ESP) - المصادقة والنزاهة وسرية و. RFC 1827 (1995)، الآن RFC 4303. هذا هو ما يستخدمه الجميع تقريبًا اليوم.
Internet Key Exchange (IKE) - بروتوكول إدارة المفاتيح الذي يتفاوض حول المفاتيح التي يستخدمها ESP. تم إهمال IKEv1 (RFC 2409، 1998) إلى حد كبير. IKEv2 (RFC 7296, 2014) هو الإصدار الحديث.
ISAKMP - الإطار الأساسي لإدارة المفاتيح المصادق عليها، الذي يستخدمه IKE.

كيف يعمل فعليًا يضيف

IPsec طبقة من الرؤوس والحمولة المشفرة بين رأس IP و حمولة طبقة النقل. هناك وضعان: وضع

Transport

يقوم بتشفير وتوثيق حمولة كل حزمة فقط. يظل رأس IP الأصلي سليمًا، فقط باستخدام مفتاح رقم بروتوكول الأمان. تستخدم من مضيف إلى مضيف؛ لا يخفي عناوين IP الفعلية للمصدر/الوجهة من أجهزة التوجيه المتوسطة. NAT غير متوافق عندما يكون AH قيد الاستخدام، لأن AH يغطي رأس IP في تجزئة المصادقة الخاصة به ويقوم NAT بتعديل الرؤوس أثناء الرحلة.

Tunnel mode

يغلف حزمة IP الأصلية بالكامل داخل حزمة IP جديدة برأس خارجي جديد. هذا هو ما تستخدمه شبكات VPN الخاصة بالمؤسسات. تمتلك كل شبكتين من شبكات الشركات بوابتها الخاصة، وتتدفق حركة المرور بينهما عبر نفق IPsec حيث تكون العناوين الداخلية غير مرئية لأي شخص على المسار. يعالج وضع النفق أيضًا اجتياز NAT محليًا (تغليف UDP، RFC 3948).

Security Associations

قبل أن تتبادل نقطتا النهاية البيانات، تتفاوضان على Security Association (SA) - اتفاقية بشأن خوارزمية التشفير (AES-GCM، ChaCha20-Poly1305، وما إلى ذلك)، ما هي وظيفة التجزئة (SHA-256، SHA-512، BLAKE2)، وما هي المادة الرئيسية، وعمر المفاتيح، والمعلمات الأخرى. SAs أحادية الاتجاه. يحتاج الاتصال ثنائي الاتجاه إلى اثنين.

يتم تحديد كل SA بواسطة مؤشر معلمة الأمان (SPI) بالإضافة إلى عنوان IP الوجهة. يخبر SPI نقطة النهاية المتلقية بالمفتاح والخوارزمية التي يجب استخدامها لفك تشفير الحزمة الواردة. هذا هو الجزء المتحرك الذي ينكسر في أغلب الأحيان في عمليات النشر الحقيقية - تتسبب حالات عدم التطابق مدى الحياة بين الموردين في حدوث عواصف صامتة لإعادة مفتاح النفق في شبكات المؤسسات كل يوم.

نقد بروس شناير

في ورقة بحثية شهيرة صدرت عام 2003، قام متخصصا التشفير نيلز فيرجسون وبروس شناير بمراجعة IPsec ووصفها بأنها "خيبة أمل كبيرة". حجتهم الأساسية: كانت مواصفات IPsec مرنة جدًا — تدعم عددًا هائلاً من الأوضاع الاختيارية، ومجموعات الخوارزميات، والمتغيرات التشغيلية — لدرجة أن كل عملية نشر حقيقية تقريبًا كانت غير آمنة، ليس لأن التشفير كان سيئًا، ولكن لأن التكوينات كانت غير متسقة. يعد IPsec الحديث (IKEv2، وAES-GCM، والمصادقة المستندة إلى الشهادة، والإعدادات الافتراضية المعقولة) آمنًا حقًا. لكن كل مهندس في IPsec لديه قصص حرب حول تصحيح الأخطاء في الأنفاق التي تعمل بشكل مثالي مع Cisco ولكن ليس مع Fortinet، أو التي تعمل عبر IPv4 ولكن ليس IPv6، أو التي تعمل حتى يعيد أحد الجوانب إعادة المفتاح في الساعة الثامنة ويسقط كل حزمة بصمت لمدة 30 ثانية. نقاط الضعف في أنظمة التشفير التجارية" - وتم تسمية IPsec على وجه التحديد. اقترح فريق بحث Logjam (2015) آلية معقولة: في ذلك الوقت، استخدم حوالي 90% من شبكات IPsec VPN القابلة للعنونة مجموعة Oakley Diffie-Hellman الثانية لتبادل المفاتيح. حجم هذه المجموعة يعني أن مهاجمًا ممولًا بشكل كافٍ (وكالة استخبارات حكومية، على سبيل المثال) يمكنه إجراء حساب مسبق للسجلات المنفصلة مرة واحدة ثم كسر تبادل المفاتيح لأي جلسة فردية بسعر رخيص.

التخفيف واضح ومباشر: استخدم مجموعات Diffie-Hellman أكبر (المجموعة 14 أو أعلى) أو، بشكل أفضل، منحنى إهليلجي Diffie-Hellman مع Curve25519. تقوم عمليات نشر IPsec الحديثة بهذا؛ في كثير من الأحيان لا تفعل تلك القديمة. تضمنت مجموعة أدوات Equation Group (التي يُزعم أنها تابعة لوكالة الأمن القومي) والتي تسربت في عام 2016 عمليات استغلال محددة تستهدف تطبيقات IPsec الأقدم على جدران الحماية Cisco PIX وASA.

حيث يتم استخدام IPsec اليوم

Site-to-site VPNs - حالة الاستخدام السائدة. موقعان مؤسسيان متصلان بواسطة وضع نفق IPsec هما نشر الكتب المدرسية.
iOS / macOS VPN الأصلي - عميل "VPN" المدمج في iOS وmacOS يتحدث IKEv2/IPsec أصليًا. تستخدم ملفات تعريف VPN التي يتم تشغيلها دائمًا بواسطة MDM IPsec.
VPN الأصلي لنظام Windows - يشحن Windows IKEv2/IPsec كخيار من الدرجة الأولى.
L2TP/IPsec - بروتوكول أنفاق L2TP يتم نقله عبر IPsec للتشفير. إرث، بطيء، ولكن مدعوم على نطاق واسع. تم إهماله في الغالب لصالح IKEv2.
إلزامي في IPv6 (في الأصل) — كان دعم IPsec إلزاميًا في مواصفات IPv6 المبكرة، وأصبح لاحقًا اختياريًا في RFC 6434.

IPsec vs WireGuard vs OpenVPN

vs WireGuard: IPsec أقدم وأكثر تعقيدًا وأكثر قابلية للتكوين وأبطأ. WireGuard هو أحدث وأصغر وأسرع وأصغر حجمًا. يوجد دليل أمان IND-CCA الخاص بـ WireGuard؛ لا يوجد شيء مكافئ لـ IPsec ككل لأن سطح التكوين كبير جدًا بحيث لا يمكن إضفاء الطابع الرسمي عليه.
vs OpenVPN: يعمل IPsec في النواة (أسرع)؛ يعمل OpenVPN في مساحة المستخدمين (أكثر مرونة). يمكن أن يتنكر OpenVPN-TCP/443 كـ HTTPS؛ لا يستطيع IPsec إخفاء نفسه حقًا.
vs L2TP/IPsec: لا يضيف L2TP أي شيء من الناحية الأمنية؛ إنها مجرد طبقة الأنفاق التي يعرف العملاء الأكبر سناً كيفية التحدث بها. يعد Bare IKEv2/IPsec أفضل تمامًا.

بالنسبة إلى speed الخام على خادم Linux حديث، فإن IPsec مع تسريع الأجهزة AES-NI يتنافس مع WireGuard. بالنسبة لبطارية الهاتف المحمول وسهولة التشغيل، يعد تشغيل IKEv2/IPsec في نواة نظام التشغيل أمرًا ممتازًا. بالنسبة لاستخدام VPN للمستهلك من عميل إلى خادم، تجاوزتها WireGuard.

امتدادات ما بعد الكم

تعمل مجموعة عمل ipsecme التابعة لـ IETF على توحيد معايير تبادل المفاتيح بعد الكم لـ IPsec. تمزج المسودة الحالية تبادل المفاتيح الكلاسيكية (Diffie-Hellman أو ECDH) مع مرشح ما بعد الكم (Kyber، NTRU، وغيرهما) بحيث أنه حتى لو تمكنت أجهزة الكمبيوتر الكمومية من كسر النصف الكلاسيكي، فإن مفتاح الجلسة المتماثل يظل سريًا. بدأ العديد من موردي المؤسسات في شحن عمليات التنفيذ المبكرة.

Verdict

IPsec ليس هو البروتوكول الذي يجب عليك اختياره إذا كنت تختار جديدًا اليوم وغير مقيد. WireGuard أسرع وأنظف. يعد OpenVPN-TCP/443 أكثر مرونة للشبكات المعادية. لكن IPsec هو البروتوكول الذي ستواجهه حتمًا — في كل إعدادات VPN الخاصة بـ iPhone، وفي كل جدار حماية مؤسسي، وفي كل تكوين قديم لـ L2TP/IPsec، وفي كل موصل موقع إلى موقع في كل مزود سحابي. يعد فهم ذلك أمرًا غير اختياري إذا كنت تعمل مع الشبكات.

إذا كنت تقوم بتشغيل IPsec VPN اليوم وتفكر في الانتقال إلى WireGuard، فإن مقارنة بروتوكول تغطي التنازلات.

الأسئلة المتداولة

ما الفرق بين IPsec وIKEv2؟: IPsec هو البروتوكول الذي يقوم بتشفير حزم IP والمصادقة عليها. IKEv2 هو البروتوكول الذي يتفاوض بشأن المفاتيح التي يستخدمها IPsec. إنهما يعملان معًا دائمًا تقريبًا - عندما يقول الناس "IKEv2 VPN"، فإنهم يقصدون أن IKEv2 يقوم بتبادل المفاتيح بينما يقوم IPsec بتشفير الحزمة الفعلية.
هل IPsec آمن؟: تعتبر تكوينات IPsec الحديثة — IKEv2 أو AES-GCM أو ChaCha20-Poly1305 أو تبادل مفاتيح ECDH مع Curve25519 أو مجموعات DH أكبر، والمصادقة المستندة إلى الشهادات — آمنة. التكوينات الأقدم التي تستخدم مجموعات Diffie-Hellman الصغيرة أو الوضع العدواني IKEv1 أو المفاتيح المشتركة مسبقًا تكون عرضة للهجمات التي يمكن أن يشنها الخصوم الممولين جيدًا. التعقيد هو المشكلة الحقيقية: من السهل نشر IPsec بشكل غير آمن دون معرفة ذلك.
ما هو L2TP/IPsec؟ هل يجب أن أستخدمه؟: يقوم L2TP/IPsec بتغليف بروتوكول نفق L2TP الأقدم داخل IPsec للتشفير. كان مدعومًا على نطاق واسع على أنظمة التشغيل وأجهزة التوجيه القديمة. في عام 2026، لا يوجد سبب وجيه لاستخدامه - جميع عملاء أنظمة التشغيل الحديثة يتحدثون IKEv2/IPsec مباشرة، وهو أكثر نظافة وأسرع وأبسط. استخدم IKEv2 بدلاً من L2TP/IPsec أينما كان لديك الاختيار.
هل يعمل IPsec من خلال NAT؟: نعم، في وضع النفق باستخدام NAT-Traversal (NAT-T، RFC 3948)، الذي يقوم بتغليف حزم ESP داخل UDP. يقوم كل تطبيق IPsec الحديث تقريبًا بذلك تلقائيًا. لا يعمل AH (رأس المصادقة) من خلال NAT لأن مصادقة AH تغطي رأس IP نفسه، والذي يقوم NAT بتعديله.
هل IPsec أسرع من WireGuard؟: على خادم Linux متطور مع تسريع الأجهزة AES-NI، يمكن لـ IPsec مطابقة إنتاجية WireGuard. على الأجهزة ذات المواصفات المنخفضة، أو الأجهزة المحمولة، أو في وقت إعداد الاتصال، يكون WireGuard عادةً أسرع. بالنسبة لاستخدام VPN اليومي للمستهلك، فإن قاعدة التعليمات البرمجية الأصغر حجمًا والتكوين الأبسط لـ WireGuard تجعله الخيار الافتراضي الأفضل.