Care este diferența dintre IPsec și IKEv2?

IPsec este protocolul care criptează și autentifică pachetele IP. IKEv2 este protocolul care negociază cheile pe care le utilizează IPsec. Aproape întotdeauna funcționează împreună - când oamenii spun „IKEv2 VPN”, se referă la IKEv2 care face schimbul de chei și IPsec care realizează criptarea pachetelor.

Configurațiile moderne IPsec - IKEv2, AES-GCM sau ChaCha20-Poly1305, schimbul de chei ECDH cu Curve25519 sau grupuri DH mai mari, autentificarea pe bază de certificate - sunt sigure. Configurațiile mai vechi care utilizează grupuri mici Diffie-Hellman, modul agresiv IKEv1 sau cheile pre-partajate sunt vulnerabile la atacurile pe care adversarii bine finanțați le pot monta. Complexitatea este adevărata problemă: este ușor să implementezi IPsec în mod nesigur fără să știi.

Ce este L2TP/IPsec? Ar trebui să-l folosesc?

L2TP/IPsec include protocolul de tunel L2TP mai vechi în IPsec pentru criptare. A fost acceptat pe scară largă pe sistemele de operare și routerele vechi. În 2026, nu există niciun motiv întemeiat pentru a-l folosi - clienții moderni de sistem toți vorbesc IKEv2/IPsec direct, ceea ce este mai curat, mai rapid și mai simplu. Utilizați IKEv2 în loc de L2TP/IPsec oriunde aveți de ales.

IPsec funcționează prin NAT?

Da, în modul tunel folosind NAT-Traversal (NAT-T, RFC 3948), care încapsulează pachetele ESP în UDP. Aproape fiecare implementare IPsec modernă face acest lucru automat. AH (Authentication Header) nu funcționează prin NAT, deoarece autentificarea lui AH acoperă antetul IP în sine, pe care NAT îl modifică.

Este IPsec mai rapid decât WireGuard?

Pe un server Linux de ultimă generație cu accelerare hardware AES-NI, IPsec poate egala debitul WireGuard. Pe hardware-ul de vârf, dispozitivele mobile sau pentru timpul de configurare a conexiunii, WireGuard este de obicei mai rapid. Pentru utilizarea zilnică a VPN de către consumatori, baza de cod mai mică și configurația mai simplă a WireGuard îl fac cel mai bun implicit.

IPsec explicat: Suita de protocol veche de 30 de ani care încă alimentează majoritatea VPN-urilor pentru întreprinderi

IPsec este protocolul VPN despre care probabil nu ați auzit niciodată, dar despre care îl utilizați în fiecare zi. Aproape fiecare VPN de întreprindere de la site la site, fiecare setare „VPN” iOS nativă, fiecare configurație L2TP/IPsec de pe un router rulează IPsec dedesubt. Este, de asemenea, protocolul pe care Bruce Schneier l-a numit „prea complex pentru a fi sigur” în 2003. Acest explicator acoperă ce este, cum funcționează de fapt, unde strălucește și unde l-au rănit cei 30 de ani de complexitate acumulată.

Întregul articol al articolului este oferit în limba engleză mai jos.

Ce este IPsec

IPsec este un cadru de securitate Layer 3 (nivel de rețea) definit de o suită de standarde IETF, cele fundamentale datând din 1995. Spre deosebire de TLS (care operează la nivelul de transport) sau SSH (stratul de aplicație), IPsec se află sub transport. Fiecare pachet TCP, UDP, ICMP – sau orice alt protocol care rulează pe IP – poate fi autentificat și criptat transparent pentru aplicație.

INu este un singur protocol. Este un cadru format din mai multe protocoale care lucrează împreună:

Authentication Header (AH) — integritate și autentificare fără conexiune, dar fără confidențialitate. RFC 1826 (1995) original, acum RFC 4302.
Encapsulating Security Payload (ESP) — autentificare, integritate, confidențialitate și . RFC 1827 (1995), acum RFC 4303. Acesta este ceea ce aproape toată lumea folosește astăzi.
Internet Key Exchange (IKE) — protocolul de gestionare a cheilor care negociază cheile pe care ESP le utilizează. IKEv1 (RFC 2409, 1998) este în mare parte depreciat. IKEv2 (RFC 7296, 2014) este versiunea modernă.
ISAKMP — cadrul de bază pentru gestionarea cheilor autentificate, folosit de IKE.

Cum funcționează de fapt

PLZ27X

PLZ27XPLZ28XIP sarcină utilă între antetul IP și încărcarea utilă a stratului de transport. Există două moduri:

Mod de transport

Ecriptează și autentifică numai sarcina utilă a fiecărui pachet. Antetul IP original rămâne intact, doar cu un comutator de număr de protocol de securitate. Folosit de la gazdă la gazdă; nu ascunde IP-urile sursei/destinației reale de la routerele intermediare. NAT-incompatibil atunci când AH este în uz, deoarece AH acoperă antetul IP în hash-ul său de autentificare și NAT modifică anteturile în zbor.

TModul tunel

Encapsulează întregul pachet IP original într-un nou pachet IP cu un nou antet exterior. Acesta este ceea ce folosesc VPN-urile de la site la site la întreprindere. Două rețele corporative au fiecare gateway-ul lor, iar traficul dintre ele circulă printr-un tunel IPsec unde adresele interioare sunt invizibile pentru oricine se află pe cale. Modul tunel gestionează, de asemenea, traversarea NAT în mod nativ (încapsulare UDP, RFC 3948).

Asociații de securitate

Înainte de a face schimb de date dintre două puncte finale, acestea negociază o asociere Security Association (SA) — acord asupra căruia algoritm de criptare (A-GCM) ChaCha20-Poly1305 etc.), care funcție hash (SHA-256, SHA-512, BLAKE2), ce material cheie, durata de viață a cheilor și alți parametri. SA sunt unidirecționale; o conexiune bidirecțională are nevoie de două.

Efiecare SA este identificat printr-un indice de parametri de securitate (SPI) plus IP-ul de destinație. SPI îi spune punctului final de recepție ce cheie și algoritm să folosească pentru a decripta un pachet de intrare. Aceasta este partea în mișcare care se întrerupe cel mai des în implementările reale — nepotrivirile SA de viață între furnizori provoacă furtuni silențioase de reintroducere a tunelurilor în rețelele de întreprindere în fiecare zi. dezamăgire." Argumentul lor de bază: specificația IPsec a fost atât de flexibilă - susținând un număr enorm de moduri opționale, combinații de algoritm și variante operaționale - încât aproape fiecare implementare reală a fost nesigură nu pentru că criptografia era proastă, ci pentru că configurațiile erau nealiniate. IPsec modern (IKEv2, AES-GCM, autentificare bazată pe certificat, valori implicite corecte) este cu adevărat sigur. Dar fiecare inginer IPsec are povești de război despre depanarea tunelurilor care funcționează perfect cu Cisco, dar nu cu Fortinet, sau care funcționează pe IPv4, dar nu IPv6, sau care funcționează până când o parte reintroduce tastele la ora 8 și aruncă în tăcere fiecare pachet timp de 30 de secunde. un program NSA pentru a „insera vulnerabilități în sistemele de criptare comerciale” – iar IPsec a fost numit în mod specific. Echipa de cercetare Logjam (2015) a propus un mecanism plauzibil: la momentul respectiv, ~ 90% dintre VPN-urile IPsec adresabile foloseau al doilea grup Oakley Diffie-Hellman pentru schimbul de chei. Mărimea acelui grup însemna că un atacator suficient de bine finanțat (o agenție de informații de stat, de exemplu) ar putea precalcula jurnalele discrete o dată și apoi ar putea întrerupe schimbul de chei a oricărei sesiuni individuale în mod ieftin.

Atenuarea este simplă: utilizați grupuri Diffie-Hellman mai mari (grupul 14 sau mai mare) sau, mai bine, Diffie-Hellman cu curbă eliptică cu Curve25519. Implementările moderne IPsec fac acest lucru; cei moșteniți adesea nu. Setul de instrumente Equation Group (pretins afiliat NSA) care s-a scurs în 2016 a inclus exploatări specifice care vizează implementări IPsec mai vechi pe firewall-uri Cisco PIX și ASA. Două site-uri corporative conectate prin modul tunel IPsec este implementarea manualului.

iOS / macOS VPN nativ — clientul „VPN” încorporat în iOS și macOS vorbește IKEv2/IPsec nativ. Profilurile VPN permanent gestionate de MDM folosesc IPsec.

VPN nativ Windows — Windows livrează IKEv2/IPsec ca o opțiune de primă clasă.

L2TP/IPsec — tunelul de criptare L2TP pentru protocolul IPsec transportat. Moștenire, lentă, dar susținută pe scară largă. În mare parte depreciat în favoarea IKEv2.

Obligatoriu în IPv6 (inițial) — Suportul IPsec era obligatoriu în specificațiile IPv6 timpurii, ulterior devenit opțional în RFC 6434.

IPsec vs WireGureGuard vs. OpenVPN

vs WireGuard: IPsec este mai vechi, mai complex, mai configurabil și mai lent. WireGuard este mai nou, cu opinie, mai mic și mai rapid. Dovada de securitate IND-CCA a WireGuard există; nu există nimic echivalent pentru IPsec ca întreg, deoarece suprafața de configurare este prea mare pentru a fi oficializată.
vs OpenVPN: IPsec operează în kernel (mai rapid); OpenVPN operează în spațiul utilizatorului (mai flexibil). OpenVPN-TCP/443 poate deghiza ca HTTPS; IPsec nu se poate ascunde cu adevărat.
vs L2TP/IPsec: L2TP nu adaugă nimic din punct de vedere al securității; este doar stratul de tunel pe care clienții mai în vârstă știau să vorbească. Bare IKEv2/IPsec este strict mai bun.

Pentru speed brut pe un server Linux modern, IPsec cu accelerare hardware AES-NI este competitiv cu WireGuard. Pentru bateria mobilă și ușurința în operare, IKEv2/IPsec care rulează în nucleul sistemului de operare este excelent. Pentru utilizarea VPN de la client la server, WireGuard l-a depășit.

Extensii post-quantum

Grupul de lucru ipsecme al IETF standardizează în mod activ schimbul de chei post-quantum pentru IPsec. Proiectul actual combină un schimb de chei clasic (Diffie-Hellman sau ECDH) cu un candidat post-cuantic (Kyber, NTRU, altele) astfel încât, chiar dacă calculatoarele cuantice pot sparge jumătatea clasică, cheia de sesiune simetrică rămâne secretă. Mai mulți furnizori de întreprinderi au început să livreze implementări timpurii.

Verdict

IPsec nu este protocolul pe care ar trebui să-l alegeți dacă alegeți proaspăt astăzi și nu sunteți constrâns. WireGuard este mai rapid și mai curat. OpenVPN-TCP/443 este mai flexibil pentru rețelele ostile. Dar IPsec este protocolul pe care îl veți întâlni în mod inevitabil - în setările VPN ale fiecărui iPhone, în fiecare firewall de întreprindere, în fiecare configurație moștenită L2TP/IPsec, în fiecare conector de la site la site la fiecare furnizor de cloud. Înțelegerea acesteia nu este opțională dacă lucrați cu rețele.

IDacă rulați un VPN IPsec astăzi și vă gândiți să migrați la WireGuard, comparația noastră de protocol acoperă compromisurile.

Întrebări frecvente

Care este diferența dintre IPsec și IKEv2?: IPsec este protocolul care criptează și autentifică pachetele IP. IKEv2 este protocolul care negociază cheile pe care le utilizează IPsec. Aproape întotdeauna funcționează împreună - când oamenii spun „IKEv2 VPN”, se referă la IKEv2 care face schimbul de chei și IPsec care realizează criptarea pachetelor.
Este IPsec sigur?: Configurațiile moderne IPsec - IKEv2, AES-GCM sau ChaCha20-Poly1305, schimbul de chei ECDH cu Curve25519 sau grupuri DH mai mari, autentificarea pe bază de certificate - sunt sigure. Configurațiile mai vechi care utilizează grupuri mici Diffie-Hellman, modul agresiv IKEv1 sau cheile pre-partajate sunt vulnerabile la atacurile pe care adversarii bine finanțați le pot monta. Complexitatea este adevărata problemă: este ușor să implementezi IPsec în mod nesigur fără să știi.
Ce este L2TP/IPsec? Ar trebui să-l folosesc?: L2TP/IPsec include protocolul de tunel L2TP mai vechi în IPsec pentru criptare. A fost acceptat pe scară largă pe sistemele de operare și routerele vechi. În 2026, nu există niciun motiv întemeiat pentru a-l folosi - clienții moderni de sistem toți vorbesc IKEv2/IPsec direct, ceea ce este mai curat, mai rapid și mai simplu. Utilizați IKEv2 în loc de L2TP/IPsec oriunde aveți de ales.
IPsec funcționează prin NAT?: Da, în modul tunel folosind NAT-Traversal (NAT-T, RFC 3948), care încapsulează pachetele ESP în UDP. Aproape fiecare implementare IPsec modernă face acest lucru automat. AH (Authentication Header) nu funcționează prin NAT, deoarece autentificarea lui AH acoperă antetul IP în sine, pe care NAT îl modifică.
Este IPsec mai rapid decât WireGuard?: Pe un server Linux de ultimă generație cu accelerare hardware AES-NI, IPsec poate egala debitul WireGuard. Pe hardware-ul de vârf, dispozitivele mobile sau pentru timpul de configurare a conexiunii, WireGuard este de obicei mai rapid. Pentru utilizarea zilnică a VPN de către consumatori, baza de cod mai mică și configurația mai simplă a WireGuard îl fac cel mai bun implicit.