IKEv2 vs OpenVPN

Navega tus respuestas
21

Quiero pedirle información sobre el protocolo IKEv2 para una conexión VPN. No he encontrado tanta información en la web. Estoy interesado especialmente en el uso en un teléfono móvil. ¿Es tan seguro como el protocolo OpenVPN? En caso afirmativo, ¿podría sugerirme algunos proveedores de VPN que permitan utilizar el protocolo IKEv2?

    
pregunta Figitus 19.11.2015 - 19:40
fuente

3 respuestas

8

OpenVPN vs IPSEC :

  1. IPSEC necesita más tiempo para negociar el túnel;
  2. OpenVPN usa cifrados fuertes y TLS; (en el momento presente se considera el cifrado más fuerte);
  3. Puerto único para OpenVPN y opción para elegir entre UDP o TCP.
  4. Múltiples puertos / protocolos para IPSEC ;
  5. IPSEC no puede manejar NAT. (necesita una dirección IP pública en ambos lados, de lo contrario), se requiere L2TP. OpenVPN puede actuar fácilmente sobre NAT;
  6. OpenVPN puede tener varias instancias y IPSEC solo se puede establecer para un solo par de direcciones IP.
  7. OpenVPN se puede usar como clase L2 y L3.

Estoy usando ambas conexiones de infraestructura IPSEC y OpenVPN , pero OpenVPN muestra una estabilidad y flexibilidad mucho mejores.

IKE en sí mismo es solo un protocolo de intercambio de claves, que proporciona una negociación segura de claves de sesión. Funciona junto con los módulos de encriptación y autenticación. Por lo tanto, IKE solo proporciona sesión con claves seguras. Además, se desarrolló en el lejano 2005. A menudo se usa junto con los protocolos ESP y AH.

OpenVPN es un proyecto de código abierto que está creciendo rápidamente y está siendo desarrollado también por la comunidad.

Los dispositivos móviles tienen soporte nativo de SSL / TLS y la implementación de OpenVPN es preferible para el uso de Mobile por las siguientes razones:

  1. Internet móvil no proporciona una dirección IP fija que sea un problema para IPSEC , ya que tiene IKEv2 - necesita usar dDNS o comprar una dirección IP pública. L2TP que proporciona el nivel de transporte para IPSEC usa un puerto fijo y puede ser bloqueado por algunos firewalls;
  2. OpenVPN es fácil de configurar y flexible en su uso: las versiones modernas (superiores a 2.2) usan TLSv1.X. Es posible utilizar la autenticación multinivel con certificados de cliente, contraseñas y clave segura si es necesario. El servidor se puede configurar fácilmente para escuchar cualquier puerto;
  3. Las aplicaciones móviles para OpenVPN existen para Android y iOS; solo tienen limitaciones con los sistemas basados en Windows.
  4. OpenVPN se considera más lento que IPSEC . Sin embargo, OpenVPN no es sensible a la sincronización de hora de los hosts, a la existencia de ip pública, solo necesita un puerto libre para elegir.

Esperanza, ayuda.

    
respondido por el ETech 08.03.2016 - 16:05
fuente
7

OpenVPN usa SSL / TLS para su protocolo seguro que asegura los datos en el nivel de Transporte, mientras que IKEv2 / IPSec protege los datos en el nivel de IP. Ambos protocolos son seguros. Puede ver esta respuesta para comparar los dos protocolos para uso de VPN.

Android

Ambos protocolos son compatibles con Android. OpenVPN tiene una aplicación móvil, y también hay OpenVPN Connect (Sinceramente, no estoy seguro de cuál es la diferencia). StrongSwan tiene un cliente móvil que admite IKEv2.

iPhone

El iPhone también tiene un aplicación OpenVPN , pero IPSec (IKEv1 & v2) es compatible de forma nativa (antes de iOS 9, IKEv2 no tenía una GUI de configuración y requería un perfil de configuración).

    
respondido por el RoraΖ 19.11.2015 - 20:06
fuente
7

IPSec / IKEv2 son tan personalizables que me cuesta creer que OpenVPN puede admitir cualquier conjunto de cifrado que, por ejemplo, StrongSwan no puede, creo que la lista de trajes admitidos es lo suficientemente grande x'D. Supongo que el problema más problemático aquí son las las afirmaciones de que la NSA ha estado tratando de debilitar el estándar desde el principio .

Estoy de acuerdo con parte de la información de @ETech en la respuesta anterior, en particular sobre el hecho de que el tráfico IPSec se bloquea tan fácilmente, especialmente en comparación con OpenVPN, incluso si NAT-Traversal ayuda con algunas situaciones (no es tan blanco y negro como lo pones, OMI)

No tengo idea de lo que quieres decir en el punto 6, puedes configurar casi cualquier cosa imaginable con tantos puntos finales y puertas de enlace como quieras.

Sobre movilidad, puede usar Mobike para una conexión muy estable en el móvil En los dispositivos, e incluso si no estás usando mobike, definitivamente puedes tener una IP dinámica en uno de los lados de la conexión (por ejemplo, el teléfono). He usado ambos y honestamente después de que lo configuraste, simplemente funciona (aparte de las muchas veces que te encuentras con problemas relacionados con NAT / Fw).

Un posible ejemplo de configuración con los archivos de configuración, si desea probarlo, se puede encontrar en sitio oficial de StrongSwan

    
respondido por el HenriqueMS 18.10.2016 - 16:03
fuente

Lea otras preguntas en las etiquetas

¿Debería preocuparse por los ataques DoS si su servidor está usando bcrypt? Rieles: protección contra inyección de código y XSS