IKEv2 คือโปรโตคอล VPN ที่ใช้เพื่อเพิ่มความปลอดภัยให้กับการเชื่อมต่อ VPN เนื่องจากเป็นส่วนหนึ่งของ ชุดโปรโตคอล(หน้าต่างใหม่) IPSec บางครั้งจึงมีผู้เรียกว่า IKEv2/IPSec (ซึ่งหากพูดให้ถูกต้องและตรงตัวยิ่งขึ้นก็คือชื่อนี้)
โปรโตคอล VPN คือชุดคำสั่งหรือกฎเกณฑ์ที่กำหนดวิธีการเชื่อมต่อระหว่างอุปกรณ์และเซิร์ฟเวอร์ VPN
เรียนรู้เพิ่มเติมเกี่ยวกับวิธีการทำงานของ VPN
โปรโตคอลนี้จะกำหนดระดับความปลอดภัยและความเร็วของการเชื่อมต่อ ปัจจุบันใช้เฉพาะ OpenVPN และ WireGuard® ซึ่งเป็นโปรโตคอล VPN ทางเลือกในแอปทางการของ Proton VPN (รวมถึง Stealth ซึ่งพัฒนาต่อยอดมาจาก WireGuard) อย่างไรก็ตาม ยังคงสามารถตั้งค่า Proton VPN โดยใช้ IKEv2 บนไคลเอนต์ VPN ของบุคคลที่สามได้
เรียนรู้เพิ่มเติมเกี่ยวกับ OpenVPN
เรียนรู้เพิ่มเติมเกี่ยวกับ WireGuard
IKEv2 เป็นโปรโตคอล VPN ที่ได้รับการรองรับอย่างเป็นทางการบนอุปกรณ์ Apple ทั้งหมด (คอมพิวเตอร์ Mac, iPhone และ iPad) แต่วิธีการที่ Apple ใช้ในการเชื่อมต่อ VPN นั้นมีข้อบกพร่องร้ายแรง
IPSec คืออะไร?
Internet Protocol Security (IPSec) คือชุดโปรโตคอลที่มีความยืดหยุ่น ซึ่งทำหน้าที่เป็นกรอบการทำงานเพื่อรักษาความปลอดภัยให้กับการเชื่อมต่อ VPN โดยมีหน้าที่สำคัญดังนี้:
- ตั้งค่าการแลกเปลี่ยนคีย์ระหว่างอุปกรณ์และเซิร์ฟเวอร์ VPN
- ระบุตัวตนเพื่อตรวจสอบแหล่งที่มาของแพ็กเก็ตข้อมูล และตรวจสอบให้แน่ใจว่าข้อมูลไม่ถูกแทรกแซงในระหว่างการรับส่ง
- เข้ารหัสและถอดรหัสข้อมูลที่ส่งผ่านการเชื่อมต่อ VPN
เนื่องจาก IPSec เป็นกรอบการทำงานมากกว่าที่จะเป็นโซลูชันแบบเบ็ดเสร็จในตัวเอง จึงรองรับโปรโตคอลและมาตรฐานการเข้ารหัสลับที่หลากหลายเพื่อทำหน้าที่เหล่านี้
IKEv2 คืออะไร?
IKEv2 เป็นเวอร์ชันที่สองของโปรโตคอล Internet Key Exchange (IKE) ซึ่งพัฒนาขึ้นโดย Microsoft และ Cisco ให้เป็นส่วนหนึ่งของชุดโปรโตคอล IPSec ในปัจจุบันมีโปรโตคอลนี้ในเวอร์ชันโอเพนซอร์สอยู่มากมาย
IKE ใช้เพื่อตั้งค่า การเชื่อมโยงความปลอดภัย(หน้าต่างใหม่) (SA) สำหรับ IPSec เมื่อเชื่อมต่ออุปกรณ์เข้ากับเซิร์ฟเวอร์ VPN ซึ่งหมายความว่า IKE จะทำหน้าที่ต่อรองชุดคีย์และอัลกอริทึมที่ทั้งสองฝ่ายยอมรับร่วมกันเพื่อนำไปใช้งาน
IKE สร้างขึ้นบน โปรโตคอล Oakley(หน้าต่างใหม่) และ โปรโตคอลรักษาความปลอดภัยอินเทอร์เน็ตและการจัดการคีย์(หน้าต่างใหม่) (ISAKMP) โดยใช้ ใบรับรอง X.509(หน้าต่างใหม่) เพื่อยืนยันตัวตน และใช้ การแลกเปลี่ยนคีย์แบบ Diffie-Hellman(หน้าต่างใหม่) (DHE) เพื่อรักษาความปลอดภัยให้กับขั้นตอนการแลกเปลี่ยนคีย์
เมื่อใช้งาน IPSec ร่วมกับ IKEv1 มักจะเรียกกันสั้นๆ ว่า IPSec ส่วน IKEv2 เปิดตัวในปี 2005 และได้รับการปรับปรุงพัฒนาจาก IKEv1 ในหลายๆ ด้านที่สำคัญ รวมถึงการใช้แบนด์วิดท์น้อยลงและสามารถตรวจจับได้ว่าการเชื่อมต่อยังคงทำงานอยู่หรือไม่ หากการเชื่อมต่อหลุด IKEv2 จะสามารถเริ่มการเชื่อมต่อใหม่ได้อย่างรวดเร็ว
การปรับปรุงอีกประการหนึ่งคือการรองรับโปรโตคอล Mobility and Multihoming (MOBIKE) ซึ่งช่วยให้ IKEv2 สามารถสลับเครือข่ายได้อย่างง่ายดาย ตัวอย่างเช่น เมื่อสลับใช้งานระหว่างฮอตสปอต หรือสลับระหว่าง WiFi ที่บ้านกับการเชื่อมต่อมือถือ
IKEv2 ยังทนทานต่อการโจมตีแบบ ปฏิเสธการให้บริการ(หน้าต่างใหม่) (DoS) ได้ดีกว่า IKEv1 อีกทั้งยังมีประสิทธิภาพมากกว่าในแง่ของจำนวนกลไกการเข้ารหัสลับที่ใช้งาน และสามารถข้ามผ่านไฟร์วอลล์ NAT(หน้าต่างใหม่) ได้อย่างง่ายดาย
IKEv2/IPSec ปลอดภัยหรือไม่?
ความเห็นพ้องต้องกันในหมู่ผู้เชี่ยวชาญด้านการเข้ารหัสลับคือ IKEv2/IPSec เป็นโปรโตคอล VPN ที่มีความปลอดภัย
ในปี 2013 John Gilmore(หน้าต่างใหม่) ผู้เชี่ยวชาญด้านเทคโนโลยีและสมาชิกผู้ร่วมก่อตั้ง Electronic Frontier Foundation ได้เผยแพร่เอกสารปกขาวซึ่งระบุว่า IPSec ถูกทำให้มีประสิทธิภาพลดลงโดยเจตนา(หน้าต่างใหม่) ในช่วงของการออกแบบ นอกจากนี้ ข้อมูลที่เปิดเผยโดย Edward Snowden(หน้าต่างใหม่) เกี่ยวกับโครงการ Bullrun(หน้าต่างใหม่) ของ สำนักงานความมั่นคงแห่งชาติ(หน้าต่างใหม่) (NSA) ของสหรัฐฯ ยังทำให้เกิดความคลางแคลงใจเกี่ยวกับความปลอดภัยของ IPSec มากขึ้นไปอีก

อย่างไรก็ตาม ไม่พบว่า IPSec มีจุดอ่อนใดๆ เมื่อนำมาใช้งานร่วมกับ IKEv2 (การใช้งาน IKEv2 ของ Apple นั้นมีปัญหา แต่ปัญหานั้นอยู่ที่ Apple ไม่ใช่ตัว IKEv2/IPSec เอง)
บทสรุปส่งท้าย — IKEv2 เทียบกับ OpenVPN และ WireGuard
แม้ว่า IKEv2 จะได้รับการยอมรับว่าปลอดภัย แต่ OpenVPN ก็ถือว่าปลอดภัยยิ่งกว่าและสามารถทำงานผ่าน TCP เพื่อเพิ่มความสามารถในการต้านทานการเซ็นเซอร์ได้ ขณะที่ WireGuard ถือว่าปลอดภัยพอๆ กับ OpenVPN แต่ทำงานได้รวดเร็วกว่ามาก และสำหรับการใช้งานภายใต้ Proton VPN นั้น ก็ยังสามารถทำงานผ่าน TCP ได้เช่นกัน
ดังนั้น แม้ว่า IKEv2 จะไม่มีข้อบกพร่องใดๆ แต่ในปัจจุบันก็แทบไม่มีเหตุผลที่จะเลือกใช้ IKEv2 แทน OpenVPN หรือ WireGuard (โดยเฉพาะอย่างยิ่ง WireGuard)
IKEv2 ยังคงได้รับการรองรับอย่างกว้างขวางเนื่องจากเป็นโปรโตคอล VPN ที่ได้รับการรองรับอย่างเป็นทางการบนอุปกรณ์ Apple แต่ดังที่ได้กล่าวไปแล้วว่า ควรหลีกเลี่ยงการใช้งาน IKEv2 ในรูปแบบของ Apple






