IKEv2 je síťový protokol patřící do rodiny IPsec, který slouží k bezpečnému ustanovení a správě šifrovaného spojení (Security Association - SA) mezi dvěma body. Byl vyvinut společnostmi Microsoft a Cisco jako nástupce staršího IKEv1.
Jeho hlavním úkolem je autentizace obou stran a bezpečné dohodnutí šifrovacích klíčů, které pak následně používá protokol ESP (Encapsulating Security Payload) pro samotný přenos dat.
* MOBIKE (Mobility and Multihoming): Nejsilnější stránka IKEv2. Umožňuje uživateli změnit IP adresu (např. při přechodu z Wi-Fi na mobilní data), aniž by došlo k rozpadu VPN spojení. * Odolnost proti DoS útokům: Obsahuje mechanismus „cookies“, který nutí odesílatele potvrdit svou identitu dříve, než server začne provádět náročné kryptografické operace. * Nízká latence: K navázání spojení vyžaduje mnohem méně výměn zpráv (round-trips) než IKEv1, což zrychluje připojování. * Nativní podpora NAT Traversal: Automaticky detekuje přítomnost NAT a provádí zapouzdření do UDP portu 4500.
Komunikace IKEv2 probíhá v několika fázích výměny zpráv:
1. **IKE_SA_INIT:** Dohodnutí kryptografických algoritmů (šifry, hashe) a výměna Diffie-Hellman veřejných hodnot pro vytvoření společného klíče. 2. **IKE_AUTH:** Autentizace stran (pomocí certifikátů nebo PSK) a vytvoření prvního tunelu pro data (Child SA).
| Vlastnost | IKEv1 | IKEv2 |
|---|---|---|
| Rychlost | Pomalé (vícenásobné výměny) | Velmi rychlé (2 základní výměny) |
| Mobilita | Nepodporuje (tunel spadne) | Podporuje (MOBIKE) |
| Spotřeba dat | Vyšší režie | Nižší režie (vhodné pro mobily) |
| Spolehlivost | Časté problémy s „mrtvými“ tunely | Vestavěný mechanismus Liveness Check |
IKEv2 podporuje moderní šifrovací algoritmy jako AES-GCM, které jsou efektivnější na moderních procesorech. Pro autentizaci lze využít:
Tip pro praxi: IKEv2 je standardním protokolem pro Windows, macOS a iOS „nativní“ VPN klienty. Často je preferován před OpenVPN díky lepší integraci v systému a nižší spotřebě baterie na mobilních zařízeních.