Buduję VPNy IPsec od lat, ale szczerze mówiąc, nigdy nie w pełni zrozumiałem różnicę techniczną między IKE a ISAKMP. Często widzę te dwa terminy używane zamiennie (prawdopodobnie niepoprawnie).
Rozumiem dwie podstawowe fazy IPsec i wydaje się, że ISAKMP zajmuje się przede wszystkim fazą pierwszą. Na przykład polecenie IOS „show crypto isakmp sa” wyświetla informacje fazy pierwszej IPsec. Ale nie ma równoważnego polecenia dla IKE.
Odpowiedzi:
ISAKMP jest częścią IKE. (IKE ma ISAKMP, SKEME i OAKLEY). IKE ustanawia wspólną politykę bezpieczeństwa i uwierzytelnione klucze. ISAKMP to protokół, który określa mechanikę wymiany kluczy.
Zamieszanie (dla mnie) polega na tym, że w Cisco IOS ISAKMP / IKE są używane w odniesieniu do tej samej rzeczy. Rozumiem przez to, że IKE firmy Cisco implementuje / używa tylko ISAKMP. Tak więc konfigurujemy IKE, a następnie koncepcyjnie wewnątrz, konfigurujemy ISAKMP.
Proszę sprawdzić, czy to pomaga, wiem, że się spóźniam :)
Tak, pochodzi z artykułu w Wikipedii, Internet Security Association i Key Management Protocol , ale do tej pory w dyskusji nie widziałem żadnych odniesień do Wiki / RFC.
ISAKMP określa procedury uwierzytelniania komunikującego się partnera, tworzenia i zarządzania stowarzyszeniami bezpieczeństwa, techniki generowania kluczy i ograniczania zagrożeń (np. Ataki typu „odmowa usługi” i powtórka). Jako szkielet, ISAKMP jest zwykle wykorzystywany przez IKE do wymiany kluczy, chociaż zaimplementowano inne metody, takie jak Kerberized Internet Negotiation of Keys. Wstępne SA jest tworzone przy użyciu tego protokołu; później wykonuje się świeże kluczowanie.
ISAKMP definiuje procedury i formaty pakietów w celu ustanowienia, negocjacji, modyfikacji i usunięcia skojarzeń bezpieczeństwa. SA zawierają wszystkie informacje wymagane do wykonania różnych usług bezpieczeństwa sieci, takich jak usługi warstwy IP (takie jak uwierzytelnianie nagłówka i hermetyzacja ładunku), usługi warstwy transportu lub aplikacji lub samoochrona ruchu negocjacyjnego. ISAKMP definiuje ładunki do wymiany danych generowania i uwierzytelniania kluczy. Formaty te zapewniają spójną strukturę przesyłania danych klucza i uwierzytelnienia, która jest niezależna od techniki generowania klucza, algorytmu szyfrowania i mechanizmu uwierzytelniania.
ISAKMP różni się od protokołów wymiany kluczy w celu czystego oddzielenia szczegółów zarządzania skojarzeniami zabezpieczeń (i zarządzania kluczami) od szczegółów wymiany kluczy. Może istnieć wiele różnych protokołów wymiany kluczy, każdy o różnych właściwościach bezpieczeństwa. Jednak do uzgodnienia formatu atrybutów SA oraz do negocjacji, modyfikacji i usuwania skojarzeń zabezpieczeń wymagane są wspólne ramy. ISAKMP służy jako ta wspólna struktura.
ISAKMP można wdrożyć za pomocą dowolnego protokołu transportowego. Wszystkie implementacje muszą obejmować możliwość wysyłania i odbierania dla ISAKMP przy użyciu UDP na porcie 500.
Praktycznie rzecz biorąc - IKE, Internet Key Exchange (IKE), jest synonimem protokołu ISAKMP (Internet Security Association Key Management Protocol).