Jaka jest różnica między IKE a ISAKMP?

74

Buduję VPNy IPsec od lat, ale szczerze mówiąc, nigdy nie w pełni zrozumiałem różnicę techniczną między IKE a ISAKMP. Często widzę te dwa terminy używane zamiennie (prawdopodobnie niepoprawnie).

Rozumiem dwie podstawowe fazy IPsec i wydaje się, że ISAKMP zajmuje się przede wszystkim fazą pierwszą. Na przykład polecenie IOS „show crypto isakmp sa” wyświetla informacje fazy pierwszej IPsec. Ale nie ma równoważnego polecenia dla IKE.

ipsec ike vpn Jeremy Stretch
źródło

Odpowiedzi:

56

ISAKMP jest częścią IKE. (IKE ma ISAKMP, SKEME i OAKLEY). IKE ustanawia wspólną politykę bezpieczeństwa i uwierzytelnione klucze. ISAKMP to protokół, który określa mechanikę wymiany kluczy.

Zamieszanie (dla mnie) polega na tym, że w Cisco IOS ISAKMP / IKE są używane w odniesieniu do tej samej rzeczy. Rozumiem przez to, że IKE firmy Cisco implementuje / używa tylko ISAKMP. Tak więc konfigurujemy IKE, a następnie koncepcyjnie wewnątrz, konfigurujemy ISAKMP.

Craig Constantine
źródło
2
Cześć Craig, tutaj było podobne pytanie security.stackexchange.com/questions/35872/... jeśli chcesz, mogę tam usunąć moją odpowiedź, jeśli chcesz dodać twoje.
Lucas Kauffman
Niekoniecznie. Ale dziękuję za bardzo miłą ofertę!
Craig Constantine
networklessons.com/cisco/ccie-routing-switching/... To chyba najlepsze wytłumaczenie dla IPSec.
gaurav parashar
0

Proszę sprawdzić, czy to pomaga, wiem, że się spóźniam :)

Tak, pochodzi z artykułu w Wikipedii, Internet Security Association i Key Management Protocol , ale do tej pory w dyskusji nie widziałem żadnych odniesień do Wiki / RFC.

ISAKMP określa procedury uwierzytelniania komunikującego się partnera, tworzenia i zarządzania stowarzyszeniami bezpieczeństwa, techniki generowania kluczy i ograniczania zagrożeń (np. Ataki typu „odmowa usługi” i powtórka). Jako szkielet, ISAKMP jest zwykle wykorzystywany przez IKE do wymiany kluczy, chociaż zaimplementowano inne metody, takie jak Kerberized Internet Negotiation of Keys. Wstępne SA jest tworzone przy użyciu tego protokołu; później wykonuje się świeże kluczowanie.

ISAKMP definiuje procedury i formaty pakietów w celu ustanowienia, negocjacji, modyfikacji i usunięcia skojarzeń bezpieczeństwa. SA zawierają wszystkie informacje wymagane do wykonania różnych usług bezpieczeństwa sieci, takich jak usługi warstwy IP (takie jak uwierzytelnianie nagłówka i hermetyzacja ładunku), usługi warstwy transportu lub aplikacji lub samoochrona ruchu negocjacyjnego. ISAKMP definiuje ładunki do wymiany danych generowania i uwierzytelniania kluczy. Formaty te zapewniają spójną strukturę przesyłania danych klucza i uwierzytelnienia, która jest niezależna od techniki generowania klucza, algorytmu szyfrowania i mechanizmu uwierzytelniania.

ISAKMP różni się od protokołów wymiany kluczy w celu czystego oddzielenia szczegółów zarządzania skojarzeniami zabezpieczeń (i zarządzania kluczami) od szczegółów wymiany kluczy. Może istnieć wiele różnych protokołów wymiany kluczy, każdy o różnych właściwościach bezpieczeństwa. Jednak do uzgodnienia formatu atrybutów SA oraz do negocjacji, modyfikacji i usuwania skojarzeń zabezpieczeń wymagane są wspólne ramy. ISAKMP służy jako ta wspólna struktura.

ISAKMP można wdrożyć za pomocą dowolnego protokołu transportowego. Wszystkie implementacje muszą obejmować możliwość wysyłania i odbierania dla ISAKMP przy użyciu UDP na porcie 500.

Feroze KM
źródło
Powinieneś edytować, aby użyć funkcji cytowania, i powinieneś podać źródło.
Ron Maupin
Wygląda na to, że ta odpowiedź jest głównie kopiowana z innego źródła i że zapomniałeś przypisać oryginalne źródło. Naprawiłem to, co w mojej mocy, ale sprawdź, czy moje zmiany są prawidłowe i upewnij się, że zrobisz to sam w przyszłości.
YLearn
Powinieneś przypisać źródło i podać link, jeśli to możliwe. Naprawiłem Twoją edycję edycji @ YLearn, aby dodać link z powrotem.
Ron Maupin
chłopaki, do tej pory nie widziałem żadnego odniesienia do wiki ani żadnego szczegółowego wyjaśnienia w powyższych dyskusjach, gdy przeglądałem post, aby znaleźć różnicę między IKE / ISAKMP. Stąd myśl o umieszczeniu go tutaj, a to nie jest żadna zasługa :) :) :)
Feroze KM
To kiepska forma cytowania czyjejś pracy bez udzielania kredytu. Doktryna dozwolonego użytku pozwala zacytować czyjąś pracę, ale musisz przyznać uznanie tam, gdzie jest to należne, w przeciwnym razie, w niektórych kontekstach, nazywa się to plagiatem. Staraliśmy się tylko poprawić twoją odpowiedź (i być uczciwym wobec oryginalnego autora).
Ron Maupin
0

Praktycznie rzecz biorąc - IKE, Internet Key Exchange (IKE), jest synonimem protokołu ISAKMP (Internet Security Association Key Management Protocol).

Ron Royston
źródło