Costruisco VPN IPsec da anni, ma ad essere sincero non ho mai compreso appieno la differenza tecnica tra IKE e ISAKMP. Vedo spesso i due termini usati in modo intercambiabile (probabilmente in modo errato).
Comprendo le due fasi di base di IPsec e che ISAKMP sembra occuparsi principalmente della prima fase. Ad esempio, il comando IOS "show crypto isakmp sa" visualizza le informazioni sulla fase 1 di IPsec. Ma non esiste un comando equivalente per IKE.
Risposte:
ISAKMP fa parte di IKE. (IKE ha ISAKMP, SKEME e OAKLEY). IKE stabilisce la politica di sicurezza condivisa e le chiavi autenticate. ISAKMP è il protocollo che specifica la meccanica dello scambio di chiavi.
La confusione (per me) è che in Cisco IOS ISAKMP / IKE vengono utilizzati per fare riferimento alla stessa cosa. Con ciò intendo, la mia comprensione è che l'IKE di Cisco implementa / usa solo ISAKMP. Quindi si configura IKE e, concettualmente, si configura ISAKMP.
Controlla se questo aiuta, so che sono in ritardo :)
Sì, questo è tratto dall'articolo di Wikipedia, dall'Internet Security Association e dal Key Management Protocol , ma non ho visto alcun riferimento finora a Wiki / RFC qui in discussione.
ISAKMP definisce le procedure per l'autenticazione di un peer comunicante, la creazione e la gestione delle Associazioni di sicurezza, le tecniche di generazione delle chiavi e la mitigazione delle minacce (ad esempio, denial of service e attacchi di tipo replay). Come framework, ISAKMP è in genere utilizzato da IKE per lo scambio di chiavi, sebbene siano stati implementati altri metodi come il Negoziato Kerberizzato di chiavi Internet. Una SA preliminare viene formata utilizzando questo protocollo; successivamente viene eseguita una nuova codifica.
ISAKMP definisce procedure e formati di pacchetti per stabilire, negoziare, modificare ed eliminare le associazioni di sicurezza. Le SA contengono tutte le informazioni necessarie per l'esecuzione di vari servizi di sicurezza della rete, come i servizi di livello IP (come l'autenticazione dell'intestazione e l'incapsulamento del payload), i servizi di trasporto o livello di applicazione o l'autoprotezione del traffico di negoziazione. ISAKMP definisce i payload per lo scambio di dati di autenticazione e generazione delle chiavi. Questi formati forniscono un framework coerente per il trasferimento dei dati di chiave e autenticazione che è indipendente dalla tecnica di generazione della chiave, dall'algoritmo di crittografia e dal meccanismo di autenticazione.
ISAKMP si distingue dai protocolli di scambio di chiavi per separare in modo chiaro i dettagli della gestione delle associazioni di sicurezza (e della gestione delle chiavi) dai dettagli dello scambio di chiavi. Potrebbero esserci diversi protocolli di scambio delle chiavi, ognuno con proprietà di sicurezza diverse. Tuttavia, è necessario un quadro comune per concordare il formato degli attributi delle SA e per negoziare, modificare ed eliminare le SA. ISAKMP funge da framework comune.
ISAKMP può essere implementato su qualsiasi protocollo di trasporto. Tutte le implementazioni devono includere la funzionalità di invio e ricezione per ISAKMP utilizzando UDP sulla porta 500.
In pratica: IKE, Internet Key Exchange (IKE), è sinonimo di Key Management Protocol (ISAKMP) di Internet Security Association.