Qual é a diferença entre IKE e ISAKMP?


74

Desenvolvo VPNs IPsec há anos, mas, para ser sincero, nunca compreendi completamente a diferença técnica entre IKE e ISAKMP. Costumo ver os dois termos usados ​​de forma intercambiável (provavelmente incorretamente).

Entendo as duas fases básicas do IPsec e que o ISAKMP parece lidar principalmente com a fase um. Por exemplo, o comando IOS "show crypto isakmp sa" exibe informações da fase um do IPsec. Mas não há comando equivalente para o IKE.

Respostas:


56

ISAKMP faz parte do IKE. (O IKE possui ISAKMP, SKEME e OAKLEY). O IKE estabelece a política de segurança compartilhada e as chaves autenticadas. ISAKMP é o protocolo que especifica a mecânica da troca de chaves.

A confusão (para mim) é que no Cisco IOS ISAKMP / IKE são usados ​​para se referir à mesma coisa. Com o que quero dizer, meu entendimento é que o IKE da Cisco implementa / usa apenas o ISAKMP. Então, um configura o IKE e, conceitualmente, dentro dele, o ISAKMP.


2
Olá craig, houve uma pergunta semelhante aqui security.stackexchange.com/questions/35872/… se você quiser, posso remover minha resposta lá, se você quiser adicionar a sua.
Lucas Kauffman

Não é necessário. Mas obrigado pela oferta muito gentil!
Craig Constantine

networklessons.com/cisco/ccie-routing-switching/… Esta é talvez a melhor explicação para IPSec.
gaurav parashar

0

Por favor, verifique se isso ajuda, eu sei que estou atrasado :)

Sim, isso é do artigo da Wikipedia, Internet Security Association e Key Management Protocol , mas não vi nenhuma referência até agora ao Wiki / RFC aqui em discussão.

O ISAKMP define os procedimentos para autenticar um ponto de comunicação, criação e gerenciamento de associações de segurança, técnicas de geração de chaves e mitigação de ameaças (por exemplo, ataques de negação de serviço e repetição). Como estrutura, o ISAKMP é normalmente utilizado pelo IKE para troca de chaves, embora outros métodos tenham sido implementados, como a Negociação de Chaves na Internet Kerberizada. Uma SA preliminar é formada usando este protocolo; depois, é feita uma nova digitação.

O ISAKMP define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e excluir associações de segurança. As SAs contêm todas as informações necessárias para a execução de vários serviços de segurança de rede, como os serviços da camada IP (como autenticação de cabeçalho e encapsulamento de carga), serviços de transporte ou da camada de aplicativos ou autoproteção do tráfego de negociação. O ISAKMP define cargas úteis para a troca de dados de geração e autenticação de chaves. Esses formatos fornecem uma estrutura consistente para a transferência de dados de chave e autenticação, independente da técnica de geração de chave, algoritmo de criptografia e mecanismo de autenticação.

O ISAKMP é diferente dos protocolos de troca de chaves, a fim de separar claramente os detalhes do gerenciamento de associações de segurança (e gerenciamento de chaves) dos detalhes da troca de chaves. Pode haver muitos protocolos de troca de chaves diferentes, cada um com propriedades de segurança diferentes. No entanto, é necessária uma estrutura comum para concordar com o formato dos atributos de SA e para negociar, modificar e excluir SAs. O ISAKMP serve como essa estrutura comum.

O ISAKMP pode ser implementado em qualquer protocolo de transporte. Todas as implementações devem incluir o recurso de envio e recebimento de ISAKMP usando UDP na porta 500.


Você deve editar para usar o recurso de cotação e creditar a fonte.
Ron Maupin

Parece que esta resposta é copiada primariamente de outra fonte e que você esqueceu de atribuir a fonte original. Corrigi isso da melhor maneira possível, mas verifique se minhas alterações estão corretas e faça isso você mesmo no futuro.
YLearn

Você deve atribuir a fonte e fornecer um link, se possível. Corrigi sua edição da edição do @ YLearn para adicionar o link novamente.
Ron Maupin

pessoal, até agora não vi nenhuma referência ao wiki ou nenhuma explicação detalhada nas discussões acima enquanto eu estava lendo o post para encontrar a diferença entre IKE / ISAKMP. Por isso pensei em colocá-lo aqui e isso não é de tomar qualquer crédito :) :) :)
Feroze KM

É péssimo citar o trabalho de alguém sem dar crédito. A doutrina do uso justo permite que você cite o trabalho de alguém, mas você precisa dar crédito onde o crédito é devido; caso contrário, em alguns contextos, isso se chama plágio. Estávamos apenas tentando melhorar sua resposta (e sermos justos com o autor original).
Ron Maupin

0

Na prática, IKE, IKE (Internet Key Exchange), é sinônimo de ISAKMP (Internet Security Association Key Management Protocol).

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.