В чем разница между IKE и ISAKMP?

74

Я строил IPsec VPN в течение многих лет, но, честно говоря, я никогда полностью не осознавал техническое различие между IKE и ISAKMP. Я часто вижу два термина, которые взаимозаменяемы (вероятно, неправильно).

Я понимаю две основные фазы IPsec и то, что ISAKMP, кажется, имеет дело главным образом с первой фазой. Например, команда IOS «show crypto isakmp sa» отображает информацию об IPsec первой фазы. Но нет эквивалентной команды для IKE.

Джереми Стретч
источник

Ответы:

56

ISAKMP является частью IKE. (У IKE есть ISAKMP, SKEME и OAKLEY). IKE устанавливает общую политику безопасности и аутентифицированные ключи. ISAKMP - это протокол, который определяет механизм обмена ключами.

Путаница (для меня) заключается в том, что в Cisco IOS ISAKMP / IKE используются для обозначения одной и той же вещи. Под этим я понимаю, что в IKE Cisco используется только ISAKMP. Итак, кто-то настраивает IKE, а затем концептуально внутри него настраивает ISAKMP.

Крейг Константин
источник
2
Привет, Крейг, здесь был похожий вопрос security.stackexchange.com/questions/35872/… если ты хочешь, я могу удалить свой ответ там, если ты хочешь добавить свой.
Лукас Кауфман
Не обязательно. Но спасибо за очень любезное предложение!
Крейг Константин
networklessons.com/cisco/ccie-routing-switching/… Это, пожалуй, лучшее объяснение IPSec.
Гаурав Парашар
0

Пожалуйста, проверьте, помогает ли это, я знаю, что я опоздал :)

Да, это из статьи в Википедии, Ассоциации безопасности Интернета и протокола управления ключами , но я не видел пока никаких ссылок на Wiki / RFC здесь в обсуждении.

ISAKMP определяет процедуры для аутентификации взаимодействующего узла, создания и управления Ассоциациями безопасности, методов генерации ключей и снижения угроз (например, отказ в обслуживании и повторные атаки). В качестве основы ISAKMP обычно используется IKE для обмена ключами, хотя были реализованы и другие методы, такие как Kerberized Internet Negotiation of Keys. Предварительный SA формируется с использованием этого протокола; позже новый ключ сделан.

ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления сопоставлений безопасности. SA содержат всю информацию, необходимую для выполнения различных сервисов сетевой безопасности, таких как сервисы уровня IP (такие как аутентификация заголовка и инкапсуляция полезной нагрузки), сервисы транспортного или прикладного уровня или самозащита трафика переговоров. ISAKMP определяет полезные нагрузки для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключа и данных аутентификации, которая не зависит от метода генерации ключа, алгоритма шифрования и механизма аутентификации.

ISAKMP отличается от протоколов обмена ключами, чтобы четко отделить детали управления связями безопасности (и управления ключами) от деталей обмена ключами. Может быть много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако для согласования формата атрибутов SA и для согласования, изменения и удаления SA требуется общая структура. ISAKMP служит этой общей структурой.

ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP на порту 500.

Фероз КМ
источник
Вы должны изменить, чтобы использовать функцию цитаты, и вы должны указать источник.
Рон Мопин
Похоже, что этот ответ в основном скопирован из другого источника, и вы забыли приписать исходный источник. Я исправил это в меру своих возможностей, но, пожалуйста, убедитесь, что мои изменения верны, и не забудьте сделать это самостоятельно в будущем.
YLearn
Вы должны указать источник и предоставить ссылку, если это возможно. Я исправил вашу правку @ YLearn, чтобы добавить ссылку обратно.
Рон Мопин
ребята, я до сих пор не видел ни ссылки на вики, ни подробного объяснения в приведенных выше обсуждениях, пока просматривал пост, чтобы найти разницу между IKE / ISAKMP. Отсюда и мысль о том, чтобы поставить его здесь, и это не значит, что нужно брать кредит :) :) :)
Feroze KM
Это плохая форма, чтобы цитировать чью-то работу без признательности. Доктрина добросовестного использования позволяет вам цитировать чью-то работу, но вам нужно отдать должное, когда это необходимо, иначе в некоторых контекстах это называется плагиатом. Мы просто пытались улучшить ваш ответ (и быть честным с оригинальным автором).
Рон Мопин
0

Фактически, IKE, Internet Key Exchange (IKE), является синонимом протокола управления ключами Internet Security Association (ISAKMP).

Рон Ройстон
источник