¿Cuál es la diferencia entre IKE e ISAKMP?

74

He estado construyendo VPN IPsec durante años, pero para ser honesto, nunca he comprendido completamente la diferencia técnica entre IKE e ISAKMP. A menudo veo que los dos términos se usan indistintamente (probablemente incorrectamente).

Entiendo las dos fases básicas de IPsec y que ISAKMP parece ocuparse principalmente de la fase uno. Por ejemplo, el comando IOS "show crypto isakmp sa" muestra información de la fase uno de IPsec. Pero no hay un comando equivalente para IKE.

Jeremy Stretch
fuente

Respuestas:

56

ISAKMP es parte de IKE. (IKE tiene ISAKMP, SKEME y OAKLEY). IKE establece la política de seguridad compartida y las claves autenticadas. ISAKMP es el protocolo que especifica la mecánica del intercambio de claves.

La confusión (para mí) es que en Cisco IOS ISAKMP / IKE se usan para referirse a lo mismo. Lo que quiero decir es que entiendo que IKE de Cisco solo implementa / usa ISAKMP. Entonces uno configura IKE, y luego conceptualmente dentro de eso, uno configura ISAKMP.

Craig Constantine
fuente
2
Hola Craig, había una pregunta similar aquí security.stackexchange.com/questions/35872/… si quieres, puedo eliminar mi respuesta allí si deseas agregar la tuya.
Lucas Kauffman
No es necesario. ¡Pero gracias por la amable oferta!
Craig Constantine
networklessons.com/cisco/ccie-routing-switching/… Esta es quizás la mejor explicación para IPSec.
gaurav parashar
0

Por favor, compruebe si esto ayuda, sé que llego tarde :)

Sí, esto es del artículo de Wikipedia, la Asociación de seguridad de Internet y el Protocolo de administración de claves , pero hasta ahora no vi ninguna referencia a Wiki / RFC aquí en discusión.

ISAKMP define los procedimientos para autenticar a un par comunicante, la creación y gestión de Asociaciones de Seguridad, técnicas de generación de claves y mitigación de amenazas (por ejemplo, denegación de servicio y ataques de repetición). Como marco, ISKE utiliza típicamente IAKMP para el intercambio de claves, aunque se han implementado otros métodos como la Negociación Kerberizada de claves por Internet. Se forma una SA preliminar utilizando este protocolo; más tarde se realiza una nueva incrustación.

ISAKMP define procedimientos y formatos de paquetes para establecer, negociar, modificar y eliminar Asociaciones de Seguridad. Las SA contienen toda la información requerida para la ejecución de varios servicios de seguridad de red, como los servicios de capa IP (como la autenticación de encabezado y la encapsulación de carga útil), los servicios de capa de transporte o aplicación o la autoprotección del tráfico de negociación. ISAKMP define cargas útiles para el intercambio de generación de claves y datos de autenticación. Estos formatos proporcionan un marco coherente para transferir datos clave y de autenticación que es independiente de la técnica de generación de claves, el algoritmo de cifrado y el mecanismo de autenticación.

ISAKMP es distinto de los protocolos de intercambio de claves para separar limpiamente los detalles de la gestión de la asociación de seguridad (y la gestión de claves) de los detalles del intercambio de claves. Puede haber muchos protocolos de intercambio de claves diferentes, cada uno con diferentes propiedades de seguridad. Sin embargo, se requiere un marco común para aceptar el formato de los atributos de SA y para negociar, modificar y eliminar SA. ISAKMP sirve como este marco común.

ISAKMP se puede implementar sobre cualquier protocolo de transporte. Todas las implementaciones deben incluir la capacidad de envío y recepción para ISAKMP utilizando UDP en el puerto 500.

Feroze KM
fuente
Debería editar para usar la función de presupuesto, y debería acreditar la fuente.
Ron Maupin
Parece que esta respuesta se copió principalmente de otra fuente y que olvidó atribuir la fuente original. Lo solucioné lo mejor que pude, pero verifique que mis cambios sean correctos y asegúrese de hacerlo usted mismo en el futuro.
YLearn
Debe atribuir la fuente y proporcionar un enlace, si es posible. Arregle su edición de la edición de @ YLearn para agregar el enlace nuevamente.
Ron Maupin
chicos, hasta ahora no vi ninguna referencia al wiki ni ninguna explicación detallada en las discusiones anteriores mientras revisaba la publicación para encontrar la diferencia entre IKE / ISAKMP. Por lo tanto, pensé en ponerlo aquí y esto no es para tomar ningún crédito :) :) :)
Feroze KM
Es una mala forma de citar el trabajo de alguien sin dar crédito. La doctrina del uso justo le permite citar el trabajo de alguien, pero necesita dar crédito a quien se le debe el crédito, de lo contrario, en algunos contextos, se llama plagio. Solo estábamos tratando de mejorar su respuesta (y ser justos con el autor original).
Ron Maupin
0

En términos prácticos, IKE, Internet Key Exchange (IKE), es sinónimo del Protocolo de administración de claves de la Asociación de seguridad de Internet (ISAKMP).

Ron Royston
fuente