¿Cuál es la diferencia entre IKE e ISAKMP?

He estado construyendo VPN IPsec durante años, pero para ser honesto, nunca he comprendido completamente la diferencia técnica entre IKE e ISAKMP. A menudo veo que los dos términos se usan indistintamente (probablemente incorrectamente).

Entiendo las dos fases básicas de IPsec y que ISAKMP parece ocuparse principalmente de la fase uno. Por ejemplo, el comando IOS "show crypto isakmp sa" muestra información de la fase uno de IPsec. Pero no hay un comando equivalente para IKE.

ISAKMP es parte de IKE. (IKE tiene ISAKMP, SKEME y OAKLEY). IKE establece la política de seguridad compartida y las claves autenticadas. ISAKMP es el protocolo que especifica la mecánica del intercambio de claves.

La confusión (para mí) es que en Cisco IOS ISAKMP / IKE se usan para referirse a lo mismo. Lo que quiero decir es que entiendo que IKE de Cisco solo implementa / usa ISAKMP. Entonces uno configura IKE, y luego conceptualmente dentro de eso, uno configura ISAKMP.

Por favor, compruebe si esto ayuda, sé que llego tarde :)

Sí, esto es del artículo de Wikipedia, la Asociación de seguridad de Internet y el Protocolo de administración de claves , pero hasta ahora no vi ninguna referencia a Wiki / RFC aquí en discusión.

ISAKMP define los procedimientos para autenticar a un par comunicante, la creación y gestión de Asociaciones de Seguridad, técnicas de generación de claves y mitigación de amenazas (por ejemplo, denegación de servicio y ataques de repetición). Como marco, ISKE utiliza típicamente IAKMP para el intercambio de claves, aunque se han implementado otros métodos como la Negociación Kerberizada de claves por Internet. Se forma una SA preliminar utilizando este protocolo; más tarde se realiza una nueva incrustación.

ISAKMP define procedimientos y formatos de paquetes para establecer, negociar, modificar y eliminar Asociaciones de Seguridad. Las SA contienen toda la información requerida para la ejecución de varios servicios de seguridad de red, como los servicios de capa IP (como la autenticación de encabezado y la encapsulación de carga útil), los servicios de capa de transporte o aplicación o la autoprotección del tráfico de negociación. ISAKMP define cargas útiles para el intercambio de generación de claves y datos de autenticación. Estos formatos proporcionan un marco coherente para transferir datos clave y de autenticación que es independiente de la técnica de generación de claves, el algoritmo de cifrado y el mecanismo de autenticación.

ISAKMP es distinto de los protocolos de intercambio de claves para separar limpiamente los detalles de la gestión de la asociación de seguridad (y la gestión de claves) de los detalles del intercambio de claves. Puede haber muchos protocolos de intercambio de claves diferentes, cada uno con diferentes propiedades de seguridad. Sin embargo, se requiere un marco común para aceptar el formato de los atributos de SA y para negociar, modificar y eliminar SA. ISAKMP sirve como este marco común.

ISAKMP se puede implementar sobre cualquier protocolo de transporte. Todas las implementaciones deben incluir la capacidad de envío y recepción para ISAKMP utilizando UDP en el puerto 500.

En términos prácticos, IKE, Internet Key Exchange (IKE), es sinónimo del Protocolo de administración de claves de la Asociación de seguridad de Internet (ISAKMP).