Quelle est la différence entre IKE et ISAKMP?

Je construis des VPN IPsec depuis des années, mais pour être franc, je n’ai jamais bien compris la différence technique entre IKE et ISAKMP. Je vois souvent les deux termes utilisés indifféremment (probablement de manière incorrecte).

Je comprends les deux phases de base d’IPsec et ISAKMP semble traiter principalement de la première phase. Par exemple, la commande IOS "show crypto isakmp sa" affiche les informations de la première phase IPsec. Mais il n'y a pas de commande équivalente pour IKE.

ISAKMP fait partie d'IKE. (IKE a ISAKMP, SKEME et OAKLEY). IKE établit la politique de sécurité partagée et les clés authentifiées. ISAKMP est le protocole qui spécifie les mécanismes de l'échange de clés.

La confusion (pour moi) est que, dans le Cisco IOS ISAKMP / IKE sont utilisés pour se référer à la même chose. Par ce que je veux dire, ma compréhension est que l'IKE de Cisco implémente / utilise seulement ISAKMP. Donc, on configure IKE, puis conceptuellement, on configure ISAKMP.

S'il vous plaît vérifier si cela aide, je sais que je suis en retard :)

Oui, cela provient de l'article Wikipedia, Internet Security Association et du protocole de gestion de clé , mais je n'ai encore vu aucune référence à Wiki / RFC lors de la discussion.

ISAKMP définit les procédures d'authentification d'un homologue communicant, de création et de gestion d'associations de sécurité, de techniques de génération de clé et d'atténuation des menaces (attaques par déni de service et relecture, par exemple). En tant que cadre, ISAKMP est généralement utilisé par IKE pour l'échange de clés, bien que d'autres méthodes aient été implémentées, telles que la négociation Internet kérberisée de clés. Un SA préliminaire est formé en utilisant ce protocole; plus tard, une nouvelle saisie est effectuée.

ISAKMP définit des procédures et des formats de paquets pour établir, négocier, modifier et supprimer des associations de sécurité. Les SA contiennent toutes les informations nécessaires à l'exécution de divers services de sécurité réseau, tels que les services de couche IP (tels que l'authentification d'en-tête et l'encapsulation de charge utile), les services de transport ou de couche d'application ou l'autoprotection du trafic de négociation. ISAKMP définit les données utiles pour l'échange de données de génération de clé et d'authentification. Ces formats fournissent un cadre cohérent pour le transfert de données de clé et d'authentification, indépendamment de la technique de génération de clé, de l'algorithme de cryptage et du mécanisme d'authentification.

ISAKMP se distingue des protocoles d'échange de clés afin de séparer clairement les détails de la gestion des associations de sécurité (et de la gestion des clés) des détails de l'échange de clés. Il peut exister de nombreux protocoles d’échange de clés, chacun avec des propriétés de sécurité différentes. Cependant, un cadre commun est nécessaire pour convenir du format des attributs SA et pour négocier, modifier et supprimer les SA. ISAKMP sert de cadre commun.

ISAKMP peut être implémenté sur n'importe quel protocole de transport. Toutes les implémentations doivent inclure une fonctionnalité d'envoi et de réception pour ISAKMP utilisant UDP sur le port 500.

Concrètement, IKE, Internet Key Exchange (IKE), est synonyme de protocole ISAKMP (Internet Security Association).