Quelle est la différence entre IKE et ISAKMP?

74

Je construis des VPN IPsec depuis des années, mais pour être franc, je n’ai jamais bien compris la différence technique entre IKE et ISAKMP. Je vois souvent les deux termes utilisés indifféremment (probablement de manière incorrecte).

Je comprends les deux phases de base d’IPsec et ISAKMP semble traiter principalement de la première phase. Par exemple, la commande IOS "show crypto isakmp sa" affiche les informations de la première phase IPsec. Mais il n'y a pas de commande équivalente pour IKE.

Jeremy Stretch
la source

Réponses:

56

ISAKMP fait partie d'IKE. (IKE a ISAKMP, SKEME et OAKLEY). IKE établit la politique de sécurité partagée et les clés authentifiées. ISAKMP est le protocole qui spécifie les mécanismes de l'échange de clés.

La confusion (pour moi) est que, dans le Cisco IOS ISAKMP / IKE sont utilisés pour se référer à la même chose. Par ce que je veux dire, ma compréhension est que l'IKE de Cisco implémente / utilise seulement ISAKMP. Donc, on configure IKE, puis conceptuellement, on configure ISAKMP.

Craig Constantine
la source
2
Bonjour craig, une question similaire se posait ici security.stackexchange.com/questions/35872/… si vous le souhaitez, je peux supprimer ma réponse si vous souhaitez ajouter la vôtre.
Lucas Kauffman
Pas nécessaire. Mais merci pour cette offre très gentille!
Craig Constantine
networklessons.com/cisco/ccie-routing-switching/… C'est peut-être la meilleure explication pour IPSec.
Gaurav parashar
0

S'il vous plaît vérifier si cela aide, je sais que je suis en retard :)

Oui, cela provient de l'article Wikipedia, Internet Security Association et du protocole de gestion de clé , mais je n'ai encore vu aucune référence à Wiki / RFC lors de la discussion.

ISAKMP définit les procédures d'authentification d'un homologue communicant, de création et de gestion d'associations de sécurité, de techniques de génération de clé et d'atténuation des menaces (attaques par déni de service et relecture, par exemple). En tant que cadre, ISAKMP est généralement utilisé par IKE pour l'échange de clés, bien que d'autres méthodes aient été implémentées, telles que la négociation Internet kérberisée de clés. Un SA préliminaire est formé en utilisant ce protocole; plus tard, une nouvelle saisie est effectuée.

ISAKMP définit des procédures et des formats de paquets pour établir, négocier, modifier et supprimer des associations de sécurité. Les SA contiennent toutes les informations nécessaires à l'exécution de divers services de sécurité réseau, tels que les services de couche IP (tels que l'authentification d'en-tête et l'encapsulation de charge utile), les services de transport ou de couche d'application ou l'autoprotection du trafic de négociation. ISAKMP définit les données utiles pour l'échange de données de génération de clé et d'authentification. Ces formats fournissent un cadre cohérent pour le transfert de données de clé et d'authentification, indépendamment de la technique de génération de clé, de l'algorithme de cryptage et du mécanisme d'authentification.

ISAKMP se distingue des protocoles d'échange de clés afin de séparer clairement les détails de la gestion des associations de sécurité (et de la gestion des clés) des détails de l'échange de clés. Il peut exister de nombreux protocoles d’échange de clés, chacun avec des propriétés de sécurité différentes. Cependant, un cadre commun est nécessaire pour convenir du format des attributs SA et pour négocier, modifier et supprimer les SA. ISAKMP sert de cadre commun.

ISAKMP peut être implémenté sur n'importe quel protocole de transport. Toutes les implémentations doivent inclure une fonctionnalité d'envoi et de réception pour ISAKMP utilisant UDP sur le port 500.

Feroze KM
la source
Vous devez modifier pour utiliser la fonctionnalité de citation et créditer la source.
Ron Maupin
Il semble que cette réponse soit principalement copiée depuis une autre source et que vous ayez oublié d'attribuer la source d'origine. Je l'ai corrigé au mieux de mes possibilités, mais vérifiez que mes modifications sont correctes et assurez-vous de le faire vous-même à l'avenir.
YLearn
Vous devez attribuer la source et fournir un lien, si possible. J'ai corrigé votre modification de la modification de @YLearn pour ajouter le lien.
Ron Maupin
Les gars, je n'ai pas vu jusqu'à présent de référence à wiki ou d'explication détaillée dans les discussions ci-dessus alors que je parcourais l'article pour trouver la différence entre IKE et ISAKMP. D'où l'idée de le mettre ici et cela ne prend aucun crédit :) :) :)
Feroze KM
C'est une mauvaise forme de citer le travail de quelqu'un sans donner de crédit. La doctrine de l'usage loyal vous permet de citer le travail de quelqu'un, mais vous devez indiquer le nom du crédit, sinon, dans certains contextes, cela s'appelle du plagiat. Nous essayions simplement d'améliorer votre réponse (et d'être juste envers l'auteur d'origine).
Ron Maupin
0

Concrètement, IKE, Internet Key Exchange (IKE), est synonyme de protocole ISAKMP (Internet Security Association).

Ron Royston
la source