Ich baue schon seit Jahren IPsec-VPNs, aber um ehrlich zu sein, habe ich den technischen Unterschied zwischen IKE und ISAKMP nie richtig verstanden. Ich sehe oft die beiden Begriffe synonym verwendet (wahrscheinlich falsch).
Ich verstehe die beiden Grundphasen von IPSec, und ISAKMP scheint sich in erster Linie mit Phase 1 zu befassen. Beispielsweise zeigt der IOS-Befehl "show crypto isakmp sa" IPsec-Phase-1-Informationen an. Es gibt jedoch keinen entsprechenden Befehl für IKE.
Antworten:
ISAKMP ist Teil von IKE. (IKE hat ISAKMP, SKEME und OAKLEY). IKE richtet die gemeinsame Sicherheitsrichtlinie und die authentifizierten Schlüssel ein. ISAKMP ist das Protokoll, das die Mechanik des Schlüsselaustauschs angibt.
Die Verwirrung (für mich) ist, dass in der Cisco IOS ISAKMP / IKE verwendet werden, um auf das gleiche zu verweisen. Damit meine ich, dass Ciscos IKE nur ISAKMP implementiert / verwendet. Man konfiguriert also IKE und dann konzeptionell ISAKMP.
Bitte überprüfen Sie, ob dies hilft, ich weiß, dass ich zu spät bin :)
Ja, dies ist aus dem Wikipedia-Artikel, der Internet Security Association und dem Key Management Protocol , aber ich habe bisher keine Verweise auf Wiki / RFC hier in der Diskussion gesehen.
ISAKMP definiert die Verfahren zur Authentifizierung eines kommunizierenden Peers, zum Erstellen und Verwalten von Sicherheitszuordnungen, zu Schlüsselerstellungstechniken und zur Abwehr von Bedrohungen (z. B. Denial-of-Service- und Replay-Angriffe). Als Framework wird ISAKMP in der Regel von IKE für den Schlüsselaustausch verwendet, obwohl andere Methoden implementiert wurden, z. B. Kerberized Internet Negotiation of Keys. Eine vorläufige SA wird unter Verwendung dieses Protokolls gebildet; Später wird ein neues Keying durchgeführt.
ISAKMP definiert Prozeduren und Paketformate zum Einrichten, Aushandeln, Ändern und Löschen von Sicherheitszuordnungen. SAs enthalten alle Informationen, die für die Ausführung verschiedener Netzwerksicherheitsdienste erforderlich sind, z. B. IP-Layer-Dienste (z. B. Header-Authentifizierung und Payload-Encapsulation), Transport- oder Application-Layer-Dienste oder Selbstschutz des Verhandlungsverkehrs. ISAKMP definiert Nutzdaten für den Austausch von Schlüsselgenerierungs- und Authentifizierungsdaten. Diese Formate bieten einen konsistenten Rahmen für die Übertragung von Schlüssel- und Authentifizierungsdaten, der unabhängig von der Schlüsselerzeugungstechnik, dem Verschlüsselungsalgorithmus und dem Authentifizierungsmechanismus ist.
ISAKMP unterscheidet sich von Schlüsselaustauschprotokollen, um die Details der Sicherheitszuordnungsverwaltung (und der Schlüsselverwaltung) sauber von den Details des Schlüsselaustauschs zu trennen. Es kann viele verschiedene Schlüsselaustauschprotokolle mit jeweils unterschiedlichen Sicherheitseigenschaften geben. Es ist jedoch ein gemeinsamer Rahmen erforderlich, um dem Format der SA-Attribute zuzustimmen und SAs auszuhandeln, zu ändern und zu löschen. ISAKMP dient als gemeinsames Framework.
ISAKMP kann über jedes Transportprotokoll implementiert werden. Alle Implementierungen müssen Sende- und Empfangsfunktionen für ISAKMP über UDP an Port 500 enthalten.
In der Praxis ist IKE (Internet Key Exchange, Internetschlüsselaustausch) gleichbedeutend mit ISAKMP (Internet Security Association Key Management Protocol).