Qual é a diferença entre IKE e ISAKMP?

Desenvolvo VPNs IPsec há anos, mas, para ser sincero, nunca compreendi completamente a diferença técnica entre IKE e ISAKMP. Costumo ver os dois termos usados ​​de forma intercambiável (provavelmente incorretamente).

Entendo as duas fases básicas do IPsec e que o ISAKMP parece lidar principalmente com a fase um. Por exemplo, o comando IOS "show crypto isakmp sa" exibe informações da fase um do IPsec. Mas não há comando equivalente para o IKE.

ISAKMP faz parte do IKE. (O IKE possui ISAKMP, SKEME e OAKLEY). O IKE estabelece a política de segurança compartilhada e as chaves autenticadas. ISAKMP é o protocolo que especifica a mecânica da troca de chaves.

A confusão (para mim) é que no Cisco IOS ISAKMP / IKE são usados ​​para se referir à mesma coisa. Com o que quero dizer, meu entendimento é que o IKE da Cisco implementa / usa apenas o ISAKMP. Então, um configura o IKE e, conceitualmente, dentro dele, o ISAKMP.

Por favor, verifique se isso ajuda, eu sei que estou atrasado :)

Sim, isso é do artigo da Wikipedia, Internet Security Association e Key Management Protocol , mas não vi nenhuma referência até agora ao Wiki / RFC aqui em discussão.

O ISAKMP define os procedimentos para autenticar um ponto de comunicação, criação e gerenciamento de associações de segurança, técnicas de geração de chaves e mitigação de ameaças (por exemplo, ataques de negação de serviço e repetição). Como estrutura, o ISAKMP é normalmente utilizado pelo IKE para troca de chaves, embora outros métodos tenham sido implementados, como a Negociação de Chaves na Internet Kerberizada. Uma SA preliminar é formada usando este protocolo; depois, é feita uma nova digitação.

O ISAKMP define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e excluir associações de segurança. As SAs contêm todas as informações necessárias para a execução de vários serviços de segurança de rede, como os serviços da camada IP (como autenticação de cabeçalho e encapsulamento de carga), serviços de transporte ou da camada de aplicativos ou autoproteção do tráfego de negociação. O ISAKMP define cargas úteis para a troca de dados de geração e autenticação de chaves. Esses formatos fornecem uma estrutura consistente para a transferência de dados de chave e autenticação, independente da técnica de geração de chave, algoritmo de criptografia e mecanismo de autenticação.

O ISAKMP é diferente dos protocolos de troca de chaves, a fim de separar claramente os detalhes do gerenciamento de associações de segurança (e gerenciamento de chaves) dos detalhes da troca de chaves. Pode haver muitos protocolos de troca de chaves diferentes, cada um com propriedades de segurança diferentes. No entanto, é necessária uma estrutura comum para concordar com o formato dos atributos de SA e para negociar, modificar e excluir SAs. O ISAKMP serve como essa estrutura comum.

O ISAKMP pode ser implementado em qualquer protocolo de transporte. Todas as implementações devem incluir o recurso de envio e recebimento de ISAKMP usando UDP na porta 500.

Na prática, IKE, IKE (Internet Key Exchange), é sinônimo de ISAKMP (Internet Security Association Key Management Protocol).