Apa perbedaan antara IKE dan ISAKMP?

74

Saya telah membangun IPsec VPN selama bertahun-tahun, tetapi jujur ​​saya tidak pernah sepenuhnya memahami perbedaan teknis antara IKE dan ISAKMP. Saya sering melihat dua istilah yang digunakan secara bergantian (mungkin salah).

Saya memahami dua fase dasar IPsec dan bahwa ISAKMP tampaknya terutama berurusan dengan fase satu. Sebagai contoh, perintah IOS "show crypto isakmp sa" menampilkan informasi IPsec fase satu. Tetapi tidak ada perintah yang setara untuk IKE.

Jeremy Stretch
sumber

Jawaban:

56

ISAKMP adalah bagian dari IKE. (IKE memiliki ISAKMP, SKEME dan OAKLEY). IKE menetapkan kebijakan keamanan bersama dan kunci yang diautentikasi. ISAKMP adalah protokol yang menentukan mekanisme pertukaran kunci.

Yang membingungkan, (bagi saya,) adalah bahwa dalam Cisco IOS ISAKMP / IKE digunakan untuk merujuk pada hal yang sama. Maksud saya, pemahaman saya adalah bahwa IKE di Cisco hanya mengimplementasikan / menggunakan ISAKMP. Jadi orang mengkonfigurasi IKE, dan kemudian secara konseptual di dalamnya, orang mengkonfigurasi ISAKMP.

Craig Constantine
sumber
2
Hai craig, ada pertanyaan serupa di sini security.stackexchange.com/questions/35872/… jika Anda mau, saya dapat menghapus jawaban saya di sana jika Anda ingin menambahkan milik Anda.
Lucas Kauffman
Tidak perlu. Tetapi terima kasih atas tawaran yang sangat baik!
Craig Constantine
networklessons.com/cisco/ccie-routing-switching/… Ini mungkin penjelasan terbaik untuk IPSec.
gaurav parashar
0

Silakan periksa apakah ini membantu, saya tahu saya terlambat :)

Ya, ini dari artikel Wikipedia, Asosiasi Keamanan Internet dan Protokol Manajemen Kunci , tapi sejauh ini saya tidak melihat referensi ke Wiki / RFC dalam diskusi.

ISAKMP mendefinisikan prosedur untuk mengotentikasi rekan komunikasi, pembuatan dan pengelolaan Asosiasi Keamanan, teknik pembangkit utama dan mitigasi ancaman (misalnya penolakan layanan dan serangan replay). Sebagai suatu kerangka kerja, ISAKMP biasanya digunakan oleh IKE untuk pertukaran kunci, meskipun metode lain telah diterapkan seperti Negosiasi Kunci Internet Kerberized. SA Pendahuluan dibentuk menggunakan protokol ini; kemudian kunci baru dilakukan.

ISAKMP mendefinisikan prosedur dan format paket untuk membangun, bernegosiasi, memodifikasi dan menghapus Asosiasi Keamanan. SA berisi semua informasi yang diperlukan untuk pelaksanaan berbagai layanan keamanan jaringan, seperti layanan lapisan IP (seperti otentikasi header dan enkapsulasi payload), layanan lapisan aplikasi atau transportasi atau perlindungan diri sendiri terhadap lalu lintas negosiasi. ISAKMP mendefinisikan muatan untuk bertukar data pembangkitan kunci dan otentikasi. Format ini menyediakan kerangka kerja yang konsisten untuk mentransfer data kunci dan otentikasi yang tidak tergantung pada teknik pembuatan kunci, algoritma enkripsi, dan mekanisme otentikasi.

ISAKMP berbeda dari protokol pertukaran kunci untuk memisahkan rincian manajemen asosiasi keamanan (dan manajemen kunci) dari rincian pertukaran kunci. Mungkin ada banyak protokol pertukaran kunci yang berbeda, masing-masing dengan sifat keamanan yang berbeda. Namun, kerangka kerja umum diperlukan untuk menyetujui format atribut SA dan untuk bernegosiasi, memodifikasi dan menghapus SA. ISAKMP berfungsi sebagai kerangka kerja umum ini.

ISAKMP dapat diimplementasikan melalui protokol transportasi apa pun. Semua implementasi harus menyertakan kemampuan mengirim dan menerima untuk ISAKMP menggunakan UDP pada port 500.

Feroze KM
sumber
Anda harus mengedit untuk menggunakan fitur kutipan, dan Anda harus memberi kredit pada sumbernya.
Ron Maupin
Tampaknya jawaban ini terutama disalin dari sumber lain dan Anda lupa mengaitkan sumber aslinya. Saya telah memperbaikinya dengan kemampuan terbaik saya, tetapi harap verifikasi bahwa perubahan saya benar dan pastikan untuk melakukan ini sendiri di masa depan.
YPelajari
Anda harus mengaitkan sumbernya, dan memberikan tautan, jika memungkinkan. Saya memperbaiki suntingan Anda dari hasil edit @ YLearn untuk menambahkan tautan kembali.
Ron Maupin
teman-teman, saya sejauh ini tidak melihat referensi ke wiki atau penjelasan rinci dalam diskusi di atas ketika saya sedang membaca posting untuk menemukan perbedaan antara IKE / ISAKMP. Oleh karena itu berpikir untuk menaruhnya di sini dan ini bukan untuk mengambil kredit :) :) :)
Feroze KM
Itu bentuk yang buruk untuk mengutip pekerjaan seseorang tanpa memberikan kredit. Doktrin penggunaan yang adil memungkinkan Anda mengutip karya seseorang, tetapi Anda perlu memberikan kredit jika kredit jatuh tempo, jika tidak, dalam beberapa konteks, itu disebut plagiarisme. Kami hanya berusaha meningkatkan jawaban Anda (dan bersikap adil kepada penulis asli).
Ron Maupin
0

Secara praktis - IKE, Pertukaran Kunci Internet (IKE), identik dengan Protokol Manajemen Kunci Asosiasi Keamanan Internet (ISAKMP).

Ron Royston
sumber