IKEとISAKMPの違いは何ですか?


74

私は長年IPsec VPNを構築してきましたが、正直に言うと、IKEとISAKMPの技術的な違いを完全に理解したことはありません。2つの用語が同じ意味で使用されていることがよくあります(おそらく間違っています)。

IPsecの2つの基本フェーズを理解しており、ISAKMPは主にフェーズ1を扱っているようです。たとえば、IOSコマンド「show crypto isakmp sa」は、IPsecフェーズ1情報を表示します。ただし、IKEに対応するコマンドはありません。

回答:


56

ISAKMPはIKEの一部です。(IKEにはISAKMP、SKEME、およびOAKLEYがあります)。IKEは、共有セキュリティポリシーと認証済みキーを確立します。ISAKMPは、鍵交換のメカニズムを指定するプロトコルです。

(私にとっては)混乱は、Cisco IOSでは同じものを指すためにISAKMP / IKEが使用されていることです。つまり、私の理解では、CiscoのIKEはISAKMPのみを実装/使用しているということです。したがって、IKEを構成し、概念的にその内部でISAKMPを構成します。


2
こんにちはクレイグ、こちらにも同様の質問がありましたsecurity.stackexchange.com/questions/35872 / ...必要に応じて、あなたの質問を追加したい場合は、そこから私の回答を削除できます。
ルーカスカウフマン

必要はありません。しかし、非常に親切な申し出に感謝します!
クレイグコンスタンティン

networklessons.com/cisco/ccie-routing-switching/…これはおそらくIPSecの最良の説明です。
ガウラフパラシャー

0

これが役立つかどうかを確認してください、私は遅れていることを知っています:)

はい、これはWikipediaの記事、Internet Security Association and Key Management Protocolからのものですが、ここでの議論でWiki / RFCについての言及はこれまで見ませんでした。

ISAKMPは、通信ピアの認証、セキュリティアソシエーションの作成と管理、キー生成技術、脅威の軽減(サービス拒否攻撃やリプレイ攻撃など)の手順を定義しています。フレームワークとして、ISAKMPは通常、キー交換のためにIKEによって利用されますが、キーのKerberosインターネットネゴシエーションなどの他の方法が実装されています。Preliminary SAは、このプロトコルを使用して形成されます。後で新しいキーイングが行われます。

ISAKMPは、セキュリティアソシエーションを確立、ネゴシエート、変更、削除する手順とパケット形式を定義します。SAには、IPレイヤーサービス(ヘッダー認証やペイロードカプセル化など)、トランスポートまたはアプリケーションレイヤーサービス、ネゴシエーショントラフィックの自己保護など、さまざまなネットワークセキュリティサービスの実行に必要なすべての情報が含まれています。ISAKMPは、キー生成と認証データを交換するためのペイロードを定義します。これらの形式は、キー生成技術、暗号化アルゴリズム、および認証メカニズムに依存しない、キーおよび認証データを転送するための一貫したフレームワークを提供します。

ISAKMPは、セキュリティアソシエーション管理(およびキー管理)の詳細をキー交換の詳細から明確に分離するために、キー交換プロトコルとは異なります。多くの異なるキー交換プロトコルがあり、それぞれが異なるセキュリティプロパティを持ちます。ただし、SA属性の形式に同意し、SAをネゴシエート、変更、および削除するには、共通のフレームワークが必要です。ISAKMPは、この共通のフレームワークとして機能します。

ISAKMPは、任意のトランスポートプロトコルで実装できます。すべての実装には、ポート500でUDPを使用するISAKMPの送受信機能が含まれている必要があります。


編集して見積もり機能を使用し、ソースにクレジットする必要があります。
ロンモーピン

この回答は主に別のソースからコピーされたもので、元のソースの帰属を忘れているようです。私はこれをできる限り修正しましたが、変更が正しいことを確認し、将来的には自分でこれを行うようにしてください。
YLearn

可能であれば、ソースを帰属させ、リンクを提供する必要があります。リンクを追加するために、@ YLearnの編集の編集を修正しました。
ロンモーピン

みんな、IKE / ISAKMPの違いを見つけるために投稿を調べている間、上記の議論でウィキへの参照や詳細な説明を見たことはありませんでした。したがって、ここに置くことを考えたが、これはクレジットを取得することではない:) :) :)
Feroze KM

信用を与えずに誰かの作品を引用するのは貧弱です。公正使用の原則により、誰かの作品を引用することができますが、クレジットが期限のある場合はクレジットを与える必要があります。私たちはあなたの答えを改善しようとしていました(そして元の作者に公平になるように)。
ロンモーピン

0

実際には、IKE、インターネットキーエクスチェンジ(IKE)は、インターネットセキュリティアソシエーションキーマネージメントプロトコル(ISAKMP)と同義です。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.