Saya telah membangun IPsec VPN selama bertahun-tahun, tetapi jujur saya tidak pernah sepenuhnya memahami perbedaan teknis antara IKE dan ISAKMP. Saya sering melihat dua istilah yang digunakan secara bergantian (mungkin salah).
Saya memahami dua fase dasar IPsec dan bahwa ISAKMP tampaknya terutama berurusan dengan fase satu. Sebagai contoh, perintah IOS "show crypto isakmp sa" menampilkan informasi IPsec fase satu. Tetapi tidak ada perintah yang setara untuk IKE.
Jawaban:
ISAKMP adalah bagian dari IKE. (IKE memiliki ISAKMP, SKEME dan OAKLEY). IKE menetapkan kebijakan keamanan bersama dan kunci yang diautentikasi. ISAKMP adalah protokol yang menentukan mekanisme pertukaran kunci.
Yang membingungkan, (bagi saya,) adalah bahwa dalam Cisco IOS ISAKMP / IKE digunakan untuk merujuk pada hal yang sama. Maksud saya, pemahaman saya adalah bahwa IKE di Cisco hanya mengimplementasikan / menggunakan ISAKMP. Jadi orang mengkonfigurasi IKE, dan kemudian secara konseptual di dalamnya, orang mengkonfigurasi ISAKMP.
Silakan periksa apakah ini membantu, saya tahu saya terlambat :)
Ya, ini dari artikel Wikipedia, Asosiasi Keamanan Internet dan Protokol Manajemen Kunci , tapi sejauh ini saya tidak melihat referensi ke Wiki / RFC dalam diskusi.
ISAKMP mendefinisikan prosedur untuk mengotentikasi rekan komunikasi, pembuatan dan pengelolaan Asosiasi Keamanan, teknik pembangkit utama dan mitigasi ancaman (misalnya penolakan layanan dan serangan replay). Sebagai suatu kerangka kerja, ISAKMP biasanya digunakan oleh IKE untuk pertukaran kunci, meskipun metode lain telah diterapkan seperti Negosiasi Kunci Internet Kerberized. SA Pendahuluan dibentuk menggunakan protokol ini; kemudian kunci baru dilakukan.
ISAKMP mendefinisikan prosedur dan format paket untuk membangun, bernegosiasi, memodifikasi dan menghapus Asosiasi Keamanan. SA berisi semua informasi yang diperlukan untuk pelaksanaan berbagai layanan keamanan jaringan, seperti layanan lapisan IP (seperti otentikasi header dan enkapsulasi payload), layanan lapisan aplikasi atau transportasi atau perlindungan diri sendiri terhadap lalu lintas negosiasi. ISAKMP mendefinisikan muatan untuk bertukar data pembangkitan kunci dan otentikasi. Format ini menyediakan kerangka kerja yang konsisten untuk mentransfer data kunci dan otentikasi yang tidak tergantung pada teknik pembuatan kunci, algoritma enkripsi, dan mekanisme otentikasi.
ISAKMP berbeda dari protokol pertukaran kunci untuk memisahkan rincian manajemen asosiasi keamanan (dan manajemen kunci) dari rincian pertukaran kunci. Mungkin ada banyak protokol pertukaran kunci yang berbeda, masing-masing dengan sifat keamanan yang berbeda. Namun, kerangka kerja umum diperlukan untuk menyetujui format atribut SA dan untuk bernegosiasi, memodifikasi dan menghapus SA. ISAKMP berfungsi sebagai kerangka kerja umum ini.
ISAKMP dapat diimplementasikan melalui protokol transportasi apa pun. Semua implementasi harus menyertakan kemampuan mengirim dan menerima untuk ISAKMP menggunakan UDP pada port 500.
Secara praktis - IKE, Pertukaran Kunci Internet (IKE), identik dengan Protokol Manajemen Kunci Asosiasi Keamanan Internet (ISAKMP).