IKE와 ISAKMP의 차이점은 무엇입니까?


74

나는 수년간 IPsec VPN을 구축해 왔지만 솔직히 말해서 IKE와 ISAKMP의 기술적 차이점을 완전히 파악한 적이 없습니다. 나는 종종 두 용어가 서로 바꿔서 (아마도 부정확하게) 사용되는 것을 본다.

IPsec의 두 가지 기본 단계를 이해하고 ISAKMP는 주로 단계 1을 처리하는 것으로 보입니다. 예를 들어, IOS 명령 "show crypto isakmp sa"는 IPsec 1 단계 정보를 표시합니다. 그러나 IKE에는 동등한 명령이 없습니다.

답변:


56

ISAKMP는 IKE의 일부입니다. (IKE에는 ISAKMP, SKEME 및 OAKLEY가 있습니다). IKE는 공유 보안 정책 및 인증 된 키를 설정합니다. ISAKMP는 키 교환 메커니즘을 지정하는 프로토콜입니다.

혼란스러운 점은 Cisco IOS ISAKMP / IKE에서 동일한 것을 참조하는 데 사용된다는 것입니다. 즉, Cisco의 IKE는 ISAKMP 만 구현 / 사용한다는 것을 이해하고 있습니다. 따라서 IKE를 구성한 다음 개념적으로 ISAKMP를 구성합니다.


2
안녕하세요 craig, 여기에 비슷한 질문이 있습니다. security.stackexchange.com/questions/35872/… 원하는 경우 내 답변을 추가하려면 답변을 제거 할 수 있습니다.
Lucas Kauffman

필요하지 않습니다. 그러나 매우 친절한 제안에 감사드립니다!
크레이그 콘스탄틴

networklessons.com/cisco/ccie-routing-switching/… IPSec에 대한 가장 좋은 설명 일 것입니다.
gaurav parashar

0

이것이 도움이되는지 확인하십시오. 늦습니다. :)

예, 이것은 Wikipedia 기사, Internet Security Association 및 Key Management Protocol 에서 가져온 것이지만 지금까지 Wiki / RFC에 대한 언급은 없었습니다.

ISAKMP는 통신 피어 인증, 보안 연결 생성 및 관리, 주요 생성 기술 및 위협 완화 (예 : 서비스 거부 및 재생 공격) 절차를 정의합니다. 프레임 워크로서 ISAKMP는 일반적으로 IKE에서 키 교환을 위해 사용되지만 Kerberized Internet Negotiation of Keys와 같은 다른 방법도 구현되었습니다. 이 프로토콜을 사용하여 예비 SA가 형성됩니다. 나중에 새로운 키잉이 완료됩니다.

ISAKMP는 보안 연결을 설정, 협상, 수정 및 삭제하기위한 절차와 패킷 형식을 정의합니다. SA에는 IP 계층 서비스 (예 : 헤더 인증 및 페이로드 캡슐화), 전송 또는 응용 프로그램 계층 서비스 또는 협상 트래픽의 자체 보호와 같은 다양한 네트워크 보안 서비스 실행에 필요한 모든 정보가 포함되어 있습니다. ISAKMP는 키 생성 및 인증 데이터 교환을위한 페이로드를 정의합니다. 이러한 형식은 키 생성 기술, 암호화 알고리즘 및 인증 메커니즘과 무관 한 키 및 인증 데이터 전송을위한 일관된 프레임 워크를 제공합니다.

ISAKMP는 보안 연결 관리 (및 키 관리)의 세부 정보와 키 교환의 세부 정보를 명확하게 분리하기 위해 키 교환 프로토콜과 다릅니다. 보안 속성이 각각 다른 여러 가지 키 교환 프로토콜이있을 수 있습니다. 그러나 SA 특성의 형식에 동의하고 SA를 협상, 수정 및 삭제하려면 공통 프레임 워크가 필요합니다. ISAKMP는이 공통 프레임 워크로 사용됩니다.

ISAKMP는 모든 전송 프로토콜을 통해 구현 될 수 있습니다. 모든 구현에는 포트 500에서 UDP를 사용하는 ISAKMP에 대한 보내기 및 받기 기능이 포함되어야합니다.


견적 기능을 사용하도록 편집해야하며 출처를 인정해야합니다.
Ron Maupin

이 답변은 기본적으로 다른 소스에서 복사되었으며 원래 소스의 속성을 잊어 버린 것 같습니다. 최선을 다해이 문제를 해결했지만 변경 사항이 올바른지 확인하고 나중에 직접 확인하시기 바랍니다.
YLearn

소스의 속성을 지정하고 가능한 경우 링크를 제공해야합니다. 링크를 다시 추가하기 위해 @YLearn의 편집 내용을 수정했습니다.
Ron Maupin

IKE / ISAKMP의 차이점을 찾기 위해 게시물을 검토하는 동안 위의 토론에서 위키에 대한 참조 또는 자세한 설명을 볼 수 없었습니다. 따라서 여기에 넣을 생각이었고 어떤 신용도받지 않습니다 :) :) :)
Feroze KM

신용을주지 않고 다른 사람의 작품을 인용하는 것은 좋지 않은 형태입니다. 공정 사용 교리는 누군가의 작품을 인용 할 수 있지만 신용이 필요한 곳에서 신용을 주어야합니다. 그렇지 않으면 일부 상황에서는이를 표절이라고합니다. 우리는 당신의 답변을 개선하려고 노력했습니다.
Ron Maupin

0

실제로 IKE (Internet Key Exchange)는 IKEK (Internet Security Association Key Management Protocol)와 동의어입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.