אם אנחנו חושבים על זה VPN-ים או יישומים מסורתיים אחרים של IPsec, אנחנו כנראה עומדים להשתמש ב-ISAKMP. מספר מימושים מסחריים של IPsec לא מספקים שום יכולות מפתוח ידניות, במקום, הם דורשים שנשתמש בצורה כלשהי של ISAKMP.

מה זה? 

ISAKMP (לפעמים נקרא IKE או Internet Key Exchange) הוא מנגנון החלפת המפתחות עבור ה-VPN. הוא עומד בדרישות הבטיחות ע"י שימוש בשיטות המוזכרות ב-RFC 2407, 2408, 2409. ISAKMP מנהל את החלפת המפתחות המוצפנים, שהיינו בדרך כלל מנהלים עם ipsecadm(8). הוא משתמש בתהליך בעל שני שלבים, בשביל ליצור את פרמטרי ה-IPsec בין שני צמתי IPsec. 

שלב 1: 

שני עמיתי ה-ISAKMP יוצרים ערוץ מוגן ומספק אותנטיות שבו הם מתכוונים לתקשר. זה יוצר SA (Security Association) בין שני המארחים. מצב ראשי (Main Mode) ומצב אגרסיבי (Aggressive Mode) הן השיטות שמשתמשים בהן בכדי ליצור את הערוץ. מצב ראשי שולח כל מיני סוגי מידע לשם אותנטיות ברצף מסוים, תוך כדי הגנה על הזהות. מצב אגרסיבי לא מספק הגנה על הזהות, משום שכל המידע של האותנטיות נשלח באותו זמן. מצב אגרסיבי צריך להיות בשימוש רק במקרים שבהם רוחב הפס של הרשת מעניין. 

שלב 2:

SA נידון מטעם IPsec. שלב 2 יוצר מנהרות או נקודת סיום של SA-ים בין מארחי IPsec. מצב זריז (Quick Mode) בא לידי שימוש בשלב 2 משום שאין צורך לחזור על אותנטיות מלאה; שלב 1 כבר יצר את ה-SA-ים.

בתמצות, שלב 1 בשימוש כדי לקבל ערוץ מוגן, שבו נעשים כיווני השלב 2 (המהיר יותר). יכולים להיות מספר כיוונים של שלב 2, באותו ערוץ של שלב 1. שלב 2 בשימוש כדי לכוון את המנהרות הממשיות. בשלב 1, צמתי ה-IPsec יצרו חיבור שבו הם מחליפים אותנטיות (או אישור X.509 או סוד ידוע ממקודם). זה מאפשר לכל צד להבטיח שהצד השני מאומת. שלב 2 הוא החלפת מפתחות כדי להחליט כיצד המידע בין שני הצדדים יוצפן.