Második fázis

Az ISAKMP SA-t alkalmazva a két átjáró megvitatja a szükséges IPSec SA-kat. Ezek egyirányúak, azaz minden irányban különböző kulcs van használatban, így mindig párokban kerülnek megvitatásra, hogy megvalósulhasson a kétirányú kapcsolat. Elképzelhető egynél több pár is két átjáró között. Eben a fázisban is két biztonsági szint áll rendelkezésre. A biztonságosabb a PFS (Perfect Forward Security), ebben az esetben egy támadó hiába szerzi meg a hosszútávú hitelesítő kulcsot ez nem jelenti azt, hogy azonnal képes lenne a rövidtávú hitelesítést is megtörni. Minden egyes alkalommal, amikor új kulcs kerül alkalmazásba újabb sikeres támadást kell végrehajtania. A gyakorlatban ez azt jelenti, hogy ha valaki ma megtörte a rendszerünket és archiválta a tegnapi forgalmat, azt nem lesz képes elolvasni, feltéve ha időközben történt kulccsere.

Mindkét fázis az 500-as UDP portot használja. Aktuálisan az IPSec SA-k az ESP, vagy az AH protokollt alkalmazzák. Ezeknek a protokolloknak nincsen portja csak száma ESP esetén 50, AH esetén pedig 51. Az alap információkon túl mindkét fázisban akármelyik fél közölhet további információkat. Lehetőség van egy commit flag alkalmazására is, amely a DOS támadásokat próbálja meg ellehetetleníteni.

Többek között a következő paraméterek kerülnek megvitatásra:

• SA élettartama, azaz az a maximális idő, amíg egy kulcs használatban lehet
• A titkosítási algoritmus
• A hitelesítési algoritmus
• előre megosztott kulcsok, azaz a kapcsolatban résztvevők gépein előre telepítve rendelkezésre állnak
• nyilvános kulcsok alkalmazása kriptografikus módszerekkel .
• Diffie-Hellman kulcs csere csoportjának megválasztása (ez a két fázisban eltérő lehet)

Az SA-k megvitatása során a kezdeményező több választási lehetőséget kínál fel a fogadónak, aki ezek közül egy meglehetősen bonyolult folyamat eredményeképpen választja ki a megfelelőt, majd visszaküldi a feladónak.

Ennek a fejezetnek a további részleteit a 2409-es RFC tartalmazza