Normalmente, a troca de chaves ISAKMP ocorre no UDP / 500. O IPSec no modo de carga de segurança de encapsulamento possui seu próprio número de protocolo (50), portanto a questão de " portas " não se aplica. O IPSec no modo NAT-traversal geralmente usa UDP / 4500, mas, a menos que você tenha certeza de estar no modo NAT-T, isso não será aplicável.
O primeiro problema com a varredura de porta, mesmo para o subsistema ISAKMP, é que não é TCP, então você não pode aproveitar o handshake de três vias para confirmar que está ouvindo antes qualquer protocolo questões relacionadas poderiam ter surgido. Além disso, muitos dispositivos IPSec são configurados para ignorar completamente as solicitações que não são de pares para os quais eles estão configurados para falar ou o tráfego que não é apropriado para o protocolo. Isto é ostensivamente para razões " segurança ", mas na verdade é uma PITA importante, e pode explicar por que sua varredura nmap não revela nada.
No caso de alguns firewalls de ponto de checagem muito nervosos que eu tive que ver, assim que uma proposta de IPSec foi feita contendo qualquer coisa com a qual eles estavam insatisfeitos (neste caso, um lado queria compressão, e o outro não) eles foram "mortos na água" - completamente silenciosos - em vez de negociar parâmetros de conexão alternativos, apesar dos pares serem bem conhecidos por eles. Se não fosse por um muito bom engenheiro de ponto de verificação na C & W, e seu uso hábil de executivos de alto nível da C & W para confiar na Nokia, eu acho que nunca descobriram por que seus Pontos de Verificação ficaram em silêncio sobre nós.