見出し画像

メインモード vs アグレッシブモード:IPsec IKEフェーズ1に2つの方式

はい、こんにちは!VPNの仕組みについて連続で記事を書いております!VPNプロトコルの中でも、拠点間でよく使われる「IPsec」について、しばらくご紹介してきました。

前回は、IPsecの通信手順のうち、「IKEフェーズ2」についてお話ししました。次の「IPsecフェーズ」のために、ISAKMP SA上で、暗号鍵を2つ生成し、データ送信用の片道トンネルを2つ作るのでした!

IKEフェーズ2の概念図

さて、今回は、「IKEフェーズ1」に少し戻って、その2つのモードについて解説します。その2つのモードとは、「メインモード」と「アグレッシブモード」です。

アグレッシブ(攻撃的)とは穏やかでない名称ですね…。気になりますな。

ということで、IKEフェーズのモードについて、行ってみましょう!

安全重視の「メインモード」

まずは、メインモードから見ていきます。その前に前提として、IKEフェーズは本当は、「IKEv1」と「IKEv2」という別の分類があり、これまでの解説はすべて「IKEv1」を前提にしています。念のため。

さて、メインモードは、その名のとおり、「主要なモード」です。細かい話をする前に絵をご紹介しましょう。

IKEフェーズ メインモードの概念図

6回のメッセージが飛び交っているのが特徴です。

上の図では、「事前鍵共有方式」なるものを表しています。このほかにもありますが、よく理解できておりません…。

ISAKMP SA上で、IPアドレスを暗号化して送ります。拠点間VPNなど、安全重視な条件で利用されるモードです。

他方、動的IPアドレスだったりすると、使うのが難しくなります。双方ともに固定IPを使う必要があるのです。

スピード重視「アグレッシブモード」

続いて、アグレッシブモードです。

こちらも絵にしましょう。

IKEフェーズ1 アグレッシブモード

メッセージが3つと少ないことが分かります。IDや鍵材料や一度にいろいろ送り付けます。ここら辺が、アグレッシブな感じですね~。

注意するのは、IDが暗号化されずに送付されているところです。この点は、メインモードよりもセキュリティが劣ります。

動的IPでも対応できるので、コスト面では有利です。


はい、本日は、ここまで!今回は、IKEフェーズ1の「メインモード」と「アグレッシブモード」について紹介しました。何とか整理できてほっとしています。

さて、次回は、AHとESPをやりましょう!

では!

いいなと思ったら応援しよう!