メインモード vs アグレッシブモード：IPsec IKEフェーズ1に２つの方式

はい、こんにちは！VPNの仕組みについて連続で記事を書いております！VPNプロトコルの中でも、拠点間でよく使われる「IPsec」について、しばらくご紹介してきました。

前回は、IPsecの通信手順のうち、「IKEフェーズ２」についてお話ししました。次の「IPsecフェーズ」のために、ISAKMP SA上で、暗号鍵を２つ生成し、データ送信用の片道トンネルを２つ作るのでした！

IKEフェーズ２の概念図

さて、今回は、「IKEフェーズ１」に少し戻って、その２つのモードについて解説します。その２つのモードとは、「メインモード」と「アグレッシブモード」です。

アグレッシブ（攻撃的）とは穏やかでない名称ですね…。気になりますな。

ということで、IKEフェーズのモードについて、行ってみましょう！

安全重視の「メインモード」

まずは、メインモードから見ていきます。その前に前提として、IKEフェーズは本当は、「IKEv1」と「IKEv2」という別の分類があり、これまでの解説はすべて「IKEv1」を前提にしています。念のため。

さて、メインモードは、その名のとおり、「主要なモード」です。細かい話をする前に絵をご紹介しましょう。

IKEフェーズ メインモードの概念図

6回のメッセージが飛び交っているのが特徴です。

上の図では、「事前鍵共有方式」なるものを表しています。このほかにもありますが、よく理解できておりません…。

ISAKMP SA上で、IPアドレスを暗号化して送ります。拠点間VPNなど、安全重視な条件で利用されるモードです。

他方、動的IPアドレスだったりすると、使うのが難しくなります。双方ともに固定IPを使う必要があるのです。

スピード重視「アグレッシブモード」

続いて、アグレッシブモードです。

こちらも絵にしましょう。

IKEフェーズ１ アグレッシブモード

メッセージが３つと少ないことが分かります。IDや鍵材料や一度にいろいろ送り付けます。ここら辺が、アグレッシブな感じですね～。

注意するのは、IDが暗号化されずに送付されているところです。この点は、メインモードよりもセキュリティが劣ります。

動的IPでも対応できるので、コスト面では有利です。

はい、本日は、ここまで！今回は、IKEフェーズ１の「メインモード」と「アグレッシブモード」について紹介しました。何とか整理できてほっとしています。

さて、次回は、AHとESPをやりましょう！

では！