メインモード vs アグレッシブモード:IPsec IKEフェーズ1に2つの方式
はい、こんにちは!VPNの仕組みについて連続で記事を書いております!VPNプロトコルの中でも、拠点間でよく使われる「IPsec」について、しばらくご紹介してきました。
前回は、IPsecの通信手順のうち、「IKEフェーズ2」についてお話ししました。次の「IPsecフェーズ」のために、ISAKMP SA上で、暗号鍵を2つ生成し、データ送信用の片道トンネルを2つ作るのでした!
さて、今回は、「IKEフェーズ1」に少し戻って、その2つのモードについて解説します。その2つのモードとは、「メインモード」と「アグレッシブモード」です。
アグレッシブ(攻撃的)とは穏やかでない名称ですね…。気になりますな。
ということで、IKEフェーズのモードについて、行ってみましょう!
安全重視の「メインモード」
まずは、メインモードから見ていきます。その前に前提として、IKEフェーズは本当は、「IKEv1」と「IKEv2」という別の分類があり、これまでの解説はすべて「IKEv1」を前提にしています。念のため。
さて、メインモードは、その名のとおり、「主要なモード」です。細かい話をする前に絵をご紹介しましょう。
6回のメッセージが飛び交っているのが特徴です。
上の図では、「事前鍵共有方式」なるものを表しています。このほかにもありますが、よく理解できておりません…。
ISAKMP SA上で、IPアドレスを暗号化して送ります。拠点間VPNなど、安全重視な条件で利用されるモードです。
他方、動的IPアドレスだったりすると、使うのが難しくなります。双方ともに固定IPを使う必要があるのです。
スピード重視「アグレッシブモード」
続いて、アグレッシブモードです。
こちらも絵にしましょう。
メッセージが3つと少ないことが分かります。IDや鍵材料や一度にいろいろ送り付けます。ここら辺が、アグレッシブな感じですね~。
注意するのは、IDが暗号化されずに送付されているところです。この点は、メインモードよりもセキュリティが劣ります。
動的IPでも対応できるので、コスト面では有利です。
はい、本日は、ここまで!今回は、IKEフェーズ1の「メインモード」と「アグレッシブモード」について紹介しました。何とか整理できてほっとしています。
さて、次回は、AHとESPをやりましょう!
では!
この記事が気に入ったらサポートをしてみませんか?