[[ネットワーク用語]] > アグレッシブモード

* アグレッシブモード [#k112b1ec]

アグレッシブモード = Aggressive Mode

[[「アグレッシブ・モード」とは:ITpro>http://itpro.nikkeibp.co.jp/word/page/10009758/]]
>アグレッシブ・モード
 
[[IKE]](internet key exchange)の認証方式の一つ。
暗号化通信を開始する前に暗号鍵を交換するため,IDとパスワードで認証を処理する。
認証情報の一部としてIPアドレスを使わないため,動的IPアドレスを使ってもネットワークを構築できる。
一方,
1)IDとパスワードの送信時は暗号化されない,
2)センター側から通信を開始できない
――といった弱点がある。
 
ちなみに,IPアドレスを認証情報の一部として使う認証方式は「メイン・モード」と呼ぶ。

[[IKEv1 - Wikipedia>http://ja.wikipedia.org/wiki/IPsec#IKEv1]]
>[[IKE]]v1は Internet Key Exchange protocol version 1 の意味であり、UDPポート番号500上で通信される&color(red){鍵交換プロトコル};である。
開発時には ISAKMP/Oakley と呼ばれた過去があり、これはISAKMP(Internet Security Association and Key Management Protocol)プロトコルの上でOakley鍵交換手順を実装したものという意味である。
すなわち、IKEv1はISAKMPと必ずしも同じものではない。
 
IKEv1はフェーズ1、フェーズ2と呼ばれる二段階の手順で鍵交換を行う。
まずフェーズ1でIKEプロトコル同士の認証と暗号交換を行い(これをISAKMP SA交換とも呼ぶ)、フェーズ2でIPsecの適用条件と鍵情報の交換を行う(IPsec SA交換とも呼ぶ)。
フェーズ1にはMain Mode,&color(red){Aggressive Mode};と呼ばれる2つの手順がある。
前者はISAKMP仕様におけるIdentity Protection Exchange手順の呼び名であり、後者はISAKMP仕様における&color(red){Aggressive Exchange手順の呼び名};である。
(用語定義の錯綜と難解さもIKEの理解を難しくしている理由の一つである)

[[IPSecのaggressiveモードとmainモード - ネットワークセキュリティ - 教えて!goo>http://oshiete.goo.ne.jp/qa/554585.html]]
>IPSecにはaggressiveモードとmainモードとがあるかと思いますが、なぜ固定IPならmainモード、動的IPならaggressiveモードとなっているのでしょうか?

>正確には、「認証方法をPre-Shared Keyとしたときに」は動的IPの場合にはAggressiveモードを使わざるを得ないのです。
よって固定IP==Mainモード、動的IP==Aggressiveモードというわけではありません。
 
Pre-Shared Key認証では、VPN装置毎にPre-Shared Keyを持つ必要があります。
その時の装置とKeyの対応はIPで判断します。
 
MainモードはID情報(IPアドレス)を暗号化して交換します。
その暗号化の為にはPre-Shared Keyが必要です。
しかしPre-Shared Keyは相手のIPが判らないと特定できず、相手のIPは暗号化が可能になってからでないと入手できない....というループ問題になってしまいます。
よってMainモードでのPre-Shared Key認証ではあらかじめIPが判っている必要があるのです。
 
AggressiveモードではID情報は暗号化しません。
Mainモードより情報交換が簡易化されているので、いきなり(暗号化無しで)ID情報(IP)を交換してしまいます。
よって動的IPでもかまわないのです。
当然にMainモードよりセキュリティレベルは少し下がります。

** リンク [#t92a2c86]
[[メインモード]]
[[IKE]]
[[IPsec]]
[[VPN]]

トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS