IKEの実行モードは,試験でよく問われる。

メインモード
IPsec接続先のIPアドレスも認証情報として利用する。したがって,双方とも固定IPアドレスでなければ認証ができない。その分、下のアグレッシブモードに比べ、メインモードの方がセキュリティは強固だ。認証情報であるIPアドレスは偽装が難しいからである。

アグレッシブモード
IPsec接続先のIPアドレスは認証情報として利用しない。したがって,動的IPでも認証できる。固定IPアドレスは費用がかかるので,コスト面でアグレッシブモードを選ぶ企業も多いであろう。
ネットワークスペシャリスト試験では,動的IPを利用するときには,アグレッシブモードを利用しなければならないことが何度か出題されている。
Aggressive(アグレッシブ)モードでは,XAUTH(eXtended AUTHentication)というIKEの拡張機能で認証を強化する場合がある。リモートアクセスユーザが不正な第三者でないか判断するために,VPN装置がRADIUSサーバと連携して認証を行う。
過去問では以下のように述べられている。
IKEのフェーズ1には、メインモードとアグレッシブモードがあり、リモートアクセスの利用形態に依存してどちらかを使います。メインモードでは、端末のIPアドレスをIDとし、それに事前共有鍵を割り当てます。一方、アグレッシブモードでは、利用者のIDなど運用者が独自に設定したIDに対して事前共有鍵を割り当てます。(H19SV午後Ⅱ-2より引用)
d18680c9
この問題では、IPsecに関して技術的に詳細な情報が記載されています。
この文章もそうですが、読むのが結構つらかったです。




確かに難しい。でも、この文章も別の言い方をすると、考え方は同じだ。
メインモードは両端が固定IPアドレスが要件。一方のアグレッシブモードは、独自に設定したIDを利用できるということは、動的IPアドレスでも利用できるということが分かる。