レイヤ2トンネリング プロトコル(L2TP)とは?
レイヤ2トンネリング プロトコル(L2TP)は、仮想プライベートネットワーク(VPN)とISPの両方で使用されるトンネルプロトコルです。VPNは接続性を向上させるために L2TPの能力を活用し、ISP はVPNの運用を促進するためにL2TPを使用します。L2TPは、Microsoftポイント・ツー・ポイント・トンネリング・プロトコルとCisco レイヤ2フォワーディング・プロトコルの2つの古いプロトコルをハイブリッド化したものです。L2TPは、上記のプロトコルの機能をピックアップし、それらを大幅に改良しています。上記のプロトコルを置き換えるために20世紀の変わり目に発行され、標準RF C26661になりました。
L2TPについて知っておくべきこと
- L2TPは、最大限に活用するため、かつ利益を得るために、他のプロトコルとペアリングする必要があります。
- L2TPは、主にデータペイロードのセキュリティとして機能するIPSecプロトコルとペアリングされています。
- L2TPとIPSecをペアにすることで、AES 256ビットや3DESアルゴリズムのような最高レベルの暗号化キーを利用することが可能になり、セキュリティの可能性が無限に広がります。
- L2TPの二重カプセル化はより多くのセキュリティを提供しますが、一方でより多くのリソースを必要とします。
- 通常、L2TPはTCPポート1701を使用します。しかし、いったんIPSecとペアになると、異なるポートを使用します。インターネット鍵交換(IKE)にはUDPポート500、NATには4500、L2TPトラフィックには1701を使用します。
以下にL2TPデータパケット構造の概要を紹介します:
- IPヘッダ
- IPSec ESPヘッダ
- UDPヘッダ
- L2TPヘッダ
- PPPヘッダ
- PPPペイロード
- IPSec ESPトレイラー
- IPSec 認証トレイラー
L2TPはどのように機能するのか?
L2TPは、インターネット上に2つのエンドポイントがあります。これらは、L2TPアクセスコンセントレーター(LAC)と L2TPネットワークサーバー(LNS)で、L2TPトンネリングが行われるポイントです。
L2TPトンネリングの最初のステップは、上記の2つのエンドポイント間の接続を確立することです。この接続がアクティブになると、PPPレイヤが有効になり、カプセル化されます。これが後にウェブ上を移動するものです。
次のステップは、ISPを使用してPPP接続を開始することです。次に、LACが接続を受け入れ、PPPリンクを確立します。次に、ネットワークトンネル内に空きスロットが割り当てられ、リクエストはLNSに送信されます。
接続が完全に認証を受けると、仮想PPPインタフェースが作成されます。これが完了すると、リンクフレームはトンネルを自由に通過することができます。L2TPワークアウトの最終的な側面は、LNSエンドポイントで行われます。これは、フレームが受け入れられ、L2TPカプセル化が取り除かれた後のフレーム処理です。
L2TPとIPSecの関係とは?
この記事を読んでいると、IPSecという頭文字を何度か目にしたことがあるのではないでしょうか。これは、インターネットプロトコルセキュリティの略です。あるコンピュータから別のコンピュータに渡されるデータの暗号化セキュリティを提供します。IPSecとL2TPをペアリングすると、より安全な接続が可能になります。L2TPはスタンドアローンとしては最適ではありません。IPSecとペアにすると、より堅牢で信頼性が高い接続が確立できます。
ペアリングの仕組みとは?
ここからは、L2TPとIPSec接続のペアリングがどのように動作するかを説明します。
- まず、IPSecセキュリティアソシエーションが取り決められます。これは、セキュリティ属性に関するネットワーク間で行われる合意です。IKEとUDPポート500を介して行われます。
- 次に、トランスポートモードとして機能するためのカプセル化セキュリティペイロード(ESP)プロセスが確立されます。これは、IPプロトコル150を介して行われます。ESPが確立されると、クライアントとVPNサーバとの間に安全でセキュアなチャネルができあがります。ここでは、トンネリングはまだ行われていないことに注意しましょう。
- L2TPプロトコルは、主にネットワークエンドポイント間のトンネリングを担当します。TCPポート1701を使用して、L2TPはトンネルを設定します。そのための取り決めの手順はIPSec 暗号化を利用して行われます。
L2TPはどのくらい速いのか?
スタンドアローンであれば、L2TPは非常に高速です。しかし、L2TPはセキュリティ暗号化を提供しないため、信頼性の高いスタンドアローンではありません。単独で使用すると、ユーザーのデータが脆弱なままになってしまいます。しかし、このプロトコルはIPSecとのペアリングがほとんどなので、その点では速度を考慮することになります。
IPSecとのペアリングであれば、それなりの速度を出すことができます。ただし、高速なブロードバンド接続(100mbps以上だと悪くないです)と、効率的な中央処理装置(CPU)が推奨されます。これさえあれば、スムーズな体験ができるはずです。
L2TPの長所と短所
L2TPはオンラインセキュリティの世界ではどのようなメリットやデメリットがあるのでしょうか?以下に紹介します。
長所
- IPSecプロトコルと組み合わせることで、優れたオンラインセキュリティを実現します。
- WindowsとmacOSに組み込まれています。また、他のデバイスやオペレーティングシステムでも動作します。
- 設定は簡単です。L2TP/IPSecのペアリングも簡単に設定できます。
短所
- L2TPは単体では、独自の暗号化を持っていないので弱いです。
- スノーデン氏はNSAがこのプロトコルをクラックしたという報告しています。これを裏付ける証拠はないかもしれませんが、利用して後悔するよりは確実に安全な方がいいでしょう。
- ダブルカプセル化機能は、L2TPでより多くのリソースを必要とするので、接続が少し遅くなります。
- 手動でNATファイアウォールを回避するように設定しなければ、NATファイアウォールによって傍受される可能性があります。
まとめ
L2TPは、他のプロトコルとペアリングして使用する限り、比較的安全に使用できます。しかし、単体での利用は優れたオプションではなく、単独で使用しても安全ではありません。プロトコルを最大限に活用する方法は、ペアリングすることです。ほとんどのプラットフォームで容易に利用可能であり、設定と使用はとても簡単です。また、適切な状況下では非常に高速です。全体として、L2TPプロトコルは正しく使用すれば優れた選択肢となります。