L2TP(レイヤー2トンネリングプロトコル)とは?

レイヤー2トンネリングプロトコルは、インターネットサービスプロバイダー(ISP)がインターネット上で仮想プライベートネットワーク(VPN)を実行するために使用するPPTP(ポイント・ツー・ポイント・トンネリング・ プロトコル)の拡張機能です。L2TPは、マイクロソフト社のPPTPとシスコシステムズ社のL2F( レイヤー2転送プロトコル)という2つのトンネリングプロトコルの長所を取り入れたものです。L2TPの主な構成要素は、通話を物理的に終端する装置であるLAC(L2TP アクセスコンセントレータ)と、PPPストリームを除去して認証を行う可能性のある装置であるLNS(L2TP ネットワークサーバー)の2つです。

ポイント・ツー・ポイント・プロトコル(PPP)は、レイヤー2(L2)のポイントツーポイントリンク上でマルチプロトコルパケットを伝送するためのカプセル化の手段を確立します。エンドポイントをさまざまな機器に適切に配置するために、L2TPはパケットスイッチによるネットワーク接続を利用します。

L2TPの主な特徴

  1. データのペイロードを保護するために、L2TPはIPSecとペアを組みます。
  2. L2TPは、IPSecと組み合わせることで、最大256ビットの暗号化キーと3DESアルゴリズムを使用することができます。
  3. L2TPは、さまざまなプラットフォームやOSで動作します。WindowsおよびmacOSを使用するパソコンに対応しています。
  4. L2TPのダブルカプセル化メカニズムは、非常に安全ですが、リソースをより多く消費します。
  5. L2TPは通常、TCPポート1701を使用しますが、IPSec(L2TPトラフィック用)と組み合わせることで、UDPポート500(IKE-インターネット鍵交換用)、4500(NAT用)、1701(NAT用)も使用します。

L2TPの仕組みは?

L2TPトンネリングは、インターネット上のLACとLNSの間に接続を作ることから始まります。これらがプロトコルの2つのエンドポイントとなります。PPP接続層が許可され、それが成功するとカプセル化されて、ネットワークを介して運ばれます。

そして、ISPのエンドユーザー(あなた)がPPP接続を開始します。LACがその接続を受け入れると、PPPリンクが形成されます。その後、ネットワークチューブ内に空きスロットが確保され、リクエストがLNSに伝えられます。

最後に、リンクが完全に認証・承認されると、仮想PPPインターフェースが作成されます。この時点で、トンネルを介して自由に接続フレームを転送できるようになります。LNSはフレームを受け入れた後、L2TPのカプセル化を解除し、通常のフレームとして処理を続けます。

L2TPは速いのか?

暗号化されていないため、L2TP単体では非常に高速と言えます。もちろん、接続が保護されていないことによるデメリットは非常に大きく、どれだけ高速だからといっても、この事実は無視することはできません。

しかし、L2TPとIPSecを組み合わせれば、VPNプロトコルは適切な速度を提供することができます。そのためには、高速のブロードバンド回線(100Mbpsに近いかそれ以上)と、それなりに強力なCPUが必要となります。それらが用意できない場合でも、若干の速度低下が見られるかもしれませんが、オンラインでの使用感を損なうほどの劇的な変化はありません。

L2TPIPSecには何か関係があるのか?

L2TPプロトコルには固有の機密性がないため、IPsecとともに導入されることがほとんどです。このプロトコルは「L2TP/IPsec」と呼ばれ、IETF RFC 3193で標準化されています。IPSecは、あるコンピュータから別のコンピュータへ転送されるデータの暗号化セキュリティを提供します。この2つを組み合わせることで、より高いセキュリティを実現します。

L2TP/IPsec VPNの設定手順は以下の通りです。

  1. IPsecのセキュリティアソシエーション(SA)ネゴシエーションは、通常、IKE(インターネット鍵交換)を介して行われます。これはUDPポート500を介して行われ、双方で共有パスワード、公開鍵、またはX.509証明書のいずれかを使用します。
  2. ESP(暗号ペイロード)によるトランスポートモードでのコンタクトの確立。ESPの場合、IPプロトコル番号は50です(TCP 6とUDP 17の比較)。この段階では、安全なチャネルが設定されていますが、トンネリングは行われていません。
  3. L2TPは、SAエンドポイント間のネゴシエーションの設定を担当します。実際のパラメータのネゴシエーションは、IPsecの暗号化を用いて行われます。L2TPはUDPの1701ポートを使用します。

その他の重要事項

エンドポイント間のL2TPパケットは、処理が完了するとIPsecによってカプセル化されます。L2TPパケット自体がIPsecパケットの中に包まれて隠れているため、送信元と送信先のIPアドレスはパケット内部で暗号化されています。また、エンドポイント間のファイアウォールでは、エンドポイントでのみ行われるIPsecデータの復号化とストリップが完了するまで、内部のパケットは機能しないため、UDPポート1701を開くことは適切ではありません。

L2TP/IPsecでは、トンネルモードとセーフチャネルという言葉の使用が誤解の原因となる可能性があります。トンネルモードという言葉は、あるネットワークから別のネットワークへ、変化のないパケットの輸送を可能にするチャネルを指します。これは、L2TP/PPPの場合、IP上でL2TP/PPPのパケットを伝送する必要があります。セーフチャネルとは、すべての情報の保護が保証されているリンクのことです。L2TP/IPsecでは、まずIPsecがセキュアチャネルを提供し、その後、L2TPがトンネルを提供します。

L2TPのメリット

ここからは、L2TPのメリットをご紹介します。

  1. 機密性の高いアプリケーションに対しては、高いデータ保護機能を提供します。
  2. ハイレベルな暗号化を使用しているため、重要なデータは常に安全であり、個人情報を保護することができます。
  3. 卓越した効果的な接続性を提供します。
  4. コストパフォーマンスに優れており、導入後は間接費がかかりません。
  5. 信頼性が高く、拡張性があり、迅速で多機能です。
  6. ビジネス分野では業界最高水準となっています。
  7. VPN認証のユーザーに対しては、最強の認証ポリシーを持っています。

L2TPのデメリット

他のプロトコル同様、L2TPにもいくつかの欠点があります。そのいくつかをご紹介します。

  1. L2TPは単独では暗号化されません。適切なオンライン保護のためには、IPSecと組み合わせる必要があります。
  2. NSAは、L2TPやL2TP/IPSecを弱体化させたり、クラッキングされたりしたと言われていますが、それはスノーデン氏による言及で、その議論を裏付ける確たる証拠はありません。
  3. L2TP/IPSecは、二重のカプセル化機能を持つため、ややリソースを消費する傾向があり、極端に速いわけではありません。
  4. NATファイアウォールは、L2TPを回避するように設定されていない場合、L2TPをブロックします。

まとめ

全体的に見て、L2TP/IPSecはそれなりに安全に使用できますが、このプロトコルが危険で脆弱だという報告があることは無視できません。L2TPはレイテンシの面ではそれほど悪くありませんが、二重のカプセル化機能を持つプロトコルのため、リンク速度が遅くなることがあります。互換性については、L2TPは多くのWindowsおよびmacOSプラットフォームで動作し、また他のコンピュータやOSにも非常に簡単に設定することができます。