【ネスぺ対策】プロトコル間の関係

PPPの機能のうち上位層に依存しないプロトコルがLCP（Link Control Protocol）で，依存するプロトコルがNCP（Network Control Protocol）である。LCPはコネクションの確立と切断を行うだけでなく，PPP上で動作する認証プロトコルをPAP（Password Authentication Protocol）とCHAP（Challenge Handshake Authentication Protocol）のいずれかから設定する。NCPは上位層がIPのときはIPCP（IP Control Protocol）と呼ばれ，IPアドレスの設定やTCP/IPのヘッダを圧縮するかどうかを設定する。

ヘッダを付け加えてカプセル化することで，ある通信プロトコル上で異なる通信プロトコルを透過的に伝送すること。

前提として，PPPはP2P通信でしか利用できないプロトコルであるため，IP上で用いるためにはトンネリングを用いる必要がある。なお，PPPはL2のデータリンク層で動作することから，このトンネリングはL2トンネリングと呼ばれる。

L2トンネリングの代表的なプロトコルには，PPTP/L2F/L2TPがある。PPTP（Point to Point Tunneling Protocol）では，制御コネクションの確立にTCPを用い，PPPフレームのカプセル化にGREを用いる。特に，送信側のVPN機器をPAC（PPTP Access Concentrator），受信側のVPN機器をPNS（PPTP Network Server）と呼ぶ。L2Fでは，制御コネクションの確立とカプセル化の両方にUDPが利用される。L2TPは，PPTPとL2Fを混ぜたようなL2トンネリングプロトコルである。具体的には，PPTPにおける送信側/受信側に相当するPAC/PNSに似たような構造を用いると同時に，L2Fと同様にコネクションの確立にはUDPを用いる。特に，送信側のVPN機器をLAC（L2TP Access Concentrator），受信側のVPN機器をLNS（L2TP Network Server）と呼ぶ。

L2Fは現在利用されることは少なく，L2TPが主に利用されている。L2TPには暗号化機能がないため，L3トンネリングプロトコルであるIPsecを利用する。PPTPのみ，カプセル化にはGREヘッダを用いるため注意が必要である。「PPTPだからPPTPヘッダを用いる」と早とちりしてしまうことがある。

• TCP：HTTP/SMTP/POP3/SSH/FTP/Telnet/DNSゾーン転送...など
• UDP：DNS問合せ/SNMP/DHCP/TFTP/NTP...など

UDPを用いるプロトコルをおさえてしまい，それ以外がTCPと理解すると分かりやすい。

• L2：データリンク層
  • 高域イーサネット：VLAN
• L3：ネットワーク層
  • IP-VPN：MPLS
  • インターネットVPN：IPSec

ルータは経路制御（ルーティング）をするもので，L3スイッチはフレームの転送（スイッチング）をするものである。とはいえ，両者ともルーティングとスイッチングの機能は有しているため，どちらの機能に重きを置くのかという違いに過ぎない。

MACテーブルはMACアドレスとポートの対応，ARPテーブルはIPアドレスとMACアドレスの対応を記録するテーブルである。MACテーブルに宛先MACアドレスがない場合は，すべてのポートからフレームを送信するフラッディングを行う。ARPテーブルに宛先IPアドレスがない場合は，ARP要求をブロードキャストで送信する。なお，フラッディングは「仕方なく全ポートに向けて送信する」というニュアンス，ブロードキャストは「意図的に全ポートに向けて送信する」という意味合いを含む。

ICMPはTCP/UDPと同じ階層のプロトコルと考えられるため，HTTPでICMPが使われるという関係になる。

• SPF：送信サーバのIPアドレスをDNSのSPFレコードに設定
• 逆引き：受信サーバのIPアドレスをDNSのPTRレコードに設定

• SFTP：SSH
• FTPS：SSL/TLS

SSHだから頭にS，TLSだから後ろにSと理解する。

• ユーザ認証をしない
• TCPではなくUDPを利用する

• IPsec：ESPヘッダを使ってレイヤ3で認証・暗号化
• SSL-VPN：TCPのポート番号443を使ってレイヤ4で認証・暗号化

IPsecはL3で動作するトンネリングプロトコル。PPTPはL2で動作するトンネリングプロトコル。IPsecは送信と受信を別々のトンネルで行う。PPTPは送信と受信を同一のトンネルで行う。PPTPは脆弱性を有するためIPsecと併用されることが多いが，PPTP単体で利用する場合よりも通信速度が低下してしまう。なお，トンネルはSA(Security Association)と呼ばれることもある。

再送機能があるかどうか

• FTPのデータ転送用コネクション
• SIP

IPv6では，IPv4におけるDHCPと同様のプラグ&プレイ機能は，ICMPv6で規定された近隣探索で実現する。

• IPv4：20byte
• IPv6：40byte
• TCP：20byte
• UDP：8byte

HTTPにおけるクライアントは，MQTTでは送信者であるPublisherと受信者であるSubscriberに分かれる。HTTPにおけるサーバは，MQTTではブローカーと呼ばれていて，PublisherとSubscriberを中継する役割を果たす。MQTTでは，Publisherがメッセージをpublishするとき，もしくはSubscriberがメッセージをsubscribeするときに，メッセージの品質を指定するQoSレベルを設定できる。MQTTヘッダは数十バイトであり，数百バイトのHTTPヘッダと比べて軽量であることから，HTTPと比べて使用電力やデータ量が少ないプロトコルとなっている。

チェックサムはIPとTCP/UDPのヘッダで利用される誤り検知方式で，同時にアルゴリズムのことも指す。FCSはイーサネットのヘッダで利用される誤り検知方式で，アルゴリズムはCRCを利用することが多い。

• パケット：汎用性の高い用語
• フレーム：データリンク層のパケット
• データグラム：ネットワーク層以上におけるパケット単位のデータ構造
• セグメント：ストリームベースのTCPに含まれるデータ
• メッセージ：アプリケーションプロトコルのデータ単位

まず，VPNはネットワーク仮想化を表し，VDIはデスクトップ仮想化を表す。さらに，IPsec-VPNはネットワーク層におけるVPNであり，任意のルータ間のネットワーク仮想化を行う。一方，SSL-VPNはセッション層におけるVPNであり，ブラウザ・サーバ間のネットワーク仮想化を行う。

TLS1.3はTLS1.2と比べて下記のような違いがある。

1. セキュリティ強度の高い暗号アルゴリズムを強制
   • 暗号化には認証付き暗号の一つであるAES-GCM（Galois/Counter Mode）を利用
   • 鍵交換にはDHE（Ephemeral Diffie-Hellman）およびECDHE（Ephemeral Elliptic curve Diffie–Hellman key exchange）を利用
   • 暗号スイートが「暗号化_ハッシュ関数」の組で表される（1.2では「鍵交換_署名」も含まれていた）
2. セッションのネゴシエーション方式の変更
   • Session Ticketに基づくセッション再開の廃止
   • 1往復のハンドシェイクで暗号化通信可能（1.2では2往復していた）

TLS1.3において「鍵交換_署名」の情報は，Client Helloに含まれる拡張属性で指定する。

クライアントで生成した乱数・サーバで生成した乱数・クライアントで生成したプリマスタシークレット（鍵のもとになる乱数）の三つの情報から，共通鍵を生成する。TLS1.2では，クライアントで生成した乱数・サーバで生成した乱数・プリマスタシークレットという順番で，二往復のネゴシエーションを行う。TLS1.3では，クライアントで生成した乱数とプリマスタシークレット・サーバで生成した乱数という順番で一往復のネゴシエーションを行う。