脆弱性を緩和する！PPPとRADIUSの深い関係

前回記事からの続きです。

前回は、IEEE802.1X認証の大きな流れを解説するとともに、使われるプロトコルが「EAP」であるという話をしました。EAPによる方式は、たくさんあり、それを後日紹介していく予定です。

さて、今回は、EAPは、何かを拡張して作られたプロトコルでした。それが、「PPP（Point to Point Protocol）」です。EAPの各認証方式に突入する前に、このPPPというものが一体何なのかを抑えておきましょう。さらに、RADIUSとの関係もお話しします。

それによって、EAPへの理解も容易になるはず！

ということでいってみよう！

PPPとは何か？

PPPとは、覚えやすい名前ですね。ピーピーピーと発音することが多いようです。トリプル・ピーみたいな呼び方は聞いたことがないです。1990年代から広く普及しました。

Point to Point という名前がついているように、PPPでは、１対１での通信に利用されます。

このPPPは、OSI参照モデルの第2層、データリンク層のプロトコルです。データリンク層のプロトコルと言えば、「イーサネット」ですよね。しかし、イーサネットはLANの中で使うのが原則で、公衆電話網では使えません。

この公衆回線網を通じて、ユーザがLANにあるRAS（リモートアクセスサーバ）にリモートアクセスするときに、PPPが利用されるんです。

PPPとRADIUSの深い関係？

RASにリモートアクセスするには、もちろん「認証」が必要です。誰でもアクセスしていいわけではないです。

他方、RASは、リモートアクセスの接続先であるがゆえに、外部からの攻撃にさらされやすいです。となると、認証情報という機微な情報の管理をRASが行うのは、セキュリティ上、望ましくないですね。

これに対処するためには、RASと認証機能を分離するように構成すればよいわけです。

その認証機能を担当するのがRADIUSサーバです。RADIUSは、Remote Authentication Dial-In User Serviceの略です。名が示す通り、電話回線網を通じでリモートアクセスの認証を行うためのプトロコルといえます。

このRADIUSは、アクセスの受けつけ役と、認証役を分離することで、リモートアクセスの安全性を高めます。

RADIUSサーバは、RASの背後に控えます。そして、RADIUSサーバの受けつけ役として機能することとなったRASは、「RADIUSクライアント」と位置づけられます。

ここでRASを、アクセスポイントに置き換えてイメージしてください。そうするとどっかで見た絵になるはずです。そうEAPの基本構成に近いです（こちらは無線ですが）。

これでPPPが拡張されてEAPになった雰囲気が分かるかと思います。

はい、本日は、ここまで！今回は、PPPとは何か、RADIUSとどう関係しているかについてお話ししました。

次回は、PPPでの認証方式についてお話しします。

では！