Non sono d'accordo:
Il modello TCP/IP non si adegua rigorosamente a quello ISO/OSI (dove è previsto il livello sessione); in questo modello i livelli sono solo 4:
1. Hardware corrispondente al livello 1 - Fisico del modello ISO/OSI
2. Network Interface corrispondente al livello 2 - Data Link del modello ISO/OSI
3. Internet corrispondente al livello 3 - Network del modello ISO/OSI
4. Transport corrispondente al livello 4 - Transport del modello ISO /OSI
5. Application che raccoglie i livelli da 5 a 7 del modelli ISO/OSI
Pertanto a voler essere pignoli le sessioni di autenticazione veicolate dal solo stack TCP/IP non comprendono le "sessioni" in senso stretto ISO / OSI.
Quello che il tuo amico cita (ad eccezione dell'autenticazione) a rigor di logica sono tutti compiti svolti dal livello 4 dove si parla giustamente di connessioni e non di sessioni.