Secure socket tunneling protocol что это?

Зачем использовать протокол Secure Socket Tunneling Protocol (SSTP)?

Зачем использовать протокол Secure Socket Tunneling Protocol (SSTP)?

Зачем использовать новый VPN протокол? PPTP и L2TP/IPsec были с нами на протяжении долгого времени и в большей части отлично служили нам. Оба протокола работали с Windows RRAS и ISA на протяжении последнего десятилетия, и мы привыкли к ним. Мы знаем, как их настраивать, пользователи знают, как создавать подключения или использовать подключения, которые мы предоставляем им в пакетах CMAK, и мы знаем о проблемах поддержки, у нас также есть правила работы с VPN практически для всех ситуаций.

Учитывая весь опыт работы с PPTP и L2TP/IPsec, должно быть очевидным, зачем нам нужен новый VPN протокол. Как часто ваши пользователи, находясь за пределами компании, могли использовать для исходящего доступа лишь HTTP и HTTPS? Или, возможно, вам самим пришлось столкнуться с этим. Что вы делали? Если проблема заключалась в почтовом доступе, большинство из нас переходили на OWA. Если требовался сетевой доступ, жизнь становилась немного труднее, и иногда не было других вариантов, кроме как сменить место положения и надеяться, что там у нас будет более стабильное подключение. Это довольно дорогая, затратная по времени и просто раздражающая ситуация.

Вот почему SSTP является таким даром для администраторов брандмауэра TMG. SSTP (Secure Socket Tunnel Protocol), скрывает в туннели PPP подключения с помощью зашифрованных SSL HTTP подключений. Поскольку транспортировка прикладного уровня – это HTTP, его можно передавать по туннелю через брандмауэры, которые разрешают только TCP порты 80 и 443 для исходящего доступа, или когда исходящий веб прокси является единственным вариантом доступа к интернету. Да, SSTP будет работать через веб прокси. Однако устройство веб прокси перед SSTP VPN клиентом не должно требовать проверки подлинности, поскольку нет способа настройки SSTP VPN клиента на отправку учетных данных на веб прокси-сервер.

SSTP имеет несколько требований:

    SSTP работает только с Vista SP1 и более поздними клиентскими операционными системами (включая Vista SP2 и Windows 7) Windows Server 2008 и Windows Server 2008 R2 также может действовать в качестве SSTP VPN клиента SSTP не поддерживает VPN подключений от сайта к сайту SSTP VPN серверы, включая брандмауэр TMG, требуют привязки сертификатов веб сайта к веб приемникам SSTP Web Listener Клиент SSTP VPN должен иметь возможность проверять списки отзыва сертификатов (Certificate Revocation List – CRL) для подтверждения того, что сертификат веб сайта, привязанный к SSTP Web Listener, не был отозван (CRL проверка может быть отключена на клиенте, но это не самая удачная мысль для производственных сред) Только Windows Server 2008 и Windows Server 2008 R2 могут работать в качестве серверов SSTP VPN.

Важным моментом является то, что при настройке брандмауэра на прием SSTP подключений вы, по сути, создаете веб приемник для приема подключений. Этот веб приемник настраивается на разрешение анонимных подключений. Вам потребуется выделить IP адрес для веб приемника, поскольку это SSL подключение с сертификатом, изданным для этого приемника. Если вы хотите опубликовать любые другие сайты SSL, используя тот же брандмауэр TMG, вам потребуются дополнительные IP адреса для поддержки этих подключений. Вы не сможете использовать тот же веб приемник, если хотите настроить брандмауэр на публичных веб серверах с предварительной аутентификацией.

Как работает SSTP?

Процесс подключения SSTP довольно прост. Далее описан принцип работы подключений SSTP:

Те, кому интересны характеристики архитектуры протокола VPN, могут обратить внимание на рисунок ниже. Обратите внимание, что SSTP содержит дополнительный заголовок по сравнению с двумя другими протоколами VPN. Они содержатся там благодаря HTTPS инкапсуляции вдобавок к SSTP заголовку. L2TP и PPTP не содержат заголовков прикладного уровня, инкапсулирующих обмен данными.

Национальная библиотека им. Н. Э. Баумана
Bauman National Library

Персональные инструменты

  • Главная
  • Рубрикация
  • Указатель А — Я
  • Порталы
  • Произвольно
  • Журнал
  • Редакторам
  • На других языках
    • English
    • Ссылки сюда
    • Связанные правки
    • Загрузить файл
    • Спецстраницы
    • Версия для печати
    • Постоянная ссылка
    • Сведения о странице
    • Цитировать страницу
    • Читать
    • Просмотр
    • История

SSTP (Secure Socket Tunneling Protocol)

SSTP (Secure Socket Tunneling Protocol — протокол безопасного туннелирования сокетов) – VPN протокол, основанный на SSL 3.0. Благодаря этому данные шифруются. Аутентификация осуществляется с помощью PPP. Соединение проходит с помощью HTTPS по 443 порту (настраиваемо).

Содержание

  • 1 Общее
  • 2 Плюсы и минусы
    • 2.1 Плюсы
    • 2.2 Минусы
  • 3 Порядок установления соединения
  • 4 Дополнительно

Общее

Данный протокол был впервые представлен Microsoft в Windows Vista SP1, в серверных ОС включен с Windows Server 2008. Несмотря на то, что он также доступен и на Linux, RouterOS и SEIL, большей частью все равно используется только Windows-системами. Cтоит отметить, что не весь пакет шифруется с помощью SSL — HTTPS-заголовок, SSTP-заголовок, PPP-заголовок и полезная нагрузка шифруются, в то время как TCP-заголовок и SSL-заголовок — нет. При установлении SSL соединения проходит авторизация сервера клиентом по SSL сертификату. Заголовок состоит из 32 бит. Первые 8 отвечают за версию протокола, следующие 7 в резерве, 16й — управляющий бит, определяющий, идет ли пакет с данными (0) или управляющий пакет (1), затем — еще 4 резервных бита и 12 бит, показывающих длину пакета. Он достаточно безопасен, для шифрования, как правило, используется AES.

Плюсы и минусы

Плюсы
  1. очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
  2. полностью интегрирован в Windows (начиная с Windows Vista SP1)
  3. имеет поддержку Microsoft
  4. может работать сквозь файрволлы
Минусы
  1. работает только в Windows-среде
  2. уязвимость к некоторым атакам, например MITM: из-за того, что аутентификация клиента и сервера происходит на разных уровнях, возможна атака «человек посередине», когда нарушитель устанавливает SSL соединение с сервером и незащищённое PPP соединение с клиентом.

Порядок установления соединения

  1. Клиентом устанавливается TCP соединение на 443-ий порт SSTP сервера.
  2. Проходит установление SSL/TLS соединения поверх TCP соединения. Клиент проверяет сертификат сервера.
  3. Проходит HTTPS приветствие.
  4. Начинается установление SSTP соединения. Все SSTP пакеты идут внутри HTTPS. Клиент посылает запрос на установление соединения (Call Connect Request message). В этом сообщении передаётся номер протокола, который будет использоваться внутри SSTP; в текущей версии стандарта это всегда PPP.
  5. Сервер проверяет запрос и, если всё ОК, отвечает на него подтверждением (Call Connect Acknowledge message), в котором сообщает 32-битное случайное число (ClientNonce), используемое в следующем ответе клиента для защиты от повторения, а так же список хэш-функций для подписи следующего ответа (SHA1 и/или SHA256).
  6. Происходит PPP авторизация. Все пакеты PPP вложены в SSTP пакеты и, соответственно, зашифрованы SSL.
  7. Клиент посылает Call Connected message, в которое включаются ClientNonce и Хэш сертификата сервера (ClientCertificateHash), полученного при установлении SSL соединения.
Читайте также  Нфц в телефоне что такое?

Это сообщение подписывается с помощью указанной сервером хэш-функции (точнее HMAC на её основе) и ключа, полученного в процессе PPP авторизации. Если для авторизации в PPP используется протокол, не поддерживающий генерацию ключей для MPPE (PAP или CHAP), то HMAC вычисляется с использованием ключа, равного нулю и атака «человек посередине» возможна.

  1. Сервер проверяет Call Connected message, на этом SSTP считается установленным.
  2. Заканчивается установление параметров PPP.

Обзор Secure Socket Tunneling Protocol

В статье мы посмотрим, что такое SSTP, чем отличаются VPN-протоколы и какие преимущества есть у SSTP для подключения пользователей по VPN.

Виртуальная частная сеть VPN представляет собой сеть, построенную с использованием открытых сетей для соединения узлов. Это позволяет пользователю получать безопасный доступ к ресурсам локальной сети (например на время карантина). При этом используется шифрование и другие меры безопасности, чтобы гарантировать, что данные не будут перехвачены неавторизованными пользователями.

В течение многих лет для VPN-подключений успешно использовались протокол PPTP, но в последнее время их использование стало проблематично из-за увеличения числа подключений к мобильным провайдерам и публичным Wi-Fi сетям. Были придуманы альтернативные меры для обеспечения такого типа доступа. Многие организации начали использовать IPSec и SSL VPN в качестве альтернативы. Другой новой альтернативой стало SSTP, также называемый «SSL VPN от Microsoft».

В PPTP используется зашифрованный GRE-туннель, который обеспечивает конфиденциальность передаваемых данных. Когда туннель проходит через обычные NAT-ы, VPN туннель перестает работать. VPN обычно соединяет узел с конечной точкой. Может случиться так, что и узел, и конечная точка имеют один и тот же внутренний адрес локальной сети и, если задействован NAT, могут возникнуть сложности с прохождением трафика.

Протокол SSL использует криптографическую систему, с двумя ключами для шифрования данных — открытым и закрытым. Открытый ключ известен всем, а закрытый — только получателю. Благодаря этому SSL создается безопасное соединение между клиентом и сервером. В отличие от PPTP, SSL VPN позволяет пользователям устанавливать безопасный удаленный доступ практически из любого браузера, подключенного к интернету, препятствие в виде нестабильного соединения устраняется. С SSL VPN весь сеанс защищен, тогда как только с SSL это не достигается.

Протокол туннелирования защищенных сокетов SSTP по определению является протоколом прикладного уровня. Он предназначен для синхронного обмена данными между двумя программами и позволяет использовать множество конечных точек приложения по одному сетевому соединению между равноправными узлами. Это позволяет эффективно использовать коммуникационные ресурсы, которые доступны в сети.

Протокол SSTP основан на SSL вместо PPTP или IPSec, и использует TCP-порт 443 (или другие, как это реализовано в Ideco UTM) для ретрансляции трафика SSTP. Хотя он тесно связан с SSL, прямое сравнение между SSL и SSTP невозможно, поскольку в отличие от SSL, SSTP является только протоколом туннелирования. Существует множество причин для выбора SSL, а не IPSec в качестве основы для SSTP. IPSec направлен на поддержку межсетевого подключения VPN, поэтому SSL стал лучшей основой для разработки SSTP, поскольку он поддерживает роуминг.
Есть и другие причины не основывать его на IPSec:

  • не требует строгой аутентификации,
  • есть различия в качестве и кодировании пользовательских клиентов от поставщика к поставщику,
  • не IP-протоколы не поддерживаются по умолчанию,
  • поскольку протокол IPSec был разработан для защищенных соединений типа «сайт-сайт», он может создавать проблемы для удаленных пользователей, пытающихся подключиться из места с ограниченным числом IP-адресов.

SSL VPN оказался более подходящей основой для разработки SSTP

SSL VPN решает эти проблемы и многое другое. В отличие от базового SSL, SSL VPN защищает весь сеанс работы. Статические IP-адреса не требуются, а клиент в большинстве случаев не нужен.

Развитие SSTP было вызвано проблемами с безопасностью протокола PPTP. SSTP устанавливает соединение по защищенному HTTPS; это позволяет клиентам безопасно получать доступ к сетям за NAT-маршрутизаторами, брандмауэрами и веб-прокси, не беспокоясь о станадартных проблемах блокировки портов.

SSTP не предназначен для VPN-подключений «сайт-сайт», но предназначен для VPN-подключений «клиент-сайт».

Эффективность SSTP достигнута такими особенностями:

  • SSTP использует HTTPS для установки безопасного соединения. Туннель SSTP (VPN) будет работать через Secure-HTTP. Проблемы с VPN-соединениями на основе протокола туннелирования точка-точка (PPTP) или протокола туннелирования уровня 2 (L2TP) будут устранены. Веб-прокси, брандмауэры и маршрутизаторы преобразования сетевых адресов (NAT), расположенные на пути между клиентами и серверами, больше не будут блокировать VPN-подключения.
  • Стандартная блокировка портов уменьшится. Проблемы, связанные с соединениями из-за блокировки портов PPTP GRE или L2TP ESP через брандмауэр или маршрутизатор NAT, не позволяющие клиенту достичь сервера, больше не будут проблемами, т.к. достигается повсеместное подключение. Клиенты смогут подключаться из любого места в интернета.
  • SSTP Client встроен в Windows начиная с версии Vista SP1SSTP не потребует переподготовки, т.к. средства управления VPN для конечных пользователей остаются неизменными. VPN-туннель на основе SSTP подключается непосредственно к текущим интерфейсам клиентского и серверного программного обеспечения Microsoft VPN.
  • Полная поддержка IPv6. Туннель SSTP VPN может быть установлен через интернет-протокол IPv6.
  • Используется встроенная поддержка защиты доступа к сети для проверки исправности клиента.
  • Надежная интеграция с клиентом и сервером MS RRAS, возможность двухфакторной аутентификации.
  • Увеличивается покрытие VPN с нескольких точек до практически любого количества интернет-подключений.
  • SSL-инкапсуляция (защита SSL) для прохождения через порт 443.
  • Может контролироваться и управляться с помощью брандмауэров прикладного уровня, таких как ISA-сервер.
  • Полноценное сетевое VPN-решение, а не туннель приложений (программ) для одного клиента (устройства).
  • Интеграция в NAP.
  • Возможна интеграция и настройка политик для проверки состояния клиента.
  • Один сеанс создан для туннеля SSL.
  • Независимость от приложений.
  • Более сильная принудительная аутентификация, чем IPSec.
  • Поддержка не IP-протоколов, это намного лучше, чем IPSec.
  • Не нужно покупать дорогие, трудно настраиваемые аппаратные брандмауэры, которые не поддерживают интеграцию с Active Directory и встроенную двухфакторную аутентификацию.

Механизм подключения SSTP

  • Клиенту SSTP нужно интернет-соединение. Как только оно проверено протоколом, устанавливается TCP-соединение с сервером через порт 443.
  • SSL-соединение теперь идет поверх уже установленного TCP-соединения, при котором сертификат сервера подтверждается. Если сертификат действителен, соединение устанавливается, если нет, оно разрывается.
  • Клиент отправляет HTTPS-запрос поверх зашифрованного сеанса SSL на сервер.
  • Далее он отправляет контрольные пакеты SSTP в рамках сеанса HTTPS. Это, в свою очередь, создает систему SSTP с обеих сторон для управления. Теперь обе стороны инициируют связь уровня PPP.
  • Согласование PPP с использованием SSTP через HTTPS происходит с двух сторон. Клиент должен пройти аутентификацию на сервере.
  • Сеанс привязывается к IP-интерфейсу с обеих сторон и IP-адресу, назначенному для маршрутизации трафика.
  • Трафик может проходить через соединение являясь либо IP-трафиком, либо другим.

В Microsoft уверены, что этот протокол поможет облегчить проблемы с VPN-соединениями. Команда RRAS сейчас готовит RRAS для интеграции с SSTP, этот протокол станет частью решения в будущем. Единственным условием на данный момент является то, что клиент запускает сервера Vista и Longhorn. Набор функций, предоставляемый этим небольшим протоколом, является одновременно разнообразным и гибким. Протокол расширяет возможности пользователя и администратора. Предполагаем, что устройства начнут встраивать этот протокол в стек для безопасной связи, и головная боль NAT вскоре будет забыта, когда мы перейдем к решению с поддержкой 443 / SSL.

Читайте также  Сетевой экран в роутере что это?

SSTP является отличным дополнением к инструментам VPN и позволяет пользователям удаленно и безопасно подключаться к корпоративной сети. Блокирование удаленного доступа и проблемы NAT, кажется, забыты при использовании этого протокола. Технология стабильна, хорошо документирована и работает. Это отличный продукт, он очень приветствуется в наше время для удаленного доступа.

Шлюз безопасности Ideco UTM поддерживает VPN-протокол SSTP. Если ваши пользователи испытывают проблемы при установлении VPN-подключения по протоколу IPsec, вы можете попробовать использовать SSTP.

Подробнее о VPN-сервере в Ideco UTM смотрите на нашем канале.

Secure socket tunneling protocol что это?

По возможности не используйте этот тип подключения. Этот способ подключения лучше других проходит через NAT, но при нестабильном качестве связи работает значительно хуже чем другие VPN (особенно при передаче звука/видео), так как инкапсулирует все данные внутри TCP. Рекомендуется использовать IPSec-IKEv2 вместо SSTP.

SSTP (Secure Socket Tunneling Protocol) — протокол безопасного туннелирования трафика, основанный на SSL/TLS.

Поддерживается ОС Windows начиная с Vista, а также роутерами Mikrotik, Keenetic и другими.

¶ Настройка Ideco UTM

  1. Для включения авторизации по SSTP установите флажок Авторизация SSTP в веб-интерфейсе в разделе Пользователи -> Авторизация -> VPN-авторизация.
  2. Подключение возможно только по DNS-имени, поэтому IP-адрес внешнего интерфейса Ideco UTM должен резолвится в одно из имен вашей внешней доменной зоны. В поле Домен необходимо указать данное DNS-имя (используйте реальное имя с правильной А-записью, т.к. оно необходимо для выписки сертификата Let’s Encrypt).
  3. Порт — выберите предлагаемый порт (из вариантов: 1443, 2443, 3443, 4443).
  4. У пользователей, которым необходимо подключаться извне по VPN установите флажок Разрешить удалённый доступ через VPN в дереве пользователей. Указанный логин и пароль будут использоваться для подключения.

¶ Настройка VPN в Windows

Для создания VPN вы можете использовать скрипт автоматического создания подключения по SSTP.
Либо создать его вручную, выполнив следующие действия:

  1. Откройте «Центр управления сетями и общим доступом» и выберите пункт «Создание и настройка нового подключения или сети».
  2. Выберите пункт Подключение к рабочему месту.
  3. На вопрос об использовании существующего подключения ответьте Нет, создать новое подключение.
  4. Далее выберите пункт Использовать мое подключение к Интернету (VPN).
  5. В качестве адреса подключения используйте только домен (если пропишите IP-адрес, то подключение работать не будет, выдавая ошибку CN имя сертификата не совпадает с полученным значением).
    После ввода домена через двоеточие укажите порт, на котором вы настроили SSTP в Ideco UTM.
    Нажмите кнопку Создать.
  6. После создания подключения необходимо зайти в его свойства (доступны в контекстном меню объекта) в Сетевых подключениях. На вкладке Безопасность выберите тип VPN — SSTP (Secure Socket Tunneling Protocol).

¶ Скрипт автоматического создания пользовательских подключений по SSTP

Вы можете запустить следующий скрипт PowerShell для автоматического создания подключения на компьютерах пользователей с Windows 8.1 и 10. Для этого скачайте готовый скрипт из раздела Пользователи -> Авторизация -> VPN-авторизация.

Подключение будет создано со следующими параметрами:

  1. Протокол SSTP с использованием PSK-ключа.
  2. Параметр Использовать основной шлюз в удаленной сети выключен.
    Доступ к локальным сетям того же класса, что были получены для VPN-подключения по-умолчанию в Windows 7 и 10 будет осуществляться через VPN-подключение, поэтому дополнительных маршрутов создавать не нужно (если вы не используете разные классы сетей в локальной сети офиса).

Создайте текстовый файл с именем ideco_utm_sstp.ps1 (в Блокноте или редакторе Windows PowerShell ISE) и скопируйте туда следующий текст:

Поменяйте в нем необходимые параметры на соответствующие вашим настройкам:

  1. Ideco UTM SSTP VPN — имя подключения в системе (может быть произвольным).
  2. my.domain. com:4443 — домен внешнего интерфейса Ideco UTM и порт, на котором вы включили SSTP.
  3. activedirectory.domain — ваш домен Active Directory (если домена нет, нужно удалить эту строчку из скрипта).

Запустить скрипт на компьютере пользователя можно из контекстного меню файла «Выполнить с помощью PowerShell». Нажмите «Ок» в диалоге повышения прав (они требуются для разрешения доступа к общим файлам и принтерам).

После этого подключение в системе будет создано, а также включен общий доступ к файлам и принтерам для всех сетей (иначе доступ к файловым ресурсам в локальной сети может быть невозможен).

Пользователю при первой авторизации необходимо ввести свой логин/пароль.

Secure Socket Tunneling Protocol

Что такое SSTP?
Чем отличаются VPN-протоколы?
Какие преимущества есть у SSTP для подключения пользователей по VPN?

Виртуальная частная сеть VPN представляет собой сеть, построенную с использованием открытых сетей для соединения узлов . Это позволяет пользователю получать безопасный доступ к ресурсам локальной сети (например на время карантина). При этом используется шифрование и другие меры безопасности, чтобы гарантировать, что данные не будут перехвачены неавторизованными пользователями.

В течение многих лет для VPN-подключений успешно использовались протокол PPTP, но в последнее время их использование стало проблематично из-за увеличения числа подключений к мобильным провайдерам и публичным Wi-Fi сетям. Были придуманы альтернативные меры для обеспечения такого типа доступа. Многие организации начали использовать IPSec и SSL VPN в качестве альтернативы. Другой новой альтернативой стало SSTP, также называемый «SSL VPN от Microsoft».

Проблемы с обычным PPTP VPN

В PPTP используется зашифрованный GRE-туннель, который обеспечивает конфиденциальность передаваемых данных. Когда туннель проходит через обычные NAT-ы, VPN туннель перестает работать. VPN обычно соединяет узел с конечной точкой. Может случиться так, что и узел, и конечная точка имеют один и тот же внутренний адрес локальной сети и, если задействован NAT, могут возникнуть сложности с прохождением трафика.

SSL VPN

Протокол SSL использует криптографическую систему, с двумя ключами для шифрования данных — открытым и закрытым. Открытый ключ известен всем, а закрытый — только получателю. Благодаря этому SSL создается безопасное соединение между клиентом и сервером. В отличие от PPTP, SSL VPN позволяет пользователям устанавливать безопасный удаленный доступ практически из любого браузера, подключенного к интернету, препятствие в виде нестабильного соединения устраняется. С SSL VPN весь сеанс защищен, тогда как только с SSL это не достигается.

SSTP

Протокол туннелирования защищенных сокетов SSTP по определению является протоколом прикладного уровня. Он предназначен для синхронного обмена данными между двумя программами и позволяет использовать множество конечных точек приложения по одному сетевому соединению между равноправными узлами. Это позволяет эффективно использовать коммуникационные ресурсы, которые доступны в сети.

Протокол SSTP основан на SSL вместо PPTP или IPSec, и использует TCP-порт 443 (или другие, как это реализовано в Ideco UTM) для ретрансляции трафика SSTP. Хотя он тесно связан с SSL, прямое сравнение между SSL и SSTP невозможно, поскольку в отличие от SSL, SSTP является только протоколом туннелирования. Существует множество причин для выбора SSL, а не IPSec в качестве основы для SSTP. IPSec направлен на поддержку межсетевого подключения VPN, поэтому SSL стал лучшей основой для разработки SSTP, поскольку он поддерживает роуминг. Есть и другие причины не основывать его на IPSec:

  • не требует строгой аутентификации,
  • есть различия в качестве и кодировании пользовательских клиентов от поставщика к поставщику,
  • не IP-протоколы не поддерживаются по умолчанию,
  • поскольку протокол IPSec был разработан для защищенных соединений типа «сайт-сайт», он может создавать проблемы для удаленных пользователей, пытающихся подключиться из места с ограниченным числом IP-адресов.
Читайте также  Какое разрешение лучше для видеорегистратора?

SSL VPN оказался более подходящей основой для разработки SSTP

SSL VPN решает эти проблемы и многое другое. В отличие от базового SSL, SSL VPN защищает весь сеанс работы. Статические IP-адреса не требуются, а клиент в большинстве случаев не нужен.

SSTP — расширение VPN

Развитие SSTP было вызвано проблемами с безопасностью протокола PPTP. SSTP устанавливает соединение по защищенному HTTPS; это позволяет клиентам безопасно получать доступ к сетям за NAT-маршрутизаторами, брандмауэрами и веб-прокси, не беспокоясь о станадартных проблемах блокировки портов.

SSTP не предназначен для VPN-подключений «сайт-сайт», но предназначен для VPN-подключений «клиент-сайт».

Эффективность SSTP достигнута этими особенностями:

  • SSTP использует HTTPS для установки безопасного соединения
    Туннель SSTP (VPN) будет работать через Secure-HTTP. Проблемы с VPN-соединениями на основе протокола туннелирования точка-точка (PPTP) или протокола туннелирования уровня 2 (L2TP) будут устранены. Веб-прокси, брандмауэры и маршрутизаторы преобразования сетевых адресов (NAT), расположенные на пути между клиентами и серверами, больше не будут блокировать VPN-подключения.
  • Стандартная блокировка портов уменьшится
    Проблемы, связанные с соединениями из-за блокировки портов PPTP GRE или L2TP ESP через брандмауэр или маршрутизатор NAT, не позволяющие клиенту достичь сервера, больше не будут проблемами, т.к. достигается повсеместное подключение. Клиенты смогут подключаться из любого места в интернета.
  • SSTP Client встроен в Windows начиная с версии Vista SP1
    SSTP не потребует переподготовки, т.к. средства управления VPN для конечных пользователей остаются неизменными. VPN-туннель на основе SSTP подключается непосредственно к текущим интерфейсам клиентского и серверного программного обеспечения Microsoft VPN.
  • Полная поддержка IPv6. Туннель SSTP VPN может быть установлен через интернет-протокол IPv6.
  • Используется встроенная поддержка защиты доступа к сети для проверки исправности клиента.
  • Надежная интеграция с клиентом и сервером MS RRAS, возможность двухфакторной аутентификации.
  • Увеличивается покрытие VPN с нескольких точек до практически любого количества интернет-подключений.
  • SSL-инкапсуляция (защита SSL) для прохождения через порт 443.
  • Может контролироваться и управляться с помощью брандмауэров прикладного уровня, таких как ISA-сервер.
  • Полноценное сетевое VPN-решение, а не туннель приложений (программ) для одного клиента (устройства).
  • Интеграция в NAP.
  • Возможна интеграция и настройка политик для проверки состояния клиента.
  • Один сеанс создан для туннеля SSL.
  • Независимость от приложений.
  • Более сильная принудительная аутентификация, чем IPSec.
  • Поддержка не IP-протоколов, это намного лучше, чем IPSec.
  • Не нужно покупать дорогие, трудно настраиваемые аппаратные брандмауэры, которые не поддерживают интеграцию с Active Directory и встроенную двухфакторную аутентификацию.

Механизм подключения SSTP:

Как работает VPN-соединение на основе SSTP. Семь шагов:

  1. Клиенту SSTP нужно интернет-соединение. Как только оно проверено протоколом, устанавливается TCP-соединение с сервером через порт 443.
  2. SSL-соединение теперь идет поверх уже установленного TCP-соединения, при котором сертификат сервера подтверждается. Если сертификат действителен, соединение устанавливается, если нет, оно разрывается.
  3. Клиент отправляет HTTPS-запрос поверх зашифрованного сеанса SSL на сервер.
  4. Далее он отправляет контрольные пакеты SSTP в рамках сеанса HTTPS. Это, в свою очередь, создает систему SSTP с обеих сторон для управления. Теперь обе стороны инициируют связь уровня PPP.
  5. Согласование PPP с использованием SSTP через HTTPS происходит с двух сторон. Клиент должен пройти аутентификацию на сервере.
  6. Сеанс привязывается к IP-интерфейсу с обеих сторон и IP-адресу, назначенному для маршрутизации трафика.
  7. Трафик может проходить через соединение являясь либо IP-трафиком, либо другим.

В Microsoft уверены, что этот протокол поможет облегчить проблемы с VPN-соединениями. Команда RRAS сейчас готовит RRAS для интеграции с SSTP, этот протокол станет частью решения в будущем. Единственным условием на данный момент является то, что клиент запускает сервера Vista и Longhorn. Набор функций, предоставляемый этим небольшим протоколом, является одновременно разнообразным и гибким. Протокол расширяет возможности пользователя и администратора. Предполагаем, что устройства начнут встраивать этот протокол в стек для безопасной связи, и головная боль NAT вскоре будет забыта, когда мы перейдем к решению с поддержкой 443 / SSL.

Вывод

SSTP является отличным дополнением к инструментам VPN и позволяет пользователям удаленно и безопасно подключаться к корпоративной сети. Блокирование удаленного доступа и проблемы NAT, кажется, забыты при использовании этого протокола. Технология стабильна, хорошо документирована и работает. Это отличный продукт, он очень приветствуется в наше время для удаленного доступа.

Туннель SSTP (VPN) будет работать через Secure-HTTP. Проблемы с VPN-соединениями на основе протокола туннелирования точка-точка (PPTP) или протокола туннелирования уровня 2 (L2TP) будут устранены. Веб-прокси, брандмауэры и маршрутизаторы преобразования сетевых адресов (NAT), расположенные на пути между клиентами и серверами, больше не будут блокировать VPN-подключения.