Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Крипто
Маркетплейсы
AI
Образование
Путешествия
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Марина
Разработка

Обзор Secure Socket Tunneling Protocol

В статье мы посмотрим, что такое SSTP, чем отличаются VPN-протоколы и какие преимущества есть у SSTP для подключения пользователей по VPN.

VPN

Виртуальная частная сеть VPN представляет собой сеть, построенную с использованием открытых сетей для соединения узлов. Это позволяет пользователю получать безопасный доступ к ресурсам локальной сети (например на время карантина). При этом используется шифрование и другие меры безопасности, чтобы гарантировать, что данные не будут перехвачены неавторизованными пользователями.

В течение многих лет для VPN-подключений успешно использовались протокол PPTP, но в последнее время их использование стало проблематично из-за увеличения числа подключений к мобильным провайдерам и публичным Wi-Fi сетям. Были придуманы альтернативные меры для обеспечения такого типа доступа. Многие организации начали использовать IPSec и SSL VPN в качестве альтернативы. Другой новой альтернативой стало SSTP, также называемый «SSL VPN от Microsoft».

Проблемы с обычным PPTP VPN

В PPTP используется зашифрованный GRE-туннель, который обеспечивает конфиденциальность передаваемых данных. Когда туннель проходит через обычные NAT-ы, VPN туннель перестает работать. VPN обычно соединяет узел с конечной точкой. Может случиться так, что и узел, и конечная точка имеют один и тот же внутренний адрес локальной сети и, если задействован NAT, могут возникнуть сложности с прохождением трафика.

SSL VPN

Протокол SSL использует криптографическую систему, с двумя ключами для шифрования данных - открытым и закрытым. Открытый ключ известен всем, а закрытый - только получателю. Благодаря этому SSL создается безопасное соединение между клиентом и сервером. В отличие от PPTP, SSL VPN позволяет пользователям устанавливать безопасный удаленный доступ практически из любого браузера, подключенного к интернету, препятствие в виде нестабильного соединения устраняется. С SSL VPN весь сеанс защищен, тогда как только с SSL это не достигается.

SSTP

Протокол туннелирования защищенных сокетов SSTP по определению является протоколом прикладного уровня. Он предназначен для синхронного обмена данными между двумя программами и позволяет использовать множество конечных точек приложения по одному сетевому соединению между равноправными узлами. Это позволяет эффективно использовать коммуникационные ресурсы, которые доступны в сети.

Протокол SSTP основан на SSL вместо PPTP или IPSec, и использует TCP-порт 443 (или другие, как это реализовано в Ideco UTM) для ретрансляции трафика SSTP. Хотя он тесно связан с SSL, прямое сравнение между SSL и SSTP невозможно, поскольку в отличие от SSL, SSTP является только протоколом туннелирования. Существует множество причин для выбора SSL, а не IPSec в качестве основы для SSTP. IPSec направлен на поддержку межсетевого подключения VPN, поэтому SSL стал лучшей основой для разработки SSTP, поскольку он поддерживает роуминг.
Есть и другие причины не основывать его на IPSec:

  • не требует строгой аутентификации,
  • есть различия в качестве и кодировании пользовательских клиентов от поставщика к поставщику,
  • не IP-протоколы не поддерживаются по умолчанию,
  • поскольку протокол IPSec был разработан для защищенных соединений типа «сайт-сайт», он может создавать проблемы для удаленных пользователей, пытающихся подключиться из места с ограниченным числом IP-адресов.

SSL VPN оказался более подходящей основой для разработки SSTP

SSL VPN решает эти проблемы и многое другое. В отличие от базового SSL, SSL VPN защищает весь сеанс работы. Статические IP-адреса не требуются, а клиент в большинстве случаев не нужен.

SSTP - расширение VPN

Развитие SSTP было вызвано проблемами с безопасностью протокола PPTP. SSTP устанавливает соединение по защищенному HTTPS; это позволяет клиентам безопасно получать доступ к сетям за NAT-маршрутизаторами, брандмауэрами и веб-прокси, не беспокоясь о станадартных проблемах блокировки портов.

SSTP не предназначен для VPN-подключений «сайт-сайт», но предназначен для VPN-подключений «клиент-сайт».

Эффективность SSTP достигнута такими особенностями:

  • SSTP использует HTTPS для установки безопасного соединения. Туннель SSTP (VPN) будет работать через Secure-HTTP. Проблемы с VPN-соединениями на основе протокола туннелирования точка-точка (PPTP) или протокола туннелирования уровня 2 (L2TP) будут устранены. Веб-прокси, брандмауэры и маршрутизаторы преобразования сетевых адресов (NAT), расположенные на пути между клиентами и серверами, больше не будут блокировать VPN-подключения.
  • Стандартная блокировка портов уменьшится. Проблемы, связанные с соединениями из-за блокировки портов PPTP GRE или L2TP ESP через брандмауэр или маршрутизатор NAT, не позволяющие клиенту достичь сервера, больше не будут проблемами, т.к. достигается повсеместное подключение. Клиенты смогут подключаться из любого места в интернета.
  • SSTP Client встроен в Windows начиная с версии Vista SP1SSTP не потребует переподготовки, т.к. средства управления VPN для конечных пользователей остаются неизменными. VPN-туннель на основе SSTP подключается непосредственно к текущим интерфейсам клиентского и серверного программного обеспечения Microsoft VPN.
  • Полная поддержка IPv6. Туннель SSTP VPN может быть установлен через интернет-протокол IPv6.
  • Используется встроенная поддержка защиты доступа к сети для проверки исправности клиента.
  • Надежная интеграция с клиентом и сервером MS RRAS, возможность двухфакторной аутентификации.
  • Увеличивается покрытие VPN с нескольких точек до практически любого количества интернет-подключений.
  • SSL-инкапсуляция (защита SSL) для прохождения через порт 443.
  • Может контролироваться и управляться с помощью брандмауэров прикладного уровня, таких как ISA-сервер.
  • Полноценное сетевое VPN-решение, а не туннель приложений (программ) для одного клиента (устройства).
  • Интеграция в NAP.
  • Возможна интеграция и настройка политик для проверки состояния клиента.
  • Один сеанс создан для туннеля SSL.
  • Независимость от приложений.
  • Более сильная принудительная аутентификация, чем IPSec.
  • Поддержка не IP-протоколов, это намного лучше, чем IPSec.
  • Не нужно покупать дорогие, трудно настраиваемые аппаратные брандмауэры, которые не поддерживают интеграцию с Active Directory и встроенную двухфакторную аутентификацию.

Механизм подключения SSTP

"Айдеко"
"Айдеко"

Как работает VPN-соединение на основе SSTP. Семь шагов:

  • Клиенту SSTP нужно интернет-соединение. Как только оно проверено протоколом, устанавливается TCP-соединение с сервером через порт 443.
  • SSL-соединение теперь идет поверх уже установленного TCP-соединения, при котором сертификат сервера подтверждается. Если сертификат действителен, соединение устанавливается, если нет, оно разрывается.
  • Клиент отправляет HTTPS-запрос поверх зашифрованного сеанса SSL на сервер.
  • Далее он отправляет контрольные пакеты SSTP в рамках сеанса HTTPS. Это, в свою очередь, создает систему SSTP с обеих сторон для управления. Теперь обе стороны инициируют связь уровня PPP.
  • Согласование PPP с использованием SSTP через HTTPS происходит с двух сторон. Клиент должен пройти аутентификацию на сервере.
  • Сеанс привязывается к IP-интерфейсу с обеих сторон и IP-адресу, назначенному для маршрутизации трафика.
  • Трафик может проходить через соединение являясь либо IP-трафиком, либо другим.

В Microsoft уверены, что этот протокол поможет облегчить проблемы с VPN-соединениями. Команда RRAS сейчас готовит RRAS для интеграции с SSTP, этот протокол станет частью решения в будущем. Единственным условием на данный момент является то, что клиент запускает сервера Vista и Longhorn. Набор функций, предоставляемый этим небольшим протоколом, является одновременно разнообразным и гибким. Протокол расширяет возможности пользователя и администратора. Предполагаем, что устройства начнут встраивать этот протокол в стек для безопасной связи, и головная боль NAT вскоре будет забыта, когда мы перейдем к решению с поддержкой 443 / SSL.

Вывод

SSTP является отличным дополнением к инструментам VPN и позволяет пользователям удаленно и безопасно подключаться к корпоративной сети. Блокирование удаленного доступа и проблемы NAT, кажется, забыты при использовании этого протокола. Технология стабильна, хорошо документирована и работает. Это отличный продукт, он очень приветствуется в наше время для удаленного доступа.

Шлюз безопасности Ideco UTM поддерживает VPN-протокол SSTP. Если ваши пользователи испытывают проблемы при установлении VPN-подключения по протоколу IPsec, вы можете попробовать использовать SSTP.

Подробнее о VPN-сервере в Ideco UTM смотрите на нашем канале.

66
4 комментария
Anastasia Manakova

Сейчас это особо актуально, спасибо за полезную инфу :)

1
Ответить
Ольга Кузнецова

Основной вывод после прочтения:

Уровень безопасности моей удаленки зависит от выбранного шифра;
Протокол SSTP принадлежит майкрософту и узнать, что там внутри - нереально, если ты не программист майкрософта, насколько я знаю.

Но именно поэтому считается, что этот протокол безопасный, его трудно блокировать со стороны и обнаруживать.

Но вот вопрос. Допустим, надо создать подключения для 100 сотрудников разом? как это сделать?

Ответить
Интернет

Я знаю что вам нужно для этого. Могу подсказать.

Ответить
Аккаунт удален

Комментарий недоступен

Ответить