Secure Socket Tunneling Protocol — Вікіпедія

Secure Socket Tunneling Protocol (протокол безпечного тунелювання сокетів), також званий SSTP — протокол прикладного рівня (application-layer protocol). Він спроектований для створення синхронного взаємозвязку при спільному обміні інформацією двох програм. Завдяки йому можливо утворити декілька підключень програми по одному з'єднанню між вузлами, в результаті чого досягається ефективне використання мережевих ресурсів.

Протокол SSTP заснований на SSL, а не на PPTP або IPSec і використовує TCP порт 443 для передачі трафіку. Хоча він тісно пов'язаний з SSL, не можна робити між ними пряме порівняння, тому що SSTP це лише тунельний протокол на відміну від SSL. Існує кілька причин для вибору SSL, а не IPSec як основи для SSTP. IPSec спрямований на підтримку з'єднання різних мереж типу site-to-site, і тому SSL краще відповідає меті SSTP. Також він підтримує роумінг (roaming).

Інші причини, щоб не використовувати IPSec:

  • Він не забезпечує надійну аутентифікацію
  • Існують відмінності у алгоритмах шифрування які використовують клієнти користувачів.
  • Протоколи окрім IP не підтримуються за умовчанням
  • Оскільки IPSec був розроблений для безпечних з'єднань мереж, то можна легко уявити проблеми віддалених користувачів при підключенні з місця з обмеженим числом IP адрес.

Проблеми з типовою VPN

[ред. | ред. код]

Virtual private network (віртуальна приватна мережа), або такзваний VPN, це мережа яка збирається з використанням спільних елементів для підключення до вузлів, що дозволяє користувачам створювати мережі для передачі даних. Системи використовують шифрування і різні інші заходи безпеки, щоб гарантувати, що дані не будуть перехоплені неавторизованими користувачами. Протягом багатьох років технологія VPN дуже успішно використовувалася, але з недавніх пір це стало проблематичним в результаті збільшення числа організацій, які забезпечують своїм користувачам доступ. Альтернативними заходами стало блокування та підключення такого типу доступу. Багато організацій стали використовувати IPSec і SSL VPN як альтернативу. Ще одна нова альтернатива — це SSTP, який також називають «Microsoft SSL VPN». Зазвичай віртуальні мережі VPN використовують зашифрований тунель, який дозволяє зберегти конфіденційність інформації всередині нього. Але таким чином, якщо маршрут тунелю проходить через типовий фізичний NAT, то тунель VPN перестає працювати. Зазвичай VPN підключає вузол до кінцевого пункту призначення. Але може статися так, що й вузол і пункт призначення мають одну й ту саму внутрішню LAN адресу, і якщо в мережі є NAT, то можуть виникнути різні складнощі.

SSTP — розширення VPN

[ред. | ред. код]

Розробка SSTP була викликана нестачею можливостей VPN. Найголовніший недолік VPN — це нестабільне з'єднання. Це виникає через недостатність областей покриття. SSTP значно розширює зону покриття VPN з'єднання, зводячи тим самим цю проблему до мінімуму. SSTP встановлює з'єднання по безпечному протоколу HTTPS; це надає клієнтам безпечний доступ до мереж за маршрутизаторами, брандмауерами і веб проксі, не піклуючись про звичайні проблеми з блокуванням портів. SSTP не спроектований для з'єднання мереж, а призначений для використання при з’еднанні типу клиєнт-сервер.

Успіх і можливості SSTP

[ред. | ред. код]
  • SSTP використовує HTTPS для встановлення безпечного з'єднання
  • Тунель SSTP (VPN) працює за Secure-HTTP. Буде усунена проблема з VPN сполуками, що працюють по протоколу Point-to-Point Tunneling Protocol (PPTP) або за протоколом Layer 2 Tunneling Protocol (L2TP). Веб проксі, брандмауери і маршрутизатори розташовані на шляху між клієнтом і сервером, більше не блокуватимуть з'єднання VPN.
  • SSTP клієнти вбудовані в операційні системи Microsoft починаючи з Vista
  • SSTP, що працює по VPN тунелю, вбудовується безпосередньо в сокети програмного забезпечення для клієнтів і серверів Microsoft VPN.
  • Повна підтримка IPv6. SSTP VPN тунель можна встановити за протоколом IPv6.
  • Використовується інтегрована підтримка захисту доступу до мережі для перевірки стану клієнта.
  • Сильна аутентифікація на клієнті і сервері MS RRAS, з можливістю двохфакторної аутентифікації.
  • Збільшилася зона покриття VPN до практично будь-якого Інтернет підключення.
  • SSL інкапсуляція по порту 443.
  • Може управлятися і контролюватися за допомогою брандмауерів прикладного рівня, як ISA server.
  • Повністю мережеве рішення VPN, а не просто прикладний тунель для однієї програми.
  • Інтеграція в NAP.
  • Можлива інтеграція та конфігурація за допомогою політик для перевірки стану клієнта.
  • Одна сесія створюється для тунелю SSL.
  • Не залежить від програми.
  • Сильніша аутентифікація проти IPSec
  • Підтримка не IP протоколів — це основне покращення в порівнянні з IPSec.
  • Немає потреби у придбанні дорогого та складного в налаштуванні апаратного брандмауера (hardware firewall), який не підтримує інтеграцію з Active directory і двофакторну аутентифікацію.

Як працює з'єднання SSTP, засноване на VPN?

[ред. | ред. код]
  1. Клієнту SSTP необхідне підключення до інтернет. Після того, як це Інтернет з'єднання підтверджено протоколом, встановлюється TCP з'єднання з сервером по порту 443.
  2. Клієнт посилає HTTPS запит у рамках зашифрованої SSL сесії на сервер.
  3. Далі відбувається SSL узгодження для вже встановленого з'єднання TCP, відповідно до чого перевіряється сертифікат сервера. Якщо сертифікат вірний, то з'єднання встановлюється, в іншому випадку з'єднання обривається.
  4. Тепер клієнт посилає контрольні пакети SSTP всередині сесії HTTPS. Це в свою чергу призводить до встановлення стану SSTP на обох машинах для контрольних цілей, обидві сторони ініціюють взаємодію на рівні PPP.
  5. Далі відбувається PPP узгодження SSTP по HTTPS на обох кінцях. Тепер клієнт повинен пройти аутентифікацію на сервері.
  6. Сесія прив'язується до IP інтерфейсу на обох сторонах і IP адреса призначається для маршрутизації трафіку.
  7. Тепер встановлюється взаємодія, будь це IP трафік, або який-небудь інший.

Компанія Microsoft впевнена, що цей протокол допоможе полегшити проблеми з VPN з'єднанням. Фахівці RRAS тепер готуються до інтеграції RRAS з SSTP, тому протокол буде частиною рішення, яке буде розвиватися далі. Єдина вимога в цей час полягає в тому, що клієнт повинен працювати під управлінням операційних систем Vista та 7. Набір інструментів, що надається цим невеликим протоколом, багатий та дуже гнучкий, тому протокол збільшує досвід користувачів та адміністраторів. Передбачається, що пристрої почнуть вбудовуватися в цей протокол в стек для безпечної взаємодії (stack for secure communication) та проблеми з NAT скоро будуть забуті, тому що ми перейдемо до готового рішенням 443/SSL.

Secure Socket Layer (безпечний рівень сокета), або SSL, це криптографічна система, яка використовує два типи ключів для шифрування даних — відкритий ключ (public) і закритий ключ (private key). Відкритий ключ (public key) відомий всім, а закритий (private) відомий тільки одержувачу. Завдяки цьому SSL створює безпечне з'єднання між клієнтом і сервером. SSL VPN дозволяє користувачам встановити безпечний віддалений доступ з будь-якого підключеного веб браузера, на відміну від інших VPN, яким потрібні клієнти. Бар'єр нестабільного з'єднання більше не проблема. В SSL VPN уся сесія стає безпечною, в той час як при використанні тільки SSL це не досягається.

На відміну від SSL, SSL VPN забезпечує безпеку усієї сесії. Не потрібен статичний IP, а в більшості випадків не потрібний і клієнт. Оскільки з'єднання з Інтернет відбувається через браузер, то за умовчанням використовується протокол підключення TCP/IP. Клієнтам, що підключаються за допомогою SSL VPN, може бути наданий робочий стіл для доступу до мережевих ресурсів. Прозоро для користувача, трафік від їх комп'ютера може бути обмежений для певних ресурсів, на основі критеріїв, описуваних бізнесом.

Висновок

[ред. | ред. код]

SSTP — це прекрасне доповнення до набору інструментів VPN, яке дозволяє користувачам віддалено і безпечно підключатися до корпоративної мережі. Блокування віддаленого доступу і проблеми NAT відходять у минуле при використанні цього протоколу. Вся технологія стабільна, добре документована, і відмінно працює. Це чудовий продукт, і він дуже необхідний тоді, коли необхідний віддалений доступ.

Посилання

[ред. | ред. код]