Secure Socket Tunneling Protocol

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Secure Socket Tunneling Protocol (протокол безпечного тунелювання сокетів), також званий SSTP — протокол прикладного рівня (application-layer protocol). Він спроектований для створення синхронного взаємозвязку при спільному обміні двох програм. Завдяки йому можливо кілька підключень програми по одному з'єднанню між вузлами, в результаті чого досягається ефективне використання мережевих ресурсів, які доступні в цій мережі.

Протокол SSTP заснований SSL, а не на PPTP або IPSec і використовує TCP Port 443 для передачі трафіку SSTP. Хоча він тісно пов'язаний з SSL, не можна зробити прямого порівняння між SSL і SSTP, тому що SSTP лише тунельний протокол (tunneling protocol) на відміну від SSL. Існує кілька причин для вибору SSL, а не IPSec як основи для SSTP. IPSec спрямований на підтримку з'єднання (site-to-site VPN connectivity), і тому SSL має кращу основу для розробки SSTP, тому що він підтримує роумінг (roaming). Інші причини, щоб не використовувати IPSec:

  • Він не забезпечує сильної аутентифікації (strong authentication)
  • Існують відмінності в якості та кодуванні клієнтів користувачів від постачальника до поставщика.
  • Не IP протоколи не підтримуються за замовчуванням
  • Оскільки IPSec був розроблений для безпечних з'єднань site to site secure connections, тому легко уявити проблеми віддалених користувачів при підключенні з місця з обмеженим числом IP адрес.

Проблеми з типовою VPN[ред.ред. код]

Virtual private network (віртуальна приватна мережа), або такзваний VPN, це мережа яка збирається з використанням спільних елементів для підключення до вузлів, що дозволяє користувачам створювати мережі для передачі даних. Системи використовують шифрування і різні інші заходи безпеки, щоб гарантувати, що дані не будуть перехоплені неавторизованих користувачів. Протягом багатьох років VPN дуже успішно використовувалося, але з недавніх пір її використання стало проблематичним в результаті збільшення числа організацій, які забезпечують своїм користувачам доступ. Альтернативними заходами стало блокування та підключення такого типу доступу. Багато організацій стали використовувати IPSec і SSL VPN як альтернативу. Ще одна нова альтернатива — це SSTP, який також називають «Microsoft SSL VPN». Зазвичай віртуальні мережі VPN використовують зашифрований тунель (encrypted tunnel), який дозволяє зберегти конфіденційність проходять по ньому даних (tunneled data). Але таким чином, якщо маршрут тунелю проходить через типовий фізичний NAT, то тунель VPN перестає працювати. Зазвичай VPN підключає вузол до кінцевого пункту призначення. Але може статися так, що й вузол і пункт призначення мають один і той же внутрішній LAN адресу, якщо залучений NAT, то можуть виникнути різні складнощі.

SSTP — розширення VPN[ред.ред. код]

Розробка SSTP була викликана нестачею можливостей VPN. Найголовніший недолік VPN — це нестабільне з'єднання. Це виникає через недостатність областей покриття. SSTP значно розширює зону покриття VPN з'єднання, зводячи тим самим цю проблему до мінімуму. SSTP встановлює з'єднання з безпечного протоколу HTTPS; це надає клієнтам безпечний доступ до мереж за маршрутизаторами NAT router, брандмауерами (firewall) і веб проксі (web proxies), не піклуючись про звичайні проблеми з блокуванням портів. SSTP не спроектована для з'єднання (site to site VPN connections), а призначений для використання при з'єднанні (client to site VPN connections).

Успіх і можливості SSTP[ред.ред. код]

  • SSTP використовує HTTPS для встановлення безпечного з'єднання
  • Тунель SSTP (VPN) буде працювати за Secure-HTTP. Буде усунена проблема з VPN сполуками, що працюють по протоколу Point-to-Point Tunneling Protocol (PPTP) або за протоколом Layer 2 Tunneling Protocol (L2TP). Веб проксі (Web proxies), брандмауери (firewall) і маршрутизатори Network Address Translation (NAT) routers, розташовані на шляху між клієнтом і сервером, більше не блокуватимуть з'єднання VPN.
  • Знижується кількість проблем зі звичайною блокуванням портів
  • Проблеми з блокуванням з'єднання щодо блокування порту PPTP GRE або L2TP ESP на брандмауері (firewall) або NAT router, які не дозволяли клієнту підключитися до сервера, більше не є проблемою, тому що досягається повсюдне з'єднання. Клієнти можуть підключатися з будь-якого місця в інтернет.
  • SSTP вбудований в операційну систему Longhorn server
  • SSTP Client вбудований в операційну систему Windows Vista SP1
  • SSTP не викликає нових проблем, тому що контроль кінцевих користувачів end-user VPN controls залишається незмінним. SSTP, що працює по VPN тунелю, вбудовується безпосередньо в інтерфейси для програмного забезпечення для клієнтів і серверів Microsoft VPN.
  • Повна підтримка IPv6. SSTP VPN тунель можна встановити за протоколом IPv6.
  • Використовується інтегрована підтримка захисту доступу до мережі (network access protection) для перевірки стану клієнта.
  • Сильна аутентифікація (Strong integration) на клієнті і сервері MS RRAS, з можливістю двох факторної автентифікації (two factor authentication).
  • Збільшилася зона покриття VPN від декількох точок до практично будь-якого Інтернет підключення.
  • SSL інкапсуляція простежування по порту 443.
  • Може управлятися і контролюватися за допомогою брандмауерів прикладного рівня, як ISA server.
  • Повністю мережеве рішення VPN, а не просто прикладної тунель для однієї програми.
  • Інтеграція в NAP.
  • Можлива інтеграція та конфігурація за допомогою політик для перевірки стану клієнта.
  • Одна сесія створюється для тунелю SSL.
  • Не залежить від програми.
  • Сильніша аутентифікація проти IPSec
  • Підтримка не IP протоколів — це основне покращення в порівнянні з IPSec.
  • Немає потреби в покупці дорогого і труднонастраіваемого апаратного брандмауера (hardware firewall), який не підтримує інтеграцію з Active directory і двох факторну аутентифікацію.

Як працює з'єднання SSTP, засноване на VPN?[ред.ред. код]

  1. Клієнту SSTP необхідне підключення до інтернет. Після того, як це Інтернет з'єднання підтверджено протоколом, встановлюється TCP з'єднання з сервером по порту 443.
  2. Клієнт посилає HTTPS запит в рамках зашифрованою SSL сесії на сервер.
  3. Далі відбувається SSL узгодження для вже встановленого з'єднання TCP, відповідно до чого перевіряється сертифікат сервера. Якщо сертифікат вірний, то з'єднання встановлюється, у йому випадку з'єднання обривається.
  4. Тепер клієнт посилає контрольні пакети SSTP control packet всередині сесії HTTPS(session). Це в свою чергу призводить до встановлення стану SSTP на обох машинах для контрольних цілей, обидві сторони ініціюють взаємодія на рівні PPP.
  5. Далі відбувається PPP узгодження SSTP по HTTPS але обох кінцях. Тепер клієнт повинен пройти аутентифікацію на сервері.
  6. Сесія тепер прив'язується до IP інтерфейсу на обох сторонах і IP адреса призначається для маршрутизації трафіку.
  7. Тепер встановлюється взаємодія, будь це IP трафік, або який-небудь інший.

Компанія Microsoft впевнена, що цей протокол допоможе полегшити проблеми з VPN з'єднанням. Фахівці RRAS тепер готуються до інтеграції RRAS з SSTP, тому протокол буде частиною рішення, яке буде розвиватися далі. Єдина вимога в цей час полягає в тому, що клієнт повинен працювати під управлінням операційних систем Vista і Longhorn і надавно стала можливість у Windows 7. Набір інструментів, що надається цим невеликим протоколом, є багатим і дуже гнучким, тому протокол збільшить досвід користувачів та адміністраторів. Передбачається, що пристрої почнуть вбудовуватися в цей протокол в стек для безпечної взаємодії (stack for secure communication) та проблеми з NAT скоро будуть забуті, тому що ми перейдемо до готового рішенням 443/SSL.

SSL VPN[ред.ред. код]

Secure Socket Layer (безпечний рівень сокета), або SSL, використовує криптографічну систему (cryptographic system), яка використовує два типи ключів для шифрування даних — відкритий ключ (public) і закритий ключ (private key). Відкритий ключ (public key) відомий всім, а закритий (private) відомий тільки одержувачу. Завдяки цьому SSL створюється безпечне з'єднання між клієнтом і сервером. SSL VPN дозволяє користувачам встановити безпечний віддалений доступ від будь-якого віртуально підключеного веб браузера (web browser), на відміну від VPN. Бар'єр нестабільного з'єднання забирається. При SSL VPN вся сесія стає безпечною, в той час як при використанні тільки SSL це не досягається.

SSL VPN доведено є придатнішою основою для розробки SSTP. SSL VPN вирішує ці проблеми і багато інших. На відміну від основи SSL, SSL VPN забезпечує безпечної всієї сесії. Не потрібен статичний IP, а в більшості випадків не потрібно клієнт. Оскільки з'єднання з Інтернет відбувається через браузер, то за замовчуванням протокол підключення TCP / IP. Клієнтам, підключається за допомогою SSL VPN, може бути наданий робочий стіл для доступу до мережевих ресурсів. Прозоро для користувача, трафік від їх комп'ютера може бути обмежений для певних ресурсів, на основі критеріїв, описуваних бізнесом.

Висновок[ред.ред. код]

SSTP — це прекрасне доповнення до набору інструментів VPN (toolkit), яке дозволяє користувачам віддалено і безпечно підключатися до корпоративної мережі (corporate network). Блокування віддаленого доступу і проблеми NAT відходять у минуле при використанні цього протоколу. Вся технологія стабільна, добре документована, і відмінно працює. Це чудовий продукт, і він дуже необхідний тоді, коли необхідний віддалений доступ.

Посилання[ред.ред. код]