Secure Socket Tunneling Protocol

Secure Socket Tunneling Protocol (протокол безпечного тунелювання сокетів), також званий SSTP — протокол прикладного рівня (application-layer protocol). Він спроектований для створення синхронного взаємозвязку при спільному обміні інформацією двох програм. Завдяки йому можливо утворити декілька підключень програми по одному з'єднанню між вузлами, в результаті чого досягається ефективне використання мережевих ресурсів.

Протокол SSTP заснований на SSL, а не на PPTP або IPSec і використовує TCP порт 443 для передачі трафіку. Хоча він тісно пов'язаний з SSL, не можна робити між ними пряме порівняння, тому що SSTP це лише тунельний протокол на відміну від SSL. Існує кілька причин для вибору SSL, а не IPSec як основи для SSTP. IPSec спрямований на підтримку з'єднання різних мереж типу site-to-site, і тому SSL краще відповідає меті SSTP. Також він підтримує роумінг (roaming).

Інші причини, щоб не використовувати IPSec:

  • Він не забезпечує надійну аутентифікацію
  • Існують відмінності у алгоритмах шифрування які використовують клієнти користувачів.
  • Протоколи окрім IP не підтримуються за умовчанням
  • Оскільки IPSec був розроблений для безпечних з'єднань мереж, то можна легко уявити проблеми віддалених користувачів при підключенні з місця з обмеженим числом IP адрес.

Проблеми з типовою VPN

Virtual private network (віртуальна приватна мережа), або такзваний VPN, це мережа яка збирається з використанням спільних елементів для підключення до вузлів, що дозволяє користувачам створювати мережі для передачі даних. Системи використовують шифрування і різні інші заходи безпеки, щоб гарантувати, що дані не будуть перехоплені неавторизованими користувачами. Протягом багатьох років технологія VPN дуже успішно використовувалася, але з недавніх пір це стало проблематичним в результаті збільшення числа організацій, які забезпечують своїм користувачам доступ. Альтернативними заходами стало блокування та підключення такого типу доступу. Багато організацій стали використовувати IPSec і SSL VPN як альтернативу. Ще одна нова альтернатива — це SSTP, який також називають «Microsoft SSL VPN». Зазвичай віртуальні мережі VPN використовують зашифрований тунель, який дозволяє зберегти конфіденційність інформації всередині нього. Але таким чином, якщо маршрут тунелю проходить через типовий фізичний NAT, то тунель VPN перестає працювати. Зазвичай VPN підключає вузол до кінцевого пункту призначення. Але може статися так, що й вузол і пункт призначення мають одну й ту саму внутрішню LAN адресу, і якщо в мережі є NAT, то можуть виникнути різні складнощі.

SSTP — розширення VPN

Розробка SSTP була викликана нестачею можливостей VPN. Найголовніший недолік VPN — це нестабільне з'єднання. Це виникає через недостатність областей покриття. SSTP значно розширює зону покриття VPN з'єднання, зводячи тим самим цю проблему до мінімуму. SSTP встановлює з'єднання по безпечному протоколу HTTPS; це надає клієнтам безпечний доступ до мереж за маршрутизаторами, брандмауерами і веб проксі, не піклуючись про звичайні проблеми з блокуванням портів. SSTP не спроектований для з'єднання мереж, а призначений для використання при з’еднанні типу клиєнт-сервер.

Успіх і можливості SSTP

  • SSTP використовує HTTPS для встановлення безпечного з'єднання
  • Тунель SSTP (VPN) працює за Secure-HTTP. Буде усунена проблема з VPN сполуками, що працюють по протоколу Point-to-Point Tunneling Protocol (PPTP) або за протоколом Layer 2 Tunneling Protocol (L2TP). Веб проксі, брандмауери і маршрутизатори розташовані на шляху між клієнтом і сервером, більше не блокуватимуть з'єднання VPN.
  • SSTP клієнти вбудовані в операційні системи Microsoft починаючи з Vista
  • SSTP, що працює по VPN тунелю, вбудовується безпосередньо в сокети програмного забезпечення для клієнтів і серверів Microsoft VPN.
  • Повна підтримка IPv6. SSTP VPN тунель можна встановити за протоколом IPv6.
  • Використовується інтегрована підтримка захисту доступу до мережі для перевірки стану клієнта.
  • Сильна аутентифікація на клієнті і сервері MS RRAS, з можливістю двохфакторної аутентифікації.
  • Збільшилася зона покриття VPN до практично будь-якого Інтернет підключення.
  • SSL інкапсуляція по порту 443.
  • Може управлятися і контролюватися за допомогою брандмауерів прикладного рівня, як ISA server.
  • Повністю мережеве рішення VPN, а не просто прикладний тунель для однієї програми.
  • Інтеграція в NAP.
  • Можлива інтеграція та конфігурація за допомогою політик для перевірки стану клієнта.
  • Одна сесія створюється для тунелю SSL.
  • Не залежить від програми.
  • Сильніша аутентифікація проти IPSec
  • Підтримка не IP протоколів — це основне покращення в порівнянні з IPSec.
  • Немає потреби у придбанні дорогого та складного в налаштуванні апаратного брандмауера (hardware firewall), який не підтримує інтеграцію з Active directory і двофакторну аутентифікацію.

Як працює з'єднання SSTP, засноване на VPN?

  1. Клієнту SSTP необхідне підключення до інтернет. Після того, як це Інтернет з'єднання підтверджено протоколом, встановлюється TCP з'єднання з сервером по порту 443.
  2. Клієнт посилає HTTPS запит у рамках зашифрованої SSL сесії на сервер.
  3. Далі відбувається SSL узгодження для вже встановленого з'єднання TCP, відповідно до чого перевіряється сертифікат сервера. Якщо сертифікат вірний, то з'єднання встановлюється, в іншому випадку з'єднання обривається.
  4. Тепер клієнт посилає контрольні пакети SSTP всередині сесії HTTPS. Це в свою чергу призводить до встановлення стану SSTP на обох машинах для контрольних цілей, обидві сторони ініціюють взаємодію на рівні PPP.
  5. Далі відбувається PPP узгодження SSTP по HTTPS на обох кінцях. Тепер клієнт повинен пройти аутентифікацію на сервері.
  6. Сесія прив'язується до IP інтерфейсу на обох сторонах і IP адреса призначається для маршрутизації трафіку.
  7. Тепер встановлюється взаємодія, будь це IP трафік, або який-небудь інший.

Компанія Microsoft впевнена, що цей протокол допоможе полегшити проблеми з VPN з'єднанням. Фахівці RRAS тепер готуються до інтеграції RRAS з SSTP, тому протокол буде частиною рішення, яке буде розвиватися далі. Єдина вимога в цей час полягає в тому, що клієнт повинен працювати під управлінням операційних систем Vista та 7. Набір інструментів, що надається цим невеликим протоколом, багатий та дуже гнучкий, тому протокол збільшує досвід користувачів та адміністраторів. Передбачається, що пристрої почнуть вбудовуватися в цей протокол в стек для безпечної взаємодії (stack for secure communication) та проблеми з NAT скоро будуть забуті, тому що ми перейдемо до готового рішенням 443/SSL.

SSL VPN

Secure Socket Layer (безпечний рівень сокета), або SSL, це криптографічна система, яка використовує два типи ключів для шифрування даних — відкритий ключ (public) і закритий ключ (private key). Відкритий ключ (public key) відомий всім, а закритий (private) відомий тільки одержувачу. Завдяки цьому SSL створює безпечне з'єднання між клієнтом і сервером. SSL VPN дозволяє користувачам встановити безпечний віддалений доступ з будь-якого підключеного веб браузера, на відміну від інших VPN, яким потрібні клієнти. Бар'єр нестабільного з'єднання більше не проблема. В SSL VPN уся сесія стає безпечною, в той час як при використанні тільки SSL це не досягається.

На відміну від SSL, SSL VPN забезпечує безпеку усієї сесії. Не потрібен статичний IP, а в більшості випадків не потрібний і клієнт. Оскільки з'єднання з Інтернет відбувається через браузер, то за умовчанням використовується протокол підключення TCP/IP. Клієнтам, що підключаються за допомогою SSL VPN, може бути наданий робочий стіл для доступу до мережевих ресурсів. Прозоро для користувача, трафік від їх комп'ютера може бути обмежений для певних ресурсів, на основі критеріїв, описуваних бізнесом.

Висновок

SSTP — це прекрасне доповнення до набору інструментів VPN, яке дозволяє користувачам віддалено і безпечно підключатися до корпоративної мережі. Блокування віддаленого доступу і проблеми NAT відходять у минуле при використанні цього протоколу. Вся технологія стабільна, добре документована, і відмінно працює. Це чудовий продукт, і він дуже необхідний тоді, коли необхідний віддалений доступ.

Посилання

 

Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi