Протокол безопасного туннелирования сокетов
Статья даст четкое представление о SSTP и сравнит стандартную VPN с SSTP VPN. В статье также будут рассмотрены преимущества одновременного использования SSTP и VPN, а также преимущества использования SSTP.
VPN
Виртуальная частная сеть, также называемая VPN, представляет собой сеть, построенную с использованием общедоступных проводов для соединения узлов, что позволяет пользователю создавать сети для передачи данных. Системы используют шифрование и различные другие меры безопасности, чтобы гарантировать, что данные не будут перехвачены неавторизованными пользователями. В течение многих лет VPN успешно использовалась, но в последнее время возникла проблема из-за увеличения числа организаций, поощряющих доступ пользователей в роуминге. Были рассмотрены альтернативные меры для обеспечения такого типа доступа. Многие организации начали использовать IPSec и SSL VPN в качестве альтернативы. Другой новой альтернативой является SSTP, также называемый «Microsoft SSL VPN».
Проблемы с типичным VPN
VPN обычно используют зашифрованный туннель, который обеспечивает конфиденциальность туннелируемых данных. Делая это, когда туннель проходит через типичные пути NAT, туннель VPN перестает работать. VPN обычно соединяют узел с конечной точкой. Может случиться так, что и узел, и конечная точка имеют один и тот же внутренний адрес локальной сети, и, если задействован NAT, могут возникнуть всевозможные осложнения.
SSL VPN
Secure Socket Layer, также называемый SSL, использует криптографическую систему, которая использует два ключа для шифрования данных: открытый и закрытый ключи. Открытый ключ известен всем, а закрытый только получателю. Через этот SSL создается безопасное соединение между клиентом и сервером. SSL VPN позволяет пользователям устанавливать безопасный удаленный доступ практически из любого веб-браузера, подключенного к Интернету, в отличие от VPN. Препятствие нестабильной связи удалено. При использовании SSL VPN обеспечивается безопасность всего сеанса, в то время как при использовании только SSL это невозможно.
SSTP
Протокол безопасного туннелирования сокетов, также называемый SSTP, по определению является протоколом прикладного уровня. Он предназначен для использования синхронной связи при возвратно-поступательном движении между двумя программами. Это позволяет использовать множество конечных точек приложений по одному сетевому соединению между одноранговыми узлами, тем самым обеспечивая эффективное использование коммуникационных ресурсов, доступных для этой сети.
Протокол SSTP основан на SSL вместо PPTP или IPSec и использует TCP-порт 443 для ретрансляции трафика SSTP. Хотя он тесно связан с SSL, нельзя проводить прямое сравнение между SSL и SSTP, поскольку SSTP является только туннельным протоколом, в отличие от SSL. Существует множество причин для выбора SSL, а не IPSec в качестве основы для SSTP. IPSec направлен на поддержку подключения VPN между сайтами, и, таким образом, SSL был лучшей основой для разработки SSTP, поскольку он поддерживает роуминг. Другими причинами отказа от использования IPSec являются:
- Он не требует строгой аутентификации,
- Пользовательские клиенты должны быть,
- Существуют различия в качестве и кодировании пользовательских клиентов от поставщика к поставщику.
- Протоколы, отличные от IP, по умолчанию не поддерживаются.
- Поскольку IPSec был разработан для безопасных соединений между сайтами, он может создавать проблемы для удаленных пользователей, пытающихся подключиться из места с ограниченным числом IP-адресов.
SSL VPN оказался более совместимой основой для разработки SSTP.
SSL VPN решает эти и другие проблемы. В отличие от базового SSL, SSL VPN защищает весь сеанс. Статические IP-адреса не требуются, а клиент в большинстве случаев не нужен. Поскольку соединения осуществляются через браузер через Интернет, протоколом соединения по умолчанию является TCP/IP. Клиентам, подключающимся через SSL VPN, может быть предоставлен рабочий стол для доступа к сетевым ресурсам. Прозрачный для пользователя трафик с его ноутбука может быть ограничен определенными ресурсами на основе определенных бизнес-критериев.
SSTP — расширение VPN
Разработка SSTP была вызвана отсутствием возможностей VPN. Главный недостаток VPN — нестабильная связь. Это является следствием его недостаточной площади охвата. SSTP повсеместно увеличивает зону покрытия VPN-соединения, избавляя от этой проблемы. SSTP устанавливает соединение через безопасный HTTPS; это позволяет клиентам безопасно получать доступ к сетям за маршрутизаторами NAT, брандмауэрами и веб-прокси, не беспокоясь о типичных проблемах блокировки портов.
SSTP не предназначен для VPN-соединений между сайтами, но предназначен для использования в VPN-подключениях от клиента к сайту.
Успех SSTP можно найти в следующих функциях:
- SSTP использует HTTPS для установки безопасного соединения
- Туннель SSTP (VPN) будет работать через Secure-HTTP. Будут устранены проблемы с VPN-подключениями на основе протокола туннелирования точка-точка (PPTP) или протокола туннелирования уровня 2 (L2TP). Веб-прокси, брандмауэры и маршрутизаторы преобразования сетевых адресов (NAT), расположенные на пути между клиентами и серверами, больше не будут блокировать VPN-подключения.
- Типичная блокировка портов уменьшена
- Блокировка проблем, связанных с соединениями, связанными с блокировкой порта PPTP GRE или блокировкой порта L2TP ESP через брандмауэр или маршрутизатор NAT, препятствующим доступу клиента к серверу, больше не будет проблемой, поскольку достигается повсеместное подключение. Клиенты смогут подключаться из любой точки Интернета.
- SSTP будет встроен в сервер Longhorn
- Клиент SSTP будет встроен в Windows Vista SP1.
- SSTP не потребует переобучения, поскольку элементы управления VPN для конечных пользователей остаются неизменными. Туннель VPN на основе SSTP напрямую подключается к текущим интерфейсам клиентского и серверного программного обеспечения Microsoft VPN.
- Полная поддержка IPv6. Туннель SSTP VPN может быть установлен через Интернет IPv6.
- Он использует интегрированную поддержку защиты доступа к сети для проверки работоспособности клиента.
- Надежная интеграция с клиентом и сервером MS RRAS с возможностью двухфакторной аутентификации.
- Увеличивает покрытие VPN с нескольких точек до практически любого подключения к Интернету.
- Инкапсуляция SSL для обхода порта 443.
- Может контролироваться и управляться с помощью брандмауэров прикладного уровня, таких как сервер ISA.
- Полное сетевое VPN-решение, а не просто туннель приложений для одного приложения.
- Интеграция в НАП.
- Возможна интеграция и настройка политик, чтобы помочь с проверками работоспособности клиентов.
- Один сеанс, созданный для туннеля SSL.
- Независимость от приложений.
- Более сильная принудительная аутентификация, чем IPSec
- Поддержка протоколов, отличных от IP, это значительное улучшение по сравнению с IPSec.
- Нет необходимости покупать дорогие, сложные в настройке аппаратные брандмауэры, которые не поддерживают интеграцию с Active Directory и встроенную двухфакторную аутентификацию.
Рисунок 1.1: Механизм соединения SSTP
Как работает VPN-подключение на основе SSTP: семь шагов
- Клиенту SSTP необходимо подключение к Интернету. Как только это подключение к Интернету проверяется протоколом, устанавливается TCP-соединение с сервером через порт 443.
- Согласование SSL теперь происходит поверх уже установленного TCP-соединения, в результате чего сертификат сервера проверяется. Если сертификат действителен, соединение устанавливается, если нет, соединение разрывается.
- Клиент отправляет запрос HTTPS поверх зашифрованного сеанса SSL на сервер.
- Теперь клиент отправляет управляющие пакеты SSTP в сеансе HTTPS. Это, в свою очередь, устанавливает конечный автомат SSTP на обеих сторонах для целей управления, теперь обе стороны инициируют связь на уровне PPP.
- Согласование PPP с использованием SSTP через HTTPS теперь происходит на обоих концах. Теперь клиент должен пройти аутентификацию на сервере.
- Сеанс теперь привязывается к IP-интерфейсу с обеих сторон и IP-адресу, назначенному для маршрутизации трафика.
- Трафик теперь может проходить через соединение, являясь либо IP-трафиком, либо иным образом.
Microsoft уверена, что этот протокол поможет решить проблемы с VPN-подключением. Команда RRAS сейчас готовит RRAS для интеграции с SSTP, и этот протокол станет частью будущего решения. Единственным предварительным условием в настоящее время является то, что клиент работает под управлением Vista и сервера Longhorn. Набор функций, предоставляемых этим небольшим протоколом, богат и гибок, и этот протокол улучшит работу пользователей и администраторов. Я предсказываю, что устройства начнут включать этот протокол в стек для безопасной связи, и головные боли NAT скоро будут забыты, когда мы перейдем к интегрированному решению 443/SSL.
Вывод
SSTP — отличное дополнение к набору инструментов VPN, позволяющее пользователям удаленно и безопасно подключаться к корпоративной сети. Блокировка удаленного доступа и проблемы NAT, кажется, забываются при использовании этого протокола, и технология стабильна, хорошо документирована и работает. Это отличный продукт, и он очень востребован во времена удаленного доступа.