Протокол туннелирования защищенных сокетов

Форма виртуального частного сетевого туннеля

В компьютерных сетях протокол защищенного туннелирования сокетов ( SSTP ) представляет собой форму туннеля виртуальной частной сети (VPN), которая обеспечивает механизм передачи трафика протокола «точка-точка » (PPP) через канал SSL/TLS .

Протокол

SSL/TLS обеспечивает безопасность на транспортном уровне с согласованием ключей, шифрованием и проверкой целостности трафика. Использование SSL/TLS через порт TCP 443 (по умолчанию; порт можно изменить) позволяет SSTP проходить практически через все брандмауэры и прокси-серверы, за исключением аутентифицированных веб-прокси. ^[1]

Серверы SSTP должны быть аутентифицированы во время фазы SSL/TLS. Клиенты SSTP могут быть опционально аутентифицированы во время фазы SSL/TLS и должны быть аутентифицированы во время фазы PPP. Использование PPP позволяет поддерживать общие методы аутентификации, такие как EAP-TLS и MS-CHAP .

SSTP доступен для Linux , BSD и Windows . ^[2]

SSTP был представлен в 2007 году ^[3] и доступен в Windows Vista SP1 и более поздних версиях, в RouterOS с версии 5.0 и в SEIL с версии прошивки 3.50. Он полностью интегрирован с архитектурой RRAS в этих операционных системах, что позволяет использовать его с Winlogon или аутентификацией по смарт-карте , политиками удаленного доступа и клиентом Windows VPN. ^[4] Протокол также используется Windows Azure для Point-to-Site Virtual Network. ^[5]

SSTP предназначен только для удаленного клиентского доступа, он, как правило, не поддерживает туннели VPN типа «сеть-сеть». ^[6]

SSTP страдает от тех же ограничений производительности, что и любой другой туннель IP-over-TCP. В общем, производительность будет приемлемой только до тех пор, пока на нетуннелируемом сетевом канале достаточно избыточной полосы пропускания, чтобы гарантировать, что туннелируемые таймеры TCP не истекут. Если это становится неверным, производительность резко падает из-за проблемы сбоя TCP . ^{[7] [8]}

SSTP поддерживает только аутентификацию пользователя; он не поддерживает аутентификацию устройства или компьютера.

Структура пакета

Следующая структура заголовка является общей для всех типов пакетов SSTP: ^[9]

• Версия (8 бит) – устанавливает и согласовывает используемую версию SSTP.
• Зарезервировано (7 бит) – зарезервировано для будущего использования.
• C (1 бит) – контрольный бит, указывающий, представляет ли пакет SSTP контрольный пакет SSTP или пакет данных SSTP. Этот бит устанавливается, если пакет SSTP является контрольным пакетом.
• Длина (16 бит) — поле длины пакета, состоящее из двух значений: зарезервированной части и части длины.

• Зарезервировано (4 бита) – зарезервировано для будущего использования.
• Длина (12 бит) – содержит длину всего пакета SSTP, включая заголовок SSTP.

• Данные (переменная) – когда установлен бит управления C, это поле содержит сообщение управления SSTP. В противном случае поле данных будет содержать протокол более высокого уровня. На данный момент это может быть только PPP .

Контрольное сообщение

Поле данных заголовка SSTP содержит управляющее сообщение SSTP только в том случае, если установлен управляющий бит C заголовка.

• Тип сообщения (16 бит) – определяет тип передаваемого контрольного сообщения SSTP. Это определяет количество и типы атрибутов, которые могут передаваться в контрольном пакете SSTP.
• Количество атрибутов (16 бит) — указывает количество атрибутов, добавляемых к управляющему сообщению SSTP.
• Атрибуты (переменная) – содержит список атрибутов, связанных с управляющим сообщением SSTP. Количество атрибутов указывается полем Attributes count.

Смотрите также

• AuthIP
• L2TP/IPsec
• HTTPS
• OpenVPN
• VPN-соединение OpenConnect
• ППТП
• SoftEther VPN — программа VPN-сервера с открытым исходным кодом, поддерживающая протокол SSTP-VPN.
• WireGuard

Ссылки

1. Джейн, Самир (17.01.2007). "SSTP FAQ - Часть 2: Специфика клиента". Microsoft TechNet . Получено 17.10.2015 .
2. "SSTP-Client". 2011-09-17 . Получено 2015-10-17 .
3. "[MS-SSTP]: Протокол туннелирования защищенных сокетов (SSTP)". learn.microsoft.com . 2022-11-04 . Получено 2024-08-30 .
4. Tulloch, Mitch (2008-01-22). "SSTP упрощает безопасный удаленный доступ" . Получено 2015-10-17 .
5. МакГвайр, Шерил (2015-08-11). "Настройка VPN-подключения типа "точка-сеть" к виртуальной сети Azure" . Получено 2015-10-17 .
6. Джейн, Самир (10.01.2007). "SSTP FAQ - Часть 1: Generic". Блоги TechNet . Архивировано из оригинала 12.10.2010.
7. Тиц, Олаф (2001-04-23). ​​"Почему TCP поверх TCP — плохая идея" . Получено 2015-10-17 .
8. Хонда, Осаму; Охсаки, Хироюки; Имасе, Макото; Ишизука, Мика; Мураяма, Дзюнъити (октябрь 2005 г.). "Понимание TCP через TCP: влияние туннелирования TCP на сквозную пропускную способность и задержку". В Atiquzzaman, Mohammed; Баландин, Сергей I (ред.). Производительность, качество обслуживания и управление сетями связи и датчиков следующего поколения III . Том 6011. стр. 60110H. Bibcode : 2005SPIE.6011..138H. doi : 10.1117/12.630496. S2CID  8945952.
9. "MS-SSTP: протокол туннелирования защищенных сокетов (SSTP)". Microsoft TechNet. 2015-10-16 . Получено 2015-10-17 .

Внешние ссылки

• [MS-SSTP]: протокол туннелирования защищенных сокетов (SSTP) по спецификации Microsoft Open.
• Блог RRAS Technet
• Microsoft разрабатывает новый протокол туннелирования
• Как работает VPN-подключение на основе SSTP
• Клиент SSTP от HSC для Linux
• Клиент SSTP для Linux