Протокол туннелирования защищенных сокетов
Протокол туннелирования защищенных сокетов ( SSTP ) — это форма туннеля виртуальной частной сети (VPN), которая обеспечивает механизм передачи трафика PPP через канал SSL/TLS . SSL/TLS обеспечивает безопасность на транспортном уровне с согласованием ключей, шифрованием и проверкой целостности трафика. Использование SSL/TLS через TCP- порт 443 (по умолчанию; порт можно изменить) позволяет SSTP проходить практически через все брандмауэры и прокси-серверы, за исключением аутентифицированных веб-прокси. [1]
Серверы SSTP должны пройти аутентификацию на этапе SSL/TLS. Клиенты SSTP могут дополнительно проходить проверку подлинности на этапе SSL/TLS и должны проходить проверку подлинности на этапе PPP. Использование PPP позволяет поддерживать распространенные методы аутентификации, такие как EAP-TLS и MS-CHAP .
SSTP доступен для Linux , BSD и Windows . [2]
SSTP доступен в Windows Vista SP1 и более поздних версиях, в RouterOS, начиная с версии 5.0, и в SEIL , начиная с версии прошивки 3.50. Он полностью интегрирован с архитектурой RRAS в этих операционных системах, что позволяет использовать его с Winlogon или аутентификацией по смарт-карте , политиками удаленного доступа и клиентом Windows VPN. [3] Этот протокол также используется Windows Azure для виртуальной сети «точка-сеть». [4]
SSTP предназначен только для удаленного клиентского доступа и обычно не поддерживает VPN-туннели типа «сеть-сеть». [5]
SSTP имеет те же ограничения производительности, что и любой другой туннель IP-over-TCP. В общем, производительность будет приемлемой только до тех пор, пока на нетуннелируемом сетевом канале имеется достаточная избыточная пропускная способность, чтобы гарантировать, что туннелированные таймеры TCP не истечат. Если это окажется неправдой, производительность резко упадет. Это известно как «проблема сбоя TCP». [6] [7]
SSTP поддерживает только аутентификацию пользователя; он не поддерживает аутентификацию устройства или аутентификацию компьютера.
Структура пакета
[ редактировать ]Следующая структура заголовка является общей для всех типов пакетов SSTP: [8]
| Битовое смещение | Биты 0–7 | 8–14 | 15 | 16–31 | ||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 0 | Версия | Сдержанный | С | Длина | ||||||||||||||||||||||||||||
| 32+ | Данные | |||||||||||||||||||||||||||||||
- Версия (8 бит) — сообщает и согласовывает используемую версию SSTP.
- Зарезервировано (7 бит) – зарезервировано для использования в будущем.
- C (1 бит) – бит управления, указывающий, представляет ли пакет SSTP пакет управления SSTP или пакет данных SSTP. Этот бит устанавливается, если пакет SSTP является управляющим пакетом.
- Длина (16 бит) – поле длины пакета, состоящее из двух значений: зарезервированной части и части длины.
- Зарезервировано (4 бита) – зарезервировано для использования в будущем.
- Длина (12 бит) – содержит длину всего SSTP-пакета, включая заголовок SSTP.
- Данные (переменная) – когда установлен бит управления C, это поле содержит управляющее сообщение SSTP. В противном случае поле данных будет содержать протокол более высокого уровня. На данный момент это может быть только ГЧП .
Управляющее сообщение
[ редактировать ]Поле данных заголовка SSTP содержит управляющее сообщение SSTP только в том случае, если установлен бит управления C заголовка.
| Битовое смещение | Биты 0–15 | 16–31 | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 0 | Тип сообщения | Количество атрибутов | ||||||||||||||||||||||||||||||
| 32+ | Атрибуты | |||||||||||||||||||||||||||||||
- Тип сообщения (16 бит) — указывает тип передаваемого управляющего сообщения SSTP. Это определяет количество и типы атрибутов, которые могут передаваться в управляющем пакете SSTP.
- Количество атрибутов (16 бит) – указывает количество атрибутов, добавляемых к управляющему сообщению SSTP.
- Атрибуты (переменная) – содержит список атрибутов, связанных с управляющим сообщением SSTP. Количество атрибутов указывается в поле «Количество атрибутов».
См. также
[ редактировать ]- IP-адрес авторизации
- L2TP/IPsec
- HTTPS
- ОпенВПН
- OpenConnect VPN
- PPTP
- SoftEther VPN — программа VPN-сервера с открытым исходным кодом, поддерживающая протокол SSTP-VPN.
- WireGuard
Ссылки
[ редактировать ]- ^ Джайн, Самир (17 января 2007 г.). «Часто задаваемые вопросы по SSTP. Часть 2. Для конкретного клиента» . Microsoft TechNet . Проверено 17 октября 2015 г.
- ^ «SSTP-Клиент» . 17 сентября 2011 г. Проверено 17 октября 2015 г.
- ^ Таллок, Митч (22 января 2008 г.). «SSTP упрощает безопасный удаленный доступ» . Проверено 17 октября 2015 г.
- ^ Макгуайр, Шерил (11 августа 2015 г.). «Настройка VPN-подключения типа «точка-сеть» к виртуальной сети Azure» . Проверено 17 октября 2015 г.
- ^ Джайн, Самир (10 января 2007 г.). «Часто задаваемые вопросы по SSTP. Часть 1: Общий» . Блоги TechNet . Архивировано из оригинала 12 октября 2010 г.
- ^ Титц, Олаф (23 апреля 2001 г.). «Почему TCP поверх TCP — плохая идея» . Проверено 17 октября 2015 г.
- ^ Хонда, Осаму; Осаки, Хироюки; Имасе, Макото; Исидзука, Мика; Мураяма, Дзюнъити (октябрь 2005 г.). «Понимание TCP через TCP: влияние туннелирования TCP на сквозную пропускную способность и задержку». В Атикуззамане, Мохаммед; Баландин, Сергей I (ред.). Производительность, качество обслуживания и управление коммуникационными и сенсорными сетями следующего поколения III . Том. 6011. с. 60110Х. Бибкод : 2005SPIE.6011..138H . дои : 10.1117/12.630496 . S2CID 8945952 .
- ^ «MS-SSTP: протокол туннелирования защищенных сокетов (SSTP)» . Microsoft TechNet. 16 октября 2015 г. Проверено 17 октября 2015 г.