1.3 Översikt

  • 2/14/2019
  • 2 minuter att läsa

Detta dokument specificerar Secure Socket Tunneling Protocol (SSTP). SSTP är en mekanism för att kapsla in PPP-trafik (Point-to-Point Protocol) över ett HTTPS-protokoll, enligt specifikationerna i , ,och . Detta protokoll gör det möjligt för användare att få tillgång till ett privat nätverk genom att använda HTTPS. Användningen av HTTPS gör det möjligt att passera de flesta brandväggar och webbproxies.

Många VPN-tjänster ger mobila användare och hemanvändare möjlighet att få fjärråtkomst till företagsnätet genom att använda Point-to-Point Tunneling Protocol (PPTP) och Layer Two Tunneling Protocol/Internet Protocol security (L2TP/IPsec). I och med att brandväggar och webbproxies blivit vanligare tillåter dock många tjänsteleverantörer, t.ex. hotell, inte PPTP- och L2TP/IP-sektrafik. Detta leder till att användarna inte får någon allestädes närvarande uppkoppling till sina företagsnätverk. Till exempel är portblockering av GRE (generic routing encapsulation) hos många Internetleverantörer (ISP) ett vanligt problem när PPTP används.

Detta protokoll tillhandahåller en krypterad tunnel (en SSTP-tunnel) med hjälp av SSL/TLS-protokollet. När en klient upprättar en SSTP-baserad VPN-anslutning upprättar den först en TCP-anslutning till SSTP-servern via TCP-port 443. SSL/TLS handshake sker över denna TCP-anslutning.

När förhandlingarna om SSL/TLS har lyckats skickar klienten en HTTP-förfrågan med innehållslängdskodning och stor innehållslängd på den SSL-skyddade anslutningen (se avsnitt 3.2.4.1 för mer information). Servern skickar tillbaka ett HTTP-svar med statusHTTP_STATUS_OK(200). De specifika detaljerna om begäran och svar som diskuterades tidigare finns i avsnitt 4.1. HTTPS-anslutningen är nu upprättad och klienten kan skicka och ta emot SSTPC-kontrollpaket och SSTP-datapaket på denna anslutning. Upprättande av HTTPS-anslutning när en webbproxy är närvarande specificeras i .

SSTP utför följande funktioner:

  • Tillåter avgränsning av PPP-ramar från den kontinuerliga dataström som sänds med hjälp av HTTPS. För mer information om PPP, se .

  • Förhandling av parametrar mellan två enheter. Se avsnitt 1.7 för mer information.

  • Utökbart meddelandeformat för att stödja nya parametrar i framtiden. För mer information, se avsnitt 2.2.

  • Säkerhetsåtgärder för att förhindra att en man-in-the-middle-attackerare vidarebefordrar PPP-ramar på ett olämpligt sätt över SSTP. SSTP använder nyckelmaterial som genereras under PPP-autentisering för kryptobindning (avsnitt 3.2.5.2 och 3.3.5.2.3).

SSTP-kontrollpaket innehåller meddelanden för att förhandla fram parametrar och för att se till att det inte finns någon opålitlig man-in-the-middle. SSTPDatapaket innehåller PPP-ramar som nyttolast.

I ett SSTP-baserat VPN sker förhandlingen av protokollskiktet i följande ordning:

  • TCP-anslutningen upprättas till en SSTP-server över TCP-port 443.

  • SSL/TLS-handshake är slutfört.

  • HTTPS-förfrågan-svar är slutfört.

  • SSTP-förhandling inleds.

  • PPP-förhandling inleds och PPP-autentisering avslutas eller förbigås.

  • SSTP-förhandling avslutas.

  • PPP-förhandlingen är avslutad.

  • Anslutningen går in i ett färdigt tillstånd för transport av något nätverkslager (t.ex. IP-paket).

Följande inkapslingsoperationer sker på klienten:

  • Applikationspaket inkapslas över ett transportprotokoll (t.ex. TCP och UDP).

  • Transportlagerpaket inkapslas över ett nätverksprotokoll (t.ex. IP).

  • Nätverkskiktspaket inkapslas över ett PPP-datalager.

  • PPP-paket kapslas in över SSTP.

  • SSTP-paket kapslas in över SSL/TLS.

  • SSL/TLS-poster kapslas in över TCP.

  • TCP-paket kapslas in över IP.

  • IP-paket skickas över något datalänkskikt (t.ex. Ethernet ellerPPP). Mer information om PPP finns i .

På serversidan sker åtgärderna för att ta bort inkapslingen i omvänd ordning.

Lämna ett svar

Din e-postadress kommer inte publiceras.