1.3 Überblick

  • 2/14/2019
  • 2 Minuten zu lesen

Dieses Dokument spezifiziert das Secure Socket Tunneling Protocol(SSTP). SSTP ist ein Mechanismus zur Verkapselung von Point-to-Point Protocol (PPP)-Verkehr über ein HTTPS-Protokoll, wie in , , und spezifiziert. Dieses Protokoll ermöglicht den Benutzern den Zugang zu einem privaten Netz über HTTPS. Die Verwendung von HTTPS ermöglicht es, die meisten Firewalls und Webproxys zu überwinden.

Viele VPN-Dienste bieten mobilen und privaten Benutzern die Möglichkeit, über das Point-to-Point TunnelingProtocol (PPTP) und das Layer Two Tunneling Protocol/Internet Protocol Security (L2TP/IPsec) aus der Ferne auf das Unternehmensnetz zuzugreifen. Mit der Verbreitung von Firewalls und Web-Proxies lassen viele Dienstanbieter, z. B. Hotels, den PPTP- und L2TP/IP-Datenverkehr jedoch nicht zu. Dies führt dazu, dass die Benutzer keine allgegenwärtige Konnektivität zu ihren Unternehmensnetzen erhalten. Ein häufiges Problem bei der Verwendung von PPTP ist zum Beispiel die GRE-Portblockierung (Generic Routing Encapsulation) durch viele Internetdienstanbieter (ISPs).

Dieses Protokoll bietet einen verschlüsselten Tunnel (SSTP-Tunnel) mit Hilfe des SSL/TLS-Protokolls. Wenn ein Client eine SSTP-basierte VPN-Verbindung aufbaut, stellt er zunächst eine TCP-Verbindung zum SSTP-Server über TCP-Port 443 her. Über diese TCP-Verbindung findet ein SSL/TLS-Handshake statt.

Nach erfolgreicher Aushandlung von SSL/TLS sendet der Client eine HTTP-Anfrage mit Inhaltslängenkodierung und großer Inhaltslänge über die SSL-geschützte Verbindung (weitere Einzelheiten siehe Abschnitt 3.2.4.1). Der Server sendet eine HTTP-Antwort mit dem StatusHTTP_STATUS_OK(200) zurück. Die bereits erwähnten Einzelheiten zu Anfrage und Antwort sind in Abschnitt 4.1 zu finden. Die HTTPS-Verbindung ist nun aufgebaut, und der Client kann SSTPControl-Pakete und SSTP-Datenpakete über diese Verbindung senden und empfangen. Der HTTPS-Verbindungsaufbau bei Vorhandensein eines Web-Proxys ist in

SSTP bietet folgende Funktionen:

  • Ermöglicht die Abgrenzung von PPP-Frames von dem kontinuierlichen Datenstrom, der bei Verwendung von HTTPS gesendet wird. Weitere Informationen über PPP finden Sie unter:

  • Aushandlung von Parametern zwischen zwei Einheiten. Weitere Einzelheiten siehe Abschnitt 1.7.

  • Erweiterbares Nachrichtenformat zur Unterstützung neuer Parameter in der Zukunft. Für weitere Informationen siehe Abschnitt 2.2.

  • Sicherheitsoperationen, um zu verhindern, dass ein Man-in-the-Middle-Angreifer PPP-Frames in unangemessener Weise über SSTP weiterleitet. SSTP verwendet das bei der PPP-Authentifizierung erzeugte Schlüsselmaterial für die kryptografische Bindung (Abschnitte 3.2.5.2 und 3.3.5.2.3).

SSTP-Kontrollpakete enthalten Nachrichten zur Aushandlung von Parametern und zur Sicherstellung, dass es keinen nicht vertrauenswürdigen Man-in-the-Middle gibt. SSTPDatenpakete enthalten PPP-Frames als Nutzlast.

In einem SSTP-basierten VPN erfolgt die Aushandlung der Protokollebene in folgender Reihenfolge:

  • Die TCP-Verbindung wird zu einem SSTP-Server über TCP-Port443 aufgebaut.

  • SSL/TLS-Handshake wird abgeschlossen.

  • HTTPS-Anfrage-Antwort wird abgeschlossen.

  • SSTP-Aushandlung beginnt.

  • PPP-Aushandlung wird eingeleitet, und PPP-Authentifizierung wird abgeschlossen oder umgangen.

  • SSTP-Aushandlung wird abgeschlossen.

  • Die PPP-Aushandlung ist abgeschlossen.

  • Die Verbindung geht in einen Bereitschaftszustand für den Transport einer beliebigen Netzwerkschicht (z. B. IP-Pakete) über.

Auf dem Client finden die folgenden Verkapselungsvorgänge statt:

  • Anwendungspakete werden über ein beliebiges Transportprotokoll (z. B. TCP und UDP) verkapselt.

  • Pakete der Transportschicht werden über ein Netzwerkprotokoll (z. B. IP) verkapselt.

  • Pakete der Netzwerkschicht werden über eine PPP-Datenschicht verkapselt.

  • PPP-Pakete werden über SSTP eingekapselt.

  • SSTP-Pakete werden über SSL/TLS eingekapselt.

  • SSL/TLS-Sätze werden über TCP eingekapselt.

  • TCP-Pakete werden über IP gekapselt.

  • IP-Pakete werden über eine beliebige Datenübertragungsschicht (wie Ethernet oderPPP) gesendet. Weitere Informationen über PPP finden Sie unter.

Auf der Serverseite erfolgen die Vorgänge zum Entfernen der Verkapselung in umgekehrter Reihenfolge.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.