- 2/14/2019
- 2 Minuten zu lesen
Dieses Dokument spezifiziert das Secure Socket Tunneling Protocol(SSTP). SSTP ist ein Mechanismus zur Verkapselung von Point-to-Point Protocol (PPP)-Verkehr über ein HTTPS-Protokoll, wie in , , und spezifiziert. Dieses Protokoll ermöglicht den Benutzern den Zugang zu einem privaten Netz über HTTPS. Die Verwendung von HTTPS ermöglicht es, die meisten Firewalls und Webproxys zu überwinden.
Viele VPN-Dienste bieten mobilen und privaten Benutzern die Möglichkeit, über das Point-to-Point TunnelingProtocol (PPTP) und das Layer Two Tunneling Protocol/Internet Protocol Security (L2TP/IPsec) aus der Ferne auf das Unternehmensnetz zuzugreifen. Mit der Verbreitung von Firewalls und Web-Proxies lassen viele Dienstanbieter, z. B. Hotels, den PPTP- und L2TP/IP-Datenverkehr jedoch nicht zu. Dies führt dazu, dass die Benutzer keine allgegenwärtige Konnektivität zu ihren Unternehmensnetzen erhalten. Ein häufiges Problem bei der Verwendung von PPTP ist zum Beispiel die GRE-Portblockierung (Generic Routing Encapsulation) durch viele Internetdienstanbieter (ISPs).
Dieses Protokoll bietet einen verschlüsselten Tunnel (SSTP-Tunnel) mit Hilfe des SSL/TLS-Protokolls. Wenn ein Client eine SSTP-basierte VPN-Verbindung aufbaut, stellt er zunächst eine TCP-Verbindung zum SSTP-Server über TCP-Port 443 her. Über diese TCP-Verbindung findet ein SSL/TLS-Handshake statt.
Nach erfolgreicher Aushandlung von SSL/TLS sendet der Client eine HTTP-Anfrage mit Inhaltslängenkodierung und großer Inhaltslänge über die SSL-geschützte Verbindung (weitere Einzelheiten siehe Abschnitt 3.2.4.1). Der Server sendet eine HTTP-Antwort mit dem StatusHTTP_STATUS_OK(200) zurück. Die bereits erwähnten Einzelheiten zu Anfrage und Antwort sind in Abschnitt 4.1 zu finden. Die HTTPS-Verbindung ist nun aufgebaut, und der Client kann SSTPControl-Pakete und SSTP-Datenpakete über diese Verbindung senden und empfangen. Der HTTPS-Verbindungsaufbau bei Vorhandensein eines Web-Proxys ist in
SSTP bietet folgende Funktionen:
-
Ermöglicht die Abgrenzung von PPP-Frames von dem kontinuierlichen Datenstrom, der bei Verwendung von HTTPS gesendet wird. Weitere Informationen über PPP finden Sie unter:
-
Aushandlung von Parametern zwischen zwei Einheiten. Weitere Einzelheiten siehe Abschnitt 1.7.
-
Erweiterbares Nachrichtenformat zur Unterstützung neuer Parameter in der Zukunft. Für weitere Informationen siehe Abschnitt 2.2.
-
Sicherheitsoperationen, um zu verhindern, dass ein Man-in-the-Middle-Angreifer PPP-Frames in unangemessener Weise über SSTP weiterleitet. SSTP verwendet das bei der PPP-Authentifizierung erzeugte Schlüsselmaterial für die kryptografische Bindung (Abschnitte 3.2.5.2 und 3.3.5.2.3).
SSTP-Kontrollpakete enthalten Nachrichten zur Aushandlung von Parametern und zur Sicherstellung, dass es keinen nicht vertrauenswürdigen Man-in-the-Middle gibt. SSTPDatenpakete enthalten PPP-Frames als Nutzlast.
In einem SSTP-basierten VPN erfolgt die Aushandlung der Protokollebene in folgender Reihenfolge:
-
Die TCP-Verbindung wird zu einem SSTP-Server über TCP-Port443 aufgebaut.
-
SSL/TLS-Handshake wird abgeschlossen.
-
HTTPS-Anfrage-Antwort wird abgeschlossen.
-
SSTP-Aushandlung beginnt.
-
PPP-Aushandlung wird eingeleitet, und PPP-Authentifizierung wird abgeschlossen oder umgangen.
-
SSTP-Aushandlung wird abgeschlossen.
-
Die PPP-Aushandlung ist abgeschlossen.
-
Die Verbindung geht in einen Bereitschaftszustand für den Transport einer beliebigen Netzwerkschicht (z. B. IP-Pakete) über.
Auf dem Client finden die folgenden Verkapselungsvorgänge statt:
-
Anwendungspakete werden über ein beliebiges Transportprotokoll (z. B. TCP und UDP) verkapselt.
-
Pakete der Transportschicht werden über ein Netzwerkprotokoll (z. B. IP) verkapselt.
-
Pakete der Netzwerkschicht werden über eine PPP-Datenschicht verkapselt.
-
PPP-Pakete werden über SSTP eingekapselt.
-
SSTP-Pakete werden über SSL/TLS eingekapselt.
-
SSL/TLS-Sätze werden über TCP eingekapselt.
-
TCP-Pakete werden über IP gekapselt.
-
IP-Pakete werden über eine beliebige Datenübertragungsschicht (wie Ethernet oderPPP) gesendet. Weitere Informationen über PPP finden Sie unter.
Auf der Serverseite erfolgen die Vorgänge zum Entfernen der Verkapselung in umgekehrter Reihenfolge.