1.3 Overview

  • 2/14/2019
  • 2 minutes to read

Este documento especifica el Protocolo de Túnel de Socket Seguro(SSTP). SSTP es un mecanismo para encapsular el tráfico del Protocolo Punto a Punto (PPP) sobre un protocolo HTTPS, como se especifica en , ,y . Este protocolo permite a los usuarios acceder a una red privada utilizando HTTPS. El uso de HTTPS permite atravesar la mayoría de los cortafuegos y proxies web.

Muchos servicios de VPN ofrecen a los usuarios móviles y domésticos una forma de acceder a la red corporativa de forma remota utilizando el protocolo de túnel punto a punto (PPTP) y el protocolo de túnel de capa dos/protocolo de seguridad de Internet (L2TP/IPsec). Sin embargo, con la popularización de los cortafuegos y los proxies web, muchos proveedores de servicios, como los hoteles, no permiten el tráfico PPTP y L2TP/IPsec. Esto hace que los usuarios no reciban una conectividad ubicua a sus redes corporativas. Por ejemplo, el bloqueo de puertos de encapsulación de enrutamiento genérico (GRE) por parte de muchos proveedores de servicios de Internet (ISP) es un problema común cuando se utiliza PPTP.

Este protocolo proporciona un túnel cifrado (un túnel SSTP) mediante el protocolo SSL/TLS. Cuando un cliente establece una conexión VPN basada en SSTP, primero establece una conexión TCP con el servidor SST a través del puerto TCP 443. Tras la negociación exitosa de SSL/TLS, el cliente envía una solicitud HTTP con codificación de longitud de contenido y una gran longitud de contenido en la conexión protegida por SSL (véase la sección 3.2.4.1 para más detalles). El servidor devuelve una respuesta HTTP con el estadoHTTP_STATUS_OK(200). Los detalles específicos de la solicitud y la respuesta que se han discutido anteriormente se pueden encontrar en la sección 4.1. La conexión HTTPS está ahora establecida, y el cliente puede enviar y recibir paquetes de control SSTPC y paquetes de datos SSTP en esta conexión. El establecimiento de la conexión HTTPS cuando hay un proxy web se especifica en .

SSTP realiza las siguientes funciones:

  • Permitir la delimitación de las tramas PPP del flujo continuo de datos que se envía al utilizar HTTPS. Para más información sobre PPP, véase .

  • Negociación de parámetros entre dos entidades. Para más información, véase la sección 1.7.

  • Formato de mensaje extensible para soportar nuevos parámetros en el futuro. Para más información, véase la sección 2.2.

  • Operaciones de seguridad para evitar que un atacante man-in-the-middle retransmita tramas PPP de forma inapropiada a través de SSTP. SSTP utiliza material de clave generado durante la autenticación PPP para el enlace criptográfico (secciones 3.2.5.2 y 3.3.5.2.3).

Los paquetes de control SSTTP contienen mensajes para negociar parámetros y para asegurar que no hay un hombre en el medio que no sea de confianza. Los paquetes de datos SSTP contienen tramas PPP como carga útil.

En una VPN basada en SSTP, la negociación de la capa de protocolo se produce en el siguiente orden:

  • Se establece la conexión TCP con un servidor SSTP a través del puerto TCP443.

  • Se completa el handshake SSL/TLS.

  • Se completa la petición-respuesta HTTPS.

  • Se inicia la negociación SSTP.

  • Se inicia la negociación PPP y se completa o se evita la autenticación PPP.

  • Se completa la negociación SSTP.

  • Se ha completado la negociación PPP.

  • La conexión entra en un estado listo para el transporte de cualquier capa de red (por ejemplo, paquetes IP).

Las siguientes operaciones de encapsulación ocurren en el cliente:

  • Los paquetes de aplicación se encapsulan sobre cualquier protocolo de transporte (por ejemplo, TCP y UDP).

  • Los paquetes de la capa de transporte se encapsulan sobre un protocolo de red (por ejemplo, IP).

  • Los paquetes de la capa de red se encapsulan sobre una capa de datos PPP.

  • Los paquetes PPP se encapsulan sobre SSTP.

  • Los paquetes SSTP se encapsulan sobre SSL/TLS.

  • Los registros SSL/TLS se encapsulan sobre TCP.

  • Los paquetes TCP se encapsulan sobre IP.

  • Los paquetes IP se envían sobre cualquier capa de enlace de datos (como Ethernet oPP). Para más información sobre PPP, consulte.

En el lado del servidor, las operaciones para eliminar la encapsulaciónocurren en orden inverso.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.