1.3 Overview

  • 2/14/2019
  • 2 minutes to read

この文書は、Secure Socket Tunneling Protocol(SSTP)を規定するものである。 SSTPは、Point-to-Point Protocol(PPP)トラフィックをHTTPSプロトコル上でカプセル化するメカニズムであり、 、 、 、 で規定されているとおりである。 このプロトコルにより,ユーザは HTTPS を使ってプライベートネットワークにアクセスすることができる.

Many VPN services provide a way for mobile and home users toaccess the corporate network remote by using the Point-to-Point TunnelingProtocol (PPTP) and the Layer Two Tunneling Protocol/Internet Protocol security (L2TP/IPsec). しかし、ファイアウォールやWebプロキシの普及により、ホテルなどのサービスプロバイダはPPTPやL2TP/IPのトラフィックを許可しない場合が多くなっています。 この結果、ユーザーは企業ネットワークへのユビキタス接続を得られない。 例えば、多くのインターネットサービスプロバイダ(ISP)によるGRE(Generic Routing Encapsulation)ポートブロックは、PPTP使用時によくある問題です。

このプロトコルは、SSL/TLSプロトコルによって暗号化トンネル(SSTPtunnel)を提供します。 クライアントが SSTP ベースの VPN 接続を確立する場合、まず、TCP ポート 443 上で SSTP サーバーへの TCP 接続を確立します。 SSL/TLS のネゴシエーションに成功すると、クライアントは SSL 保護された接続でコンテンツ長エンコードと大きなコンテンツ長を持つ HTTP 要求を送信します (詳細については 3.2.4.1 節を参照してください)。 サーバはHTTPレスポンスをstatusHTTP_STATUS_OK(200)で返します。 先に説明したリクエストとレスポンスの具体的な内容は、4.1節で確認することができます。 これでHTTPS接続が確立され、クライアントはこの接続でSSTPC制御パケットと SSTPデータパケットを送受信できるようになった。 Web プロキシが存在する場合の HTTPS 接続の確立については、「

SSTP は次の機能を実行します:

  • HTTPS を使用して送信する連続ストリーム ofdata から PPP フレームを区別できるようにします。 PPPの詳細については、

  • 2つのエンティティ間のパラメータのネゴシエーションを参照してください。 詳細は1.7節を参照。

  • 将来的に新しいパラメータをサポートするために拡張可能なメッセージ形式。 詳細は 2.2 節を参照。

  • 中間者攻撃者が PPP フレームを SSTP 上で不適切に中継しないためのセキュリティ操作。 SSTPは、PPP認証時に生成されたキーイングマテリアルを使用して、暗号バインディングを行う(3.2.5.2および3.3.5.2.3項)。

SSTP Control Packetにはパラメータを交渉するメッセージおよび信頼できない介入者のないことを確認するためのメッセージが含まれています。

  • TCP ポート443を介して SSTP サーバーに TCP 接続が確立されます。

  • SSL/TLS ハンドシェイクが完了します。

  • SSTPネゴシエーションが始まる。

  • PPPネゴシエーションが始まり、PPP認証が完了またはバイパスされる。

  • SSTPネゴシエーションが完了する。

  • PPPネゴシエーションが完了しました。

  • 接続は、任意のネットワーク層(例えば、IPパケット)の輸送の準備状態に入りました。

次のカプセル化操作がクライアントで発生します。

  • アプリケーションパケットは任意のトランスポートプロトコル(TCPやUDPなど)上でカプセル化されます。

  • トランスポート層パケットはネットワークプロトコル(IPなど)でカプセル化されます。

  • ネットワーク層パケットはPPPデータリンク層でカプセル化されます。

  • PPPパケットはSSTP上でカプセル化される。

  • SSTPパケットはSSL/TLS上でカプセル化される。

  • SSL/TSレコードはTCP上にカプセル化される。

  • TCP パケットは IP でカプセル化されます。

  • IP パケットは任意のデータリンク層 (Ethernet や PPP など) で送られます。 PPP の詳細については、.

サーバー側では、カプセル化を解除する操作は逆の順序で行われます.

サーバー側では、カプセル化を解除する操作は逆の順序で行われます.

コメントを残す

メールアドレスが公開されることはありません。