- 2/14/2019
- 2 minutes to read
この文書は、Secure Socket Tunneling Protocol(SSTP)を規定するものである。 SSTPは、Point-to-Point Protocol(PPP)トラフィックをHTTPSプロトコル上でカプセル化するメカニズムであり、 、 、 、 で規定されているとおりである。 このプロトコルにより,ユーザは HTTPS を使ってプライベートネットワークにアクセスすることができる.
Many VPN services provide a way for mobile and home users toaccess the corporate network remote by using the Point-to-Point TunnelingProtocol (PPTP) and the Layer Two Tunneling Protocol/Internet Protocol security (L2TP/IPsec). しかし、ファイアウォールやWebプロキシの普及により、ホテルなどのサービスプロバイダはPPTPやL2TP/IPのトラフィックを許可しない場合が多くなっています。 この結果、ユーザーは企業ネットワークへのユビキタス接続を得られない。 例えば、多くのインターネットサービスプロバイダ(ISP)によるGRE(Generic Routing Encapsulation)ポートブロックは、PPTP使用時によくある問題です。
このプロトコルは、SSL/TLSプロトコルによって暗号化トンネル(SSTPtunnel)を提供します。 クライアントが SSTP ベースの VPN 接続を確立する場合、まず、TCP ポート 443 上で SSTP サーバーへの TCP 接続を確立します。 SSL/TLS のネゴシエーションに成功すると、クライアントは SSL 保護された接続でコンテンツ長エンコードと大きなコンテンツ長を持つ HTTP 要求を送信します (詳細については 3.2.4.1 節を参照してください)。 サーバはHTTPレスポンスをstatusHTTP_STATUS_OK(200)で返します。 先に説明したリクエストとレスポンスの具体的な内容は、4.1節で確認することができます。 これでHTTPS接続が確立され、クライアントはこの接続でSSTPC制御パケットと SSTPデータパケットを送受信できるようになった。 Web プロキシが存在する場合の HTTPS 接続の確立については、「
SSTP は次の機能を実行します:
-
HTTPS を使用して送信する連続ストリーム ofdata から PPP フレームを区別できるようにします。 PPPの詳細については、
-
2つのエンティティ間のパラメータのネゴシエーションを参照してください。 詳細は1.7節を参照。
-
将来的に新しいパラメータをサポートするために拡張可能なメッセージ形式。 詳細は 2.2 節を参照。
-
中間者攻撃者が PPP フレームを SSTP 上で不適切に中継しないためのセキュリティ操作。 SSTPは、PPP認証時に生成されたキーイングマテリアルを使用して、暗号バインディングを行う(3.2.5.2および3.3.5.2.3項)。
SSTP Control Packetにはパラメータを交渉するメッセージおよび信頼できない介入者のないことを確認するためのメッセージが含まれています。
-
TCP ポート443を介して SSTP サーバーに TCP 接続が確立されます。
-
SSL/TLS ハンドシェイクが完了します。
-
SSTPネゴシエーションが始まる。
-
PPPネゴシエーションが始まり、PPP認証が完了またはバイパスされる。
-
SSTPネゴシエーションが完了する。
-
PPPネゴシエーションが完了しました。
-
接続は、任意のネットワーク層(例えば、IPパケット)の輸送の準備状態に入りました。
次のカプセル化操作がクライアントで発生します。
-
アプリケーションパケットは任意のトランスポートプロトコル(TCPやUDPなど)上でカプセル化されます。
-
トランスポート層パケットはネットワークプロトコル(IPなど)でカプセル化されます。
-
ネットワーク層パケットはPPPデータリンク層でカプセル化されます。
-
PPPパケットはSSTP上でカプセル化される。
-
SSTPパケットはSSL/TLS上でカプセル化される。
-
SSL/TSレコードはTCP上にカプセル化される。
-
TCP パケットは IP でカプセル化されます。
-
IP パケットは任意のデータリンク層 (Ethernet や PPP など) で送られます。 PPP の詳細については、.
サーバー側では、カプセル化を解除する操作は逆の順序で行われます.
サーバー側では、カプセル化を解除する操作は逆の順序で行われます.
。