- 2/14/2019
- 2 minutos para ler
Este documento especifica o Secure Socket Tunneling Protocol (SSTP). SSTP é um mecanismo para encapsular o tráfego do Protocolo Ponto a Ponto (PPP) sobre um protocolo HTTPS, como especificado em , ,e . Este protocolo permite que os usuários acessem uma rede privada usando HTTPS. O uso doHTTPS permite a travessia da maioria dos firewalls e proxies web.
Muitos serviços VPN fornecem uma maneira para usuários móveis e domésticos acessarem a rede corporativa remotamente usando o protocolo PPTP (Point-to-Point TunnelingProtocol) e a segurança do Protocolo de Túnel de Camada Dois/Protocolo de Internet (L2TP/IPsec). No entanto, com a popularização de firewalls e web proxies, muitos fornecedores de serviços, tais como hotéis, não permitem o PPTP e o L2TP/IPsectraffic. Isso faz com que os usuários não recebam conectividade onipresente para suas redes corporativas. Por exemplo, o encapsulamento genérico de roteamento (GRE) por muitos provedores de serviços de Internet (ISPs) é um problema comum quando se utiliza PPTP.
Este protocolo fornece um túnel criptografado (um SSTPtunnel) por meio do protocolo SSL/TLS. Quando um cliente estabelece uma conexão VPN baseada em SSTP, ele primeiro estabelece uma conexão TCP ao servidor SSTP sobre a porta TCP 443. Aperto de mão SSL/TLS ocorre sobre esta conexão TCP.
Após a negociação bem sucedida do SSL/TLS, o cliente envia um pedido HTTP com codificação de comprimento de conteúdo e um grande comprimento de conteúdo sobre a conexão protegida SSL (veja seção 3.2.4.1 para mais detalhes). O servidor envia de volta uma resposta HTTP com statusHTTP_STATUS_OK(200). Os detalhes específicos do pedido e da resposta que são discutidos anteriormente podem ser encontrados na seção 4.1. A conexão HTTPS está agora estabelecida, e o cliente pode enviar e receber pacotes SSTPControl e pacotes de dados SSTP nesta conexão. HTTPS-conexão estabelecida quando um proxy web é presentis especificado em .
SSTP executa as seguintes características:
-
Permitir a delimitação de quadros PPP a partir do fluxo contínuo de dados que é enviado usando HTTPS. Para mais informações sobre PPP, veja .
-
Negociação de parâmetros entre duas entidades. Veja seção 1.7 para mais detalhes.
-
Formato extensível de mensagem para suportar novos parâmetros no futuro. Para mais informações, veja a seção 2.2.
-
Operações de segurança para evitar que um atacante do tipo “man-in-the-middle” (homem no meio) faça o lançamento de frames PPP de forma inadequada sobre o SSTP. O SSTP usa material de chaveamento gerado durante a autenticação PPP para encadernação criptográfica (seções 3.2.5.2 e 3.3.5.2.3).
SSTP Control Packets contêm mensagens para negociar os parâmetros e para garantir que não haja nenhum homem no meio. Os Pacotes de Dados SSTP contêm quadros PPP como carga útil.
Em uma VPN baseada em SSTP, a negociação da camada de protocolo ocorre na seguinte ordem:
-
A conexão TCP é estabelecida para um servidor SSTP sobre a porta TCP443.
-
O aperto de mão SSL/TLS é completado.
-
A resposta ao pedido HTTPS é completada.
-
Início da negociação do SSTP.
-
Início da negociação do PPP, e a autenticação do PPP é concluída ou contornada.
As seguintes operações de encapsulamento ocorrem no cliente:
-
Os pacotes de aplicação são encapsulados sobre qualquer protocolo de transporte (por exemplo, TCP e UDP).
-
Os pacotes da camada de transporte são encapsulados sobre um protocolo de rede (por exemplo, IP).
-
Os pacotes da camada de rede são encapsulados sobre um coletor de dados PPP.
-
Os pacotes PPP são encapsulados sobre SSTP.
-
Os pacotes SSTP são encapsulados sobre SSL/TLS.
-
Os registros SSL/TLS são encapsulados sobre TCP.
-
Os pacotes TCP são encapsulados sobre IP.
-
Os pacotes IP são enviados sobre qualquer camada de link de dados (como Ethernet ouPPP). Para mais informações sobre PPP, veja .
No lado do servidor, as operações para remover o encapsulamento ocorrem em ordem inversa.