1.3 Prezentare generală

  • 2/14/2019
  • 2 minute de citit

Acest document specifică protocolul Secure Socket Tunneling Protocol(SSTP). SSTP este un mecanism de încapsulare a traficului Point-to-Point Protocol (PPP)peste un protocol HTTPS, așa cum se specifică în , ,și . Acest protocol permite utilizatorilor să acceseze o rețea privată prin intermediul HTTPS. UtilizareaHTTPS permite traversarea majorității firewall-urilor și a proxy-urilor web.

Multe servicii VPN oferă utilizatorilor mobili și casnici o modalitate de a accesa de la distanță rețeaua corporativă prin utilizarea protocolului Point-to-Point TunnelingProtocol (PPTP) și a protocolului Layer Two Tunneling Protocol/Internet Protocol security (L2TP/IPsec). Cu toate acestea, odată cu popularizarea firewall-urilor și a proxy-urilor web, mulți furnizori de servicii, cum ar fi hotelurile, nu permit traficul PPTP și L2TP/IPsec. Acest lucru face ca utilizatorii să nu beneficieze de conectivitate omniprezentă la rețelele lor corporative. De exemplu, blocarea porturilor GRE (generic routing encapsulation) de către mulți furnizori de servicii Internet (ISP) este o problemă frecventă atunci când se utilizează PPTP.

Acest protocol oferă un tunel criptat (un tunel SSTP) prin intermediul protocolului SSL/TLS. Atunci când un client stabilește o conexiune VPN bazată pe SSTP, acesta stabilește mai întâi o conexiune TCP la serverul SSTPserver pe portul TCP 443. Handshake-ul SSL/TLS are loc pe această conexiune TCP.

După negocierea cu succes a protocolului SSL/TLS, clientul trimite o cerere HTTP cu codificarea lungimii conținutului și o lungime mare a conținutului pe conexiunea protejată SSL (a se vedea secțiunea 3.2.4.1 pentru mai multe detalii). Serverul trimite înapoi un răspuns HTTP cu statusHTTP_STATUS_OK(200). Detaliile specifice cererii și răspunsului care au fost discutate anterior pot fi găsite în secțiunea 4.1. Conexiunea HTTPS este acum stabilită, iar clientul poate trimite și primi pachete de control SSTPC și pachete de date SSTP pe această conexiune. Stabilirea conexiunii HTTPS atunci când este prezent un proxy webeste specificată în .

SSTP realizează următoarele caracteristici:

  • Permite delimitarea cadrelor PPP de fluxul continuu de date care este trimis prin utilizarea HTTPS. Pentru mai multe informații despre PPP, a se vedea .

  • Negocierea parametrilor între două entități. A se vedea secțiunea 1.7pentru mai multe detalii.

  • Format de mesaj extensibil pentru a suporta noi parametri în viitor. Pentru mai multe informații, a se vedea secțiunea 2.2.

  • Operațiuni de securitate pentru a împiedica un atacator de tip man-in-the-middle să relaționeze cadre PPP în mod necorespunzător prin SSTP. SSTP utilizează materialul de chei generat în timpul autentificării PPP pentru legarea criptografică (secțiunile 3.2.5.2și 3.3.5.2.3).

Pachetele de control SSTP conțin mesaje pentru a negociaparametrii și pentru a se asigura că nu există un man-in-the-middle de neîncredere. Pachetele de date SSTPData conțin cadre PPP ca sarcină utilă.

Într-o rețea VPN bazată pe SSTP, negocierea stratului de protocol are locîn următoarea ordine:

  • Conexiunea TCP este stabilită la un server SSTP pe portul TCP443.

  • Se finalizează handshake-ul SSL/TLS.

  • Se finalizează cererea-răspunsul HTTPS.

  • Începe negocierea SSTP.

  • Este inițiată negocierea PPP, iar autentificarea PPP este finalizată sau ocolită.

  • Negocierea SSTP este finalizată.

  • Negocierea PPP este finalizată.

  • Conexiunea intră într-o stare pregătită pentru transportul oricărui strat de rețea (de exemplu, pachete IP).

Pe client au loc următoarele operații de încapsulare:

  • Pachetele de aplicație sunt încapsulate pe orice protocol de transport (de exemplu, TCP și UDP).

  • Pachetele din stratul de transport sunt încapsulate pe un protocol de rețea (de exemplu, IP).

  • Pachetele din stratul de rețea sunt încapsulate pe un strat de date PPP.

  • Pachetele PPP sunt încapsulate peste SSTP.

  • Pachetele SSTP sunt încapsulate peste SSL/TLS.

  • Înregistrările SSL/TLS sunt încapsulate peste TCP.

  • Pachetele TCP sunt încapsulate peste IP.

  • Pachetele IP sunt trimise peste orice strat de legătură de date (cum ar fi Ethernet sauPPP). Pentru mai multe informații despre PPP, consultați .

Pe partea serverului, operațiile de eliminare a încapsulării au loc în ordine inversă.

Lasă un răspuns

Adresa ta de email nu va fi publicată.