SSTP (Secure Socket Tunneling Protocol)

Протокол безпечного туннелирования сокетов), також званий SSTP - протокол прикладного рівня (application-layer protocol). Він спроектований для створення синхронного взаємозв'язку при спільному обміні інформацією двох програм. Завдяки йому можливо створити декілька підключень програми по одному з'єднанню між вузлами, в результаті чого досягається ефективне використання мережевих ресурсів.

Протокол SSTP заснований на SSL, а не на PPTP або IPSec і використовує TCP порт 443 для передачі трафіку. Хоча він тісно пов'язаний з SSL, не можна робити між ними пряме порівняння, тому що SSTP це лише тунельний протокол на відміну від SSL. Існує кілька причин для вибору SSL, а не IPSec в якості основи для SSTP. IPSec спрямований на підтримку з'єднання різних мереж типу site-to-site, і тому SSL краще відповідає меті SSTP. Такому він підтримує роумінг (roaming).

Інші причини, щоб не використовувати IPSec:

· Він не забезпечує надійну аутентифікацію

· Існують відмінності в алгоритмах шифрування використовують клієнти користувачів.

· Протоколи крім IP не підтримуються за замовчуванням

· Оскільки IPSec був розроблений для безпечних з'єднань мереж, то можна легко уявити проблеми віддалених користувачів при підключенні з місця з обмеженим числом IP адрес.

Розробка SSTP була викликана браком можливостей VPN. Головний недолік VPN - це нестабільне з'єднання. Це виникає через недостатність областей покриття. SSTP значно розширює зону покриття VPN з'єднання, зводячи тим самим цю проблему до мінімуму. SSTP встановлює з'єднання з безпечного протоколу HTTPS; це надає клієнтам безпечний доступ до мереж по маршрутизаторами, брандмауерами і веб проксі, не піклуючись про звичайні проблем з блокуванням портів. SSTP НЕ спроектований для з'єднання мереж, а призначений для використання при з'єднанні типу клієнт-сервер.

Успіх і можливості SSTP

· SSTP використовує HTTPS для встановлення безпечного з'єднання

· Тунель SSTP (VPN) працює за Secure-HTTP. Буде усунена проблема з VPN сполуками, що працюють по протоколу Point-to-Point Tunneling Protocol (PPTP) або по протоколу Layer 2 Tunneling Protocol (L2TP). Веб проксі, брандмауери і маршрутизатори розташовані на шляху між клієнтом і сервером, не блокуватимуть з'єднання VPN.

· SSTP клієнти вбудовані в операційні системи Microsoft починаючи з Vista

· SSTP, що працює по VPN тунелю, вбудовується безпосередньо в сокети програмного забезпечення для клієнтів і серверів Microsoft VPN.

· Повна підтримка IPv6. SSTP VPN тунель можна встановити по протоколу IPv6.

· Використовується інтегрована підтримка захисту доступу до мережі для перевірки стану клієнта.

· Сильна аутентифікація на клієнті і сервері MS RRAS, з можливістю двофакторної аутентифікації.

· Збільшилася зона покриття VPN до практично будь-якого Інтернет підключення.

· SSL інкапсуляція по порту 443.

· Може управлятися і контролюватися за допомогою брандмауерів прикладного рівня, як ISA server.

· Повністю мережеве рішення VPN, а не просто прикладної тунель для однієї програми.

· Інтеграція в NAP.

· Можлива інтеграція і конфігурація за допомогою політик для перевірки стану клієнта.

· Одна сесія створюється для тунелю SSL.

· Чи не залежить від програми.

· Сильніше аутентифікація проти IPSec

· підтримку не IP протоколів - це основне поліпшення в порівнянні з IPSec.

· Немає необхідності в придбанні дорогого і складного в налаштуванні апаратного брандмауера (hardware firewall), який не підтримує інтеграцію з Active directory і двофакторної аутентифікації.

Принцип з'єднання SSTP, заснованого на VPN

· Клієнту SSTP необхідне підключення до інтернет. Після того, як це Інтернет з'єднання підтверджено протоколом, встановлюється TCP з'єднання з сервером по порту 443.

· Клієнт посилає HTTPS запит в рамках зашифрованою SSL сесії на сервер.

· Далі відбувається SSL узгодження для вже встановленого з'єднання TCP, відповідно до чого перевіряється сертифікат сервера. Якщо сертифікат вірний, то з'єднання встановлюється, в іншому випадку з'єднання обривається.

· Тепер клієнт посилає контрольні пакети SSTP всередині сесії HTTPS. Це в свою чергу призводить до встановлення стану SSTP на обох машинах для контрольних цілей, обидві сторони ініціюють взаємодію на рівні PPP.

· Далі відбувається PPP узгодження SSTP по HTTPS на обох кінцях. Тепер клієнт повинен пройти аутентифікацію на сервері.

· Сесія прив'язується до IP інтерфейсу на обох сторонах і IP адреса призначається для маршрутизації трафіку.

· Тепер встановлюється взаємодія, будь це IP трафік, або який-небудь інший.

Компанія Microsoft впевнена, що цей протокол допоможе полегшити проблеми з VPN з'єднанням. Фахівці RRAS тепер готуються до інтеграції RRAS з SSTP, тому протокол буде частиною рішення, яке буде розвиватися далі. Єдина вимога в даний час полягає в тому, що клієнт повинен працювати під управлінням операційних систем Vista і 7. Набір інструментів, що надається цим невеликим протоколом, багатий і дуже гнучкий, тому протокол збільшує досвід користувачів та адміністраторів. Передбачається, що пристрої почнуть вбудовуватися в цей протокол в стек для безпечної взаємодії (stack for secure communication) і проблеми з NAT скоро будуть забуті, тому що ми перейдемо до готового рішенням 443 / SSL

Secure Socket Layer (безпечний рівень сокета), або SSL, це криптографічний система, яка використовує два типи ключів для шифрування даних - відкритий ключ (public) і закритий ключ (private key). Відкритий ключ (public key) відомий всім, а закритий (private) відомий тільки одержувачу. Завдяки цьому SSL створює безпечне з'єднання між клієнтом і сервером. SSL VPN дозволяє користувачам встановити безпечний віддалений доступ з будь-якого підключеного веб браузера, на відміну від інших VPN, яким потрібні клієнти. Бар'єр нестабільного з'єднання більше не проблема. У SSL VPN вся сесія стає безпечною, в той час як при використанні тільки SSL це не досягається.

На відміну від SSL, SSL VPN забезпечує безпеку всієї сесії. Не потрібен статичний IP, а в більшості випадків не потрібно і клієнт. Оскільки з'єднання з Інтернет відбувається через браузер, то за замовчуванням використовується протокол підключення TCP / IP. Клієнтам, що підключаються за допомогою SSL VPN, може бути наданий робочий стіл для доступу до мережевих ресурсів. Прозоро для користувача, трафік від їх комп'ютера може бути обмежений для певних ресурсів, на основі критеріїв, описуваних бізнесом.

SSTP - це прекрасне доповнення до набору інструментів VPN, яке дозволяє користувачам віддалено і безпечно підключатися до корпоративної мережі. Блокування віддаленого доступу і проблеми NAT відходять у минуле при використанні цього протоколу. Вся технологія стабільна, добре документована, і відмінно працює. Це чудовий продукт, і він дуже необхідний тоді, коли необхідний віддалений доступ.

2.2. ВИДИ ВІДДАЛЕНОГО ДОСТУПУ

Проксі-сервери

Глобально, коли говорять проксі-сервер, то мають на увазі щось, що виступає посередником між клієнтом і адресатом.

У розрізі ж забезпечення анонімності проксі-сервери бувають:

· HTTP- (веб) -проксі-сервери. Такі сервери пропускають через себе тільки HTTP-трафік, за замовчуванням додаючи в переданий трафік дані про застосування проксі;

· SOCKS-проксі-сервери. На відміну від HTTP-проксі-серверів, SOCKS передає всю інформацію, нічого не додаючи від себе. Протокол SOCKS знаходиться на сеансовом рівні моделі OSI, цим досягається незалежність від високорівневих протоколів: HTTP, FTP, РОРЗ та ін., Що і дозволяє SOCKS пропускати через себе весь трафік, а не тільки HTTP;

Плюси проксі-серверів:

· Проксі дешеві, в мережі можна знайти багато безкоштовних проксі.

Мінуси проксі-серверів:

· Потрібно довіряти проксі-сервера

· Для http-проксі треба фільтрувати HTTP-заголовки

· Протоколи проксі (http, SOCKSx) НЕ підтримують шифрування між HTTP / SOCKS / Elite / Anonymous-проксі і клієнтом. А SSL-проксі означає лише те, що клієнт може працювати з https-ресурсами

· Ланцюжки проксі неефективні

· Необхідність налаштування проксі-сервера для кожної програми або використання окремих програм-соксіфікаторов, наприклад, Proxifier.

VPN / SSH

В даний час комерційними провайдерами пропонуються наступні протоколи VPN:

· PPTP - використовується найбільш широко, швидкий, легко налаштовується, проте вважається «найменш захищеним» у порівнянні з іншими;

· L2TP + IPSec. L2TP забезпечує транспорт, а IPSec відповідає за шифрування. Дана зв'язка має більш сильне шифрування, ніж PPTP, стійка до вразливостям PPTP, забезпечує також цілісність повідомлень і аутентифікацію сторін;

· OpenVPN - безпечний, відкритий, а отже, поширений, дозволяє обходити багато блокування, але вимагає окремого програмного клієнта;

· SSTP - такий же безпечний, як і OpenVPN, окремого клієнта не вимагає, проте сильно обмежений у платформах: Vista SP1, Win7, Win8.

Практично всі комерційні VPN-провайдери пропоную вибір з двох протоколів: OpenVPN і PPTP. Рідше пропонується протокол L2TP + IPSec. І зовсім одиниці пропонують протокол SSTP. Окремо варто відзначити сервіси, що надають «DoubleVPN», коли перед тим, як вийти в Інтернет, трафік проходить 2 різних VPN-сервера в різних країнах, або навіть «QuadVPN», коли використовується 4 сервера, які користувач може вибрати сам і розташувати в довільному порядку.

Плюси:

· Швидко і зручно, не треба окремо налаштовувати додатки.

Мінуси:

· Потрібно довіряти VPN / SSH-серверу / провайдеру.

Більшість тематичних доповнень для браузерів і «програм для анонімності» використовують у своїй основі саме проксі-сервери і VPN-сервери для приховування ip-адреси клієнта.

Дата добавления: 2015-06-29; Просмотров: 566; Нарушение авторских прав?; Мы поможем в написании вашей работы!