扫一扫
关注微信公众号

破解SSTP的秘密
2007-09-20   

微软公司目前正在为Vista和Longhorn Server开发一种远程访问隧道协议。该协议将使用户设备能够安全地通过一个VPN从Internet上的任何地点访问网络,完全不需担心常见的端口阻拦问题。
SSTP的优势
在第14期《网络世界》的技术特写中,记者给大家介绍了微软最新的SSTP(安全套接字隧道协议)协议。事实上,SSTP可以创建一个在HTTPS上传送的VPN隧道,从而消除与基于PPTP(点对点隧道协议)或L2TP(第2层隧道协议)VPN连接有关的诸多问题。因为这些协议有可能受到某些位于客户端与服务器之间的Web代理、防火墙和网络地址转换(NAT)路由器的阻拦。
然而,这种SSTP只适用于远程访问,不能支持站点与站点之间的VPN隧道。微软公司希望,当IPSec VPN连接受到防火墙或路由器的阻拦后,SSTP可以帮助客户减少与IPSec VPN有关的问题。此外,SSTP也不会产生保留的问题,因为它不会改变最终用户的VPN控制权。基于VPN隧道的SSTP可直接插入当前的微软VPN客户端和服务器软件的接口中。
微软计划在Windows Vista Service Pack 1和Longhorn Server中正式发布对SSTP的支持。到目前为止,Vista SP1的发布日期还没有确定,但Longhorn可望于今年下半年正式上市。SSTP将包含在Longhorn Server Beta 3中,并于2007年上半年开始发布。
微软公司的官员指出,他们希望与伙伴进行合作,将SSTP添加到Vista以外的其它客户端设备上,但微软并未透露这些伙伴的名称。
成为RRAS的一部分
据悉,SSTP将是微软Longhorn Server中路由及远程访问服务器(RRAS)的一部分。这种协议是基于SSL(安全套接层)协议开发出来的,所有的SSTP流量都会使用TCP的443端口。
据微软公司透露,尽管已经在SSTP中融入了带64位内容长度编码标准的SSL 3.0和HTTP 1.1,但微软公司并不准备推进SSTP的标准化。微软认为,由于SSTP只是一种隧道协议,因此它不能直接与SSL VPN相提并论。
微软公司RRAS主任项目经理Samir Jain指出:“由于SSTP可以通过SSL提供全网络的VPN访问能力,RRAS可以向客户提供基本的SSL VPN解决方案,或者成为更复杂的SSL VPN解决方案的一个组成部分,并向其提供一般性的SSL隧道。SSTP还可以在服务器中提供支持,对特定的IP地址和子网加以阻拦。”
Jain的看法是,SSTP允许点对点协议(PPP)的流量,也就是准备在面向流的SSL会话上进行封装的数据报。这样,便可以很方便地穿透防火墙。加密过程是在SSL上完成的,用户验证时则使用PPP。
因此利用SSTP,微软便可以提供完整的IPv6支持,使SSTP隧道能够在IPv6网络上运行。此外,IPv6和PPPv6也可以通过SSTP隧道发送。
Jain认为,SSTP并不是针对特定应用的,它可以支持任意应用或协议的隧道传输。目前微软在HTTPS使用的是一种类似的连接,用于将远程过程调用从希望访问Exchange的Outlook客户端路由出去,但这种技术只适用于Exchange。
微软还计划将SSTP与即将推出的网络访问保护(NAP)技术集成在一起,后者可以为客户端提供健康检查,只有通过检查的客户端才可获得访问网络的许可。
Jain说:“SSTP是一种RRAS内的连接协议,而RRAS可以充当网络中的NAP策略执行点。”他认为,只需要一个策略集便可涵盖SSTP、PPTP和L2TP隧道。
Jain指出,SSTP可以运行在从客户端到服务器的单个HTTPS通道上,从而改善网络的利用率,而且它还可以支持智能卡和RSA securID令牌等验证技术。SSTP还支持目前的RAS特性,例如远程访问策略和利用连接管理器管理套件(Connection Manager Administration Kit)生成配置档案。


热词搜索:

上一篇:高端UTM频繁推出 网关安全酝酿变革
下一篇:安全从移动做起——浅析企业漫游用户需要的系统保护

分享到: 收藏