Form of virtual private network tunnel
El protocolo de túnel de socket seguro ( SSTP ) es una forma de túnel de red privada virtual (VPN) que proporciona un mecanismo para transportar el tráfico PPP a través de un canal SSL/TLS . SSL/TLS proporciona seguridad a nivel de transporte con negociación de claves, cifrado y comprobación de la integridad del tráfico. El uso de SSL/TLS a través del puerto TCP 443 (de forma predeterminada; el puerto se puede cambiar) permite que SSTP atraviese prácticamente todos los firewalls y servidores proxy , excepto los servidores proxy web autenticados. [1]
Los servidores SSTP deben autenticarse durante la fase SSL/TLS. Los clientes SSTP pueden opcionalmente autenticarse durante la fase SSL/TLS y deben autenticarse en la fase PPP. El uso de PPP permite la compatibilidad con métodos de autenticación comunes, como EAP-TLS y MS-CHAP .
SSTP está disponible para Linux , BSD y Windows . [2]
SSTP está disponible en Windows Vista SP1 y posteriores, en RouterOS desde la versión 5.0 y en SEIL desde su versión de firmware 3.50. Está totalmente integrado con la arquitectura RRAS en estos sistemas operativos, lo que permite su uso con Winlogon o autenticación con tarjeta inteligente , políticas de acceso remoto y el cliente VPN de Windows. [3] Windows Azure también utiliza el protocolo para la red virtual punto a sitio. [4]
SSTP está destinado únicamente al acceso de clientes remotos; generalmente no admite túneles VPN de sitio a sitio. [5]
SSTP sufre las mismas limitaciones de rendimiento que cualquier otro túnel IP sobre TCP. En general, el rendimiento será aceptable sólo siempre que haya suficiente exceso de ancho de banda en el enlace de red no tunelizado para garantizar que los temporizadores TCP tunelizados no caduquen. Si esto deja de ser cierto, el rendimiento cae drásticamente. Esto se conoce como el "problema de fusión de TCP". [6] [7]
SSTP sólo admite la autenticación de usuarios; no admite autenticación de dispositivo ni autenticación de computadora.
Estructura del paquete
La siguiente estructura de encabezado es común a todos los tipos de paquetes SSTP: [8]
- Versión (8 bits): comunica y negocia la versión de SSTP que se utiliza.
- Reservado (7 bits): reservado para uso futuro.
- C (1 bit): bit de control que indica si el paquete SSTP representa un paquete de control SSTP o un paquete de datos SSTP. Este bit se establece si el paquete SSTP es un paquete de control.
- Longitud (16 bits): campo de longitud del paquete, compuesto por dos valores: una parte reservada y una parte de longitud.
- Reservado (4 bits): reservado para uso futuro.
- Longitud (12 bits): contiene la longitud de todo el paquete SSTP, incluido el encabezado SSTP.
- Datos (variable): cuando se establece el bit de control C, este campo contiene un mensaje de control SSTP. De lo contrario, el campo de datos contendría un protocolo de nivel superior. Por el momento, esto sólo puede ser PPP .
Mensaje de control
El campo de datos del encabezado SSTP contiene un mensaje de control SSTP solo cuando el bit de control C del encabezado está establecido.
- Tipo de mensaje (16 bits): especifica el tipo de mensaje de control SSTP que se comunica. Esto dicta la cantidad y los tipos de atributos que se pueden transportar en el paquete de control SSTP.
- Recuento de atributos (16 bits): especifica el número de atributos agregados al mensaje de control SSTP.
- Atributos (variable): contiene una lista de atributos asociados con el mensaje de control SSTP. El número de atributos se especifica en el campo Recuento de atributos.
Ver también
Referencias
- ^ Jainista, Samir (17 de enero de 2007). "Preguntas frecuentes sobre SSTP - Parte 2: Específicas del cliente". Microsoft Technet . Consultado el 17 de octubre de 2015 .
- ^ "Cliente SSTP". 2011-09-17 . Consultado el 17 de octubre de 2015 .
- ^ Tulloch, Mitch (22 de enero de 2008). "SSTP facilita el acceso remoto seguro" . Consultado el 17 de octubre de 2015 .
- ^ McGuire, Cheryl (11 de agosto de 2015). "Configurar una conexión VPN de punto a sitio a una red virtual de Azure" . Consultado el 17 de octubre de 2015 .
- ^ Jainista, Samir (10 de enero de 2007). "Preguntas frecuentes sobre SSTP - Parte 1: Genérico". Blogs de TechNet . Archivado desde el original el 12 de octubre de 2010.
- ^ Titz, Olaf (23 de abril de 2001). "Por qué TCP sobre TCP es una mala idea" . Consultado el 17 de octubre de 2015 .
- ^ Honda, Osamu; Ohsaki, Hiroyuki; Imase, Makoto; Ishizuka, Mika; Murayama, Junichi (octubre de 2005). "Comprensión de TCP sobre TCP: efectos de la tunelización TCP en el rendimiento y la latencia de un extremo a otro". En Atiquzzaman, Mahoma; Balandin, Sergey I (eds.). Rendimiento, calidad de servicio y control de redes de sensores y comunicaciones de próxima generación III . vol. 6011. pág. 60110H. Código Bib : 2005SPIE.6011..138H. doi : 10.1117/12.630496. S2CID 8945952.
- ^ "MS-SSTP: Protocolo de túnel de socket seguro (SSTP)". Microsoft Technet. 2015-10-16 . Consultado el 17 de octubre de 2015 .
enlaces externos
- [MS-SSTP]: Protocolo de túnel de socket seguro (SSTP) según la promesa de especificación abierta de Microsoft
- Blog técnico de RRAS
- Microsoft desarrolla un nuevo protocolo de túnel
- Cómo funciona la conexión VPN basada en SSTP
- Cliente SSTP de HSC para Linux
- Cliente SSTP para Linux