ООО «А-Реал Консалтинг»
150044
Россия
Ярославль
ул. Полушкина роща, дом 16, строение 67а, офис №3
8 495 240-92-96

Secure Socket Tunneling Protocol

VPN — технология создания одного или нескольких сетевых соединений поверх другой сети. Пользователь может безопасно просматривать ресурсы: данные о сессии зашифрованы, вероятность перехвата пакетов злоумышленниками сведена к минимуму.

Длительное время виртуальные частные сети базировались на PPTP-протоколе. С ростом количества устройств, использующих соединения этого типа, провайдерам потребовалось более производительное решение. Альтернативами Point-to-Point Tunneling Protocol стали IP Security и Secure Sockets Layer. Чуть позже к ним добавился Secure Socket Tunneling Protocol.

Принцип работы SSTP-сетей

SSTP — разработка компании Microsoft. Решение интегрировано в операционные системы семейства Windows c 2008 года. Основой протокола стал SSL — криптографический инструмент ассиметричного шифрования. SSTP устанавливает сетевое соединение посредством порта 443. Безопасность этого процесса обеспечивается HyperText Transfer Protocol Secure (HTTPS). Шифрование пакетов данных основано на SSL, аутентификация на сетевых узлах происходит посредством SSL и PPP. SSTP применяется для создания подключений двух типов: узел-узел или узел-сеть.

Различия между PPTP- и SSTP-протоколами

В основе PPTP-решения лежит защищенный шифрованием GRE-туннель. Его использование обеспечивает безопасность пользовательских данных. Проблемы возникают при создании туннельного соединения через стандартные преобразователи сетевых адресов (NAT меняют IP-адреса пакетов данных). Часто в этот момент VPN перестает функционировать. Использование SSTP-протокола исключает вероятность разрыва VPN-соединения в аналогичных условиях.

SSL VPN основан на криптографической системе, использующей открытый и закрытый ключи шифрования данных. Первый известен всем устройствам в сети, второй — только узлу-получателю. За счет этого пользователю удается установить безопасное соединение с необходимым сервером. SSTP позволяет использовать любые браузеры при нестабильном соединении с интернетом — VPN автоматически создает новый туннель при обрыве прежнего. Еще одно заметное отличие SSL VPN от PPTP — защита данных, передаваемых пользователем в сеть во время сеанса.

Технические особенности SSTP

Secure Socket Tunneling Protocol — протокол туннелирования защищенных сокетов, который относится к решениям прикладного уровня. Он создан для синхронного обмена пакетами данных между двумя программами. Применение протокола позволяет использовать произвольное количество точек доступа к безопасным узлам посредством одного сетевого соединения.

Использование SSL для создания протокола туннелирования защищенных сокетов стало результатом несовершенства программных алгоритмов, лежащих в основе IPSec. Его недостатками считаются:

  • отсутствие строгих требований к аутентификации сетевых пользователей;
  • несовершенство кодирования пользовательских клиентов при передаче данных от провайдера к провайдеру;
  • поддержка ограниченного числа IP-протоколов.

Настройка VPN с SSTP-протоколом исключает вероятность возникновения подобных проблем. Широкое распространение данного решения обусловлено тем, что расположенные между клиентом и сервером брандмауэры и NAT перестали блокировать виртуальные сети. Устранение конфликта между протоколом туннелирования и сетевыми службами обеспечило стабильность защищенных интернет-сессий.

Преимущества SSTP при использовании VPN-подключения

Использование SSTP снижает нагрузку на стандартные порты. Брандмауэры больше не блокируют GRE- или ESP-порты, из-за которых клиент не мог установить связь с сервером. Пользователи активируют безопасное соединение с сетевыми ресурсами из любой точки мира.

Администраторам корпоративных сетей не требуется прилагать усилий для настройки VPN-соединений на компьютерах коллег. SSTP-клиент остается составной частью операционной системы Windows, установленной на большинстве рабочих ПК в российских компаниях. Запуск туннельного соединения активирует встроенную диагностическую утилиту, которая сообщает об ошибках доступа к сети. Администратор может настроить двухфакторную аутентификацию используемых коллегами клиентов.

Среди преимуществ необходимо упомянуть:

  • интеграцию с NAP — протоколом защиты доступа к сети;
  • обеспечение туннельного соединения для всех сетевых программ, установленных на компьютере пользователя;
  • принудительную аутентификацию клиентов на сервере.

Применение данного протокола для VPN-соединения исключает необходимость использования аппаратных брандмауэров, не всегда совместимых с двухфакторной аутентификацией клиентов на сервере и интеграцией с Active Directory в Windows Server.

Реализация SSTP в ИКС

В новую версию 7.2 интернет-шлюза ИКС интегрирована поддержка SSTP для создания виртуальных частных сетей.

Применение SSTP в ИКС исключает вероятность возникновения типичных проблем с сетевыми соединениями в офисах крупных компаний:

  • перегруженности канала;
  • разрыва интернет-сессий межсетевым экраном;
  • невозможности работы VPN в сетях разных провайдеров;
  • лимитированного числа подключений для одного клиента.

Упрощается управление ресурсами корпоративной сети. Администратору достаточно сменить пароль VPN-доступа для запрета исходящих сетевых подключений конкретного устройства.

Настройка SSTP в ИКС

Настройка SSTP-сети выполняется через интерфейс интернет-шлюза ИСК: раздел «Сеть», подраздел «Провайдеры и сети». Администратору корпоративного сервера потребуется выполнить следующие действия:

  1. Кликнуть по кнопке «Добавить», в выпадающему меню выбрать пункт «Сети», затем — «SSTP-сеть».
  2. Настройка SSTP
  3. Придумать и ввести в соответствующее поле название сети.
  4. Указать диапазон IP-адресов, которые будут выдаваться пользователям при подключении через SSTP.
  5. Настройка диапазонов адресов
  6. Ввести данные о порте сервера.
  7. Указать поисковый домен.
  8. При необходимости активировать опции «Использовать NAT», «Разрешить трафик между клиентами», «Передать клиенту маршрут по умолчанию». На данном этапе можно указать перечень сетей, маршруты к которым автоматически передаются клиентским устройствам.
  9. Установить флажки напротив пунктов «Разрешить управление ИКС через веб», «Разрешить управление ИКС через SSH».
  10. В меню «Защита», пункт «Сертификаты» заранее вносятся данные о корневом сертификате и сертификате сервера.
  11. Нажать на кнопку «Добавить» — в списке доступных сетей появится новый пункт.

После завершения первичной настройки необходимо перейти в VPN-модуль ИКС. В его меню следует указать пользователей, которые могут подключаться к сетевым ресурсам компании посредством виртуальной частной сети.

Возврат к списку
Вверх