Microsoft разрабатывает новый протокол безопасного туннелирования VPN

Microsoft разрабатывает протокол для туннелирования VPN-соединений удаленного доступа в Windows Vista и Longhorn Server, который позволит иметь безопасный доступ к сети с помощью VPN-соединения через Интернет, без необходимости решения проблем с блокированием портов.

Протокол, получивший название SSTP (Secure Socket Tunneling Protocol) создает VPN подключение поверх HTTPS, лишая созданное VPN подключение проблем, присущим Point-to-Point Tunneling Protocol (PPTP) или Layer 2 Tunneling Protocol (L2TP) – данные протоколы могут блокироваться прокси-серверами, брандмауэрами или маршрутизаторами находящимися между клиентом и сервером.

В Microsoft надеются, что SSTP позволит уменьшить количество звонков в службу поддержки связанных с блокированием брандмауэрами или маршрутизаторами IPsec VPN-соединений. В дополнение, SSTP не потребует дополнительных настроек, так как SSTP основанное VPN-соединение, интегрируется как в клиентское, так и в серверное ПО Microsoft для создания VPN.

Компания планирует внедрить поддержку SSTP в Vista Service Pack 1, и в Longhorn Server. Хотя точная дата SP 1 неизвестна, но Longhorn планируется выпустить во второй половине этого года. Опробовать SSTP можно будет в Longhorn Server beta 3, которая ожидается в марте этого года.

Также, представители компании сообщили, что сотрудничают с неназванными партнерами, по вопросу внедрения SSTP в клиентские устройства.

SSTP будет входить в состав Routing and Remote Access Server (RRAS) в Longhorn Server, данный протокол основан на SSL, в отличие от PPTP или IPsec, и будет использовать стандартный для SSL 443 порт.

Несмотря на то, что данный протокол появился вследствие слияния SSL 3.0 и HTTP 1.1, и стандартным шифрованием в 64 бита, Microsoft не собирается принимать шаги по его стандартизации, также, по словам представителей компании, так как SSTP является только протоколом туннелирования, его нельзя сравнивать непосредственно с SSL VPN.

«Однако, так как SSTP предоставляет полный доступ к сети, через SSL, RRAS может предоставить пользователю базовое SSL VPN решение, или стать частью более полного SSL VPN решения, предоставляя общий SSL туннель», - заявил Самир Джейн, главный программный менеджер RRAS,- «SSTP также позволяет серверу блокировать определенные IP и подсети».

В своем блоге Джейн описал принцип работы и пошаговые инструкции по настройке клиента. По его словам, SSTP создает тонкий уровень «разрешающий Point-to-Point Protocol (PPP) трафик, который дэйтаграммно ориентирован и который инкапсулирован в SSL сессию, а сессия в свою очередь потоково ориентирована – как следствие, обеспечивается свободный проход через брандмауэры. Шифрование производится с помощью SSL, а аутентификация с помощью PPP.

SSTP будет полностью поддерживать IPv6 – таким образом, SSTP туннель можно будет создать в IPv6 сети, или через SSTP туннель передавать IPv6 трафик.

По заявлению Джейна, протокол программно независим, и будет поддерживать туннелирование трафика любой программы или протокола.

Microsoft уже использует подобный HTTPS протокол для передачи вызовов удаленных процедур от клиентов Outlook к Exchange, но данная технология характерна именно для Exhange.

Также планируется интегрирование поддержки SSTP в NAP (Network Access Protection) – технологию, которая проверяет безопасность клиента перед разрешением доступа в сеть.

«Настроенное в RRAS соединение SSTP, может быть для NAP необходимым пунктом, для получения клиентом доступа к сети. Также, настроив одну политику вы сможете принять ее настройки для SSTP, PPTP и L2TP туннелей», - пишет Джейн.

SSTP будет использовать одно безопасное HTTP соединение, для лучшего использования ресурсов сети, и будет поддерживать такие технологии аутентификации как смарт-карты и RSA securID маркеры. Также будет поддержка таких функций RAS как политики удаленного доступа и создание конфигураций используя Connection Manager Administration Kit.


Источник: http://www.networkworld.com
Перевод: prymara