Secure Socket Tunneling Protocol

Das Secure Socket Tunneling Protocol (SSTP) ist ein Virtual-Private-Network-Tunnel-Protokoll von Microsoft aus dem Jahr 2007. Es ermöglicht den Aufbau eines VPN-Tunnels über sicheres HTTP (SSL/TLS) auf Port 443. Damit sollen Probleme beseitigt werden, die durch Blockierung an Webproxys, Firewalls und NAT-Routern auftreten, wenn andere Tunnelprotokolle wie Point-to-Point Tunneling Protocol (PPTP) oder Layer 2 Tunneling Protocol über IPsec (L2TP/IPSec) verwendet werden.^[2]

Entwicklung[Bearbeiten | Quelltext bearbeiten]

SSTP ist Microsofts Lösung für VPN-Zugriffe mit PPP über SSL (SSL-VPN). Microsoft erhoffte sich mit diesem Verfahren die Supportanfragen, die im Zusammenhang mit IPSec-basierten VPNs auftraten, deutlich reduzieren zu können, da diese oft von Firewalls und Routern blockiert werden. Obwohl das Verfahren auf vielen Standards basiert, strebte Microsoft für SSTP keine Standardisierung im Rahmen der IETF an.^[2]

Das Verfahren wurde primär als (Nutzer)-Fernzugriffslösung für ein End-to-Site-Szenario entwickelt, um über den bekannten Port 443/TCP durch Firewalls und Gateways hindurch auf Server- und Netzwerkstrukturen zugreifen zu können. Ein Einsatz als Verbindung zwischen Netzwerken, einem Site-to-Site-Szenario, ist von Seiten Microsoft nicht vorgesehen; mit einer speziellen Implementierung, beispielsweise auf Routern, jedoch möglich.^[3]

Spezifikationen[Bearbeiten | Quelltext bearbeiten]

Die technischen Spezifikationen von (MS-)SSTP sind im Rahmen des Microsoft Communication Protocol Program (MCPP) veröffentlicht, welches die unentgeltliche Bereitstellung von technischen Dokumenten für Microsoft Betriebssysteme regelt.^[4]

SSTP verwendet SSL 3.0 und HTTP 1.1 mit 64 bit content length encoding und funktioniert sowohl unter IPv4 als auch unter IPv6. Für die PPP-Authentisierung können MS-CHAPv2, EAP-MS-CHAPv2, EAP-Smart-card und Protected Extensible Authentication Protocol (PEAP) verwendet werden. Als Verschlüsselungsalgorithmen werden die für SSL verfügbaren Verfahren unterstützt (AES, RC4, 3DES).^[3][5][6]

Serverseitig wird für die Einrichtung von SSTP-VPNs Windows Server 2008 oder höher (Windows Server 2008 R2 oder Windows Server 2012) mit installiertem Routing and Remote Access Service (RRAS) benötigt. Clientseitig ist SSTP verfügbar ab Windows Vista Service Pack 1. Ein SSTP-Client für Linux, FreeBSD und Mac OS ist auf SourceForge zum Download verfügbar.^[7] Ist clientseitig die Protokollauswahl auf Automatik eingestellt, wird der erste Verbindungsaufbau in der Reihenfolge PPTP → L2TP → SSTP versucht.^[5]

Ablauf des Verbindungsaufbaus[Bearbeiten | Quelltext bearbeiten]

1. Der Client baut eine TCP-Verbindung zum Server auf Port 443 auf.
2. Auf dieser TCP-Verbindung erfolgt der SSL/TLS Handshake mit dem Server (→ siehe: TLS Handshake). Während dieser Phase erhält der Client das X.509-Serverzertifikat und überprüft es. Wenn das Zertifikat nicht gültig ist, wird der Verbindungsaufbau abgebrochen. Zu diesem Zeitpunkt erfolgt keine Client-Authentisierung.
3. Der Client baut über die SSL/TLS-Verbindung eine HTTP-Sitzung mit dem Server auf. (→ siehe: HTTP-Request)
4. Der Client sendet SSTP-Kontrollpakete über die HTTPS-Sitzung. Wenn der SSTP-Status auf beiden Seiten bereit ist, erfolgt eine Linkup-Signalisierung an die PPP-Sicherungsschicht auf beiden Seiten.
5. Über SSL/TLS und SSTP erfolgt der PPP-Verbindungsaufbau (→ siehe: Herstellung einer PPP-Verbindung). Als Teil der PPP-Authentifizierungsphase, authentisiert sich der Client gegenüber dem Server (und abhängig vom Authentifizierungsverfahren auch der Server gegenüber dem Client)
6. Nach Fertigstellung der PPP-Aushandlung werden auf beiden Seiten IP-Interfaces mit privaten IP-Adressen erstellt, über die Client und Server dann mit SSTP kommunizieren.

Beispiel[Bearbeiten | Quelltext bearbeiten]

• Angenommen der Server hat die öffentliche IP-Adresse: 100.100.100.1 und der Client hat die öffentliche IP-Adresse: 200.200.200.1.
• Nach Aushandlung der PPP-Verbindung über SSTP hat der Server ein zusätzliches Interface mit der IP: 192.168.0.1 und der Client ein zusätzliches Interface mit der IP: 192.168.0.2.
• Der Nutzer pingt vom Client aus den Server mit der IP: 192.168.0.1 an.

1. Der Ping wird abgesetzt via IP via PPP via SSTP (mit der Quelladresse: 192.168.0.2 und der Zieladresse: 192.168.0.1).
2. SSTP sendet die Anforderung zur SSL-Schicht, die die Verschlüsselung vornimmt, von dort via TCP via IP (mit der Quelladresse: 200.200.200.1 und der Zieladresse: 100.100.100.1) über die öffentliche Schnittstelle.
3. Der Server nimmt die Anforderung auf dem öffentlichen Interface entgegen und leitet sie via IP via TCP an die SSL-Schicht, die die Entschlüsselung vornimmt, von dort via SSTP via PPP via IP an die Zieladresse: 192.168.0.1.

SSTP Paket-Struktur[Bearbeiten | Quelltext bearbeiten]

Header[Bearbeiten | Quelltext bearbeiten]

Die folgende Header-Struktur gilt für alle Typen von SSTP-Paketen:^[8]

• Version (8 Bits) – Übermittlung und Aushandlung der verwendeten SSTP-Version.
• Reserviert (7 Bits) – reserviert für zukünftige Verwendung.
• C (1 Bit) – Kontrollbit, das anzeigt, ob das SSTP-Paket ein SSTP-Kontroll-Paket (1) oder ein SSTP-Daten-Paket (0) ist.
• Länge (16 Bits) – Paketlänge, zusammengesetzt aus zwei Werten: reserviert (4 Bits) – reserviert für zukünftige Verwendung und Paket-Länge (12 Bits) – Länge des gesamten SSTP-Pakets, einschließlich SSTP-Header.
• Daten (variabel) – Wenn das Kontrollbit C gesetzt ist, enthält das Datenfeld eine Kontrollnachricht. Andernfalls enthält das Datenfeld ein höheres Protokoll. Aktuell ist hier nur Point-to-Point Protocol (PPP) möglich.

Kontrollnachricht[Bearbeiten | Quelltext bearbeiten]

Das Datenfeld des SSTP-Headers enthält eine SSTP-Kontrollnachricht, wenn das Kontrollbit C im Header gesetzt ist.

• Nachrichttyp (16 Bits) – bestimmt den Typ der übermittelten Kontrollnachricht
• Attributzähler (16 Bits) – bestimmt die Anzahl der übermittelten Attribute.
• Attribute (variabel) – enthält die Liste der zum SSTP-Kontrollpaket gehörigen Attribute. Die Anzahl der Attribute wird durch das Feld Attributzähler festgelegt.

Weblinks[Bearbeiten | Quelltext bearbeiten]

• SSTP-Client für Linux, FreeBSD, MacOS auf Sourceforge.net
• MS-SSTP: Secure Socket Tunneling Protocol (SSTP) – PDF (2,5 MB) auf microsoft.com
• MS-SSTP: Secure Socket Tunneling Protocol (SSTP) – HTML auf msdn
• Götz Güttich, Ulrich Roderer: Workshop: SSTP-VPNs mit Windows Server 2008 und neueren Windows-Systemen, 8. April 2010, auf datacenter-insider.de

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Christophe Alladoum: Analysis Protocol SSTP Microsoft. hsc.fr, 12. Juli 2011, abgerufen am 5. September 2013 (englisch). 
2. ↑ ^{a b} John Fontana: Microsoft develops new tunneling protocol SSTP for secure networks, wherever you are. techworld.com, 22. Januar 2007, abgerufen am 5. September 2013 (englisch). 
3. ↑ ^{a b} Samir Jain: SSTP FAQ - Part 1: Generic. blogs.technet.com, 10. Januar 2007, abgerufen am 5. September 2013 (englisch). 
4. ↑ Dwight Chestnut: Microsoft Communication Protocol. ehow.com, abgerufen am 5. September 2013 (englisch). 
5. ↑ ^{a b} Samir Jain: SSTP FAQ - Part 2: Client Specific. blogs.technet.com, 17. Januar 2007, abgerufen am 5. September 2013 (englisch). 
6. ↑ Cipher Suites in Schannel. msdn, 16. Juli 2013, abgerufen am 5. September 2013 (englisch). 
7. ↑ Sstp-client. SourceForge, abgerufen am 5. September 2013 (englisch). 
8. ↑ MS-SSTP Specification auf msdn (englisch).