Network World, США
Корпорация работает над созданием собственного туннельного протокола, необходимого для организации защищенного удаленного доступа
Корпорация Microsoft работает над созданием собственного туннельного протокола удаленного доступа для операционных систем Windows Vista и Longhorn Server, который позволит клиентским устройствам получать защищенный доступ к сетям по виртуальной частной сети из любой точки Internet, не опасаясь типичных проблем, возникающих в связи с блокировкой портов.
Протокол Secure Socket Tunneling Protocol (SSTP) позволит создавать туннели виртуальной частной сети поверх Secure-HTTP, тем самым решая проблемы, связанные с созданием виртуальной частной сети на основе Point-to-Point Tunneling Protocol (PPTP) или Layer 2 Tunneling Protocol (L2TP), которые могут быть блокированы какими-либо Web-шлюзом, сетевым экраном или транслятором IP-адресов, размещенными между клиентами и серверами.
Однако этот протокол предназначен только для удаленного доступа и не будет поддерживать туннели виртуальной частной сети между узлами (site-to-site).
В Microsoft рассчитывают, что SSTP поможет сократить число обращений в службу поддержки, связанных с виртуальными частными сетями на базе IPSec, в тех случаях, когда эти соединения блокируются сетевыми экранами или маршрутизаторами. Кроме того, SSTP не потребует переобучения, поскольку он не меняет элементы управления частной сети, доступные конечному пользователю. Причем поддержка SSTP может быть добавлена непосредственно в существующие интерфейсы VPN-клиента и сервера, поставляемого Microsoft.
Microsoft планирует реализовать поддержку SSTP в Vista Service Pack 1, а также в Longhorn Server. Дата выпуска для Vista SP1 пока не установлена, а Longhorn должен появиться во второй половине нынешнего года. Поддержка SSTP будет реализована в Longhorn Server Beta 3, которую корпорация намерена представить уже в первой половине 2007 года.
В Microsoft также отмечают, что компания работает с партнерами (не сообщая их названий) над тем, чтобы добавить поддержку SSTP в устройства, не использующие Windows Vista.
Кроме того, SSTP станет частью сервиса Routing and Remote Access Server (RRAS) в Longhorn Server. Этот протокол базируется на Secure Socket Layer (SSL), а не на PPTP или IPSec, и весь трафик SSTP будет передаваться через TCP-порт 443.
Несмотря на интеграцию SSL 3.0 и HTTP 1.1 с 64‑разрядным стандартом на шифрование, в Microsoft пока не предполагают добиваться стандартизации SSTP.
В Microsoft подчеркивают, что SSTP — это всего лишь туннельный протокол и его нельзя напрямую сравнивать с технологией SSL-VPN.
«Однако, поскольку SSTP обеспечивает полный сетевой доступ виртуальной частной сети через SSL, сервер RRAS может использоваться как базовое решение SSL VPN или стать одним из компонентов при создании комплексного решения SSL VPN за счет формирования общего туннеля SSL, — отметил Самир Джейн, менеджер программы Microsoft RRAS. — Кроме того, SSTP также можно использовать в сервере для защиты отдельных IP-адресов и подсетей».
В общем, по словам Джейна, SSTP формирует прослойку для передачи датаграмм PPP-протокола внутри SSL-сеанса, который ориентирован на потоковую передачу. Это и позволяет преодолевать сетевой экран. Шифрование выполняется в SSL, а аутентификация пользователя — с помощью PPP.
Джейн подчеркнул, что SSTP не ориентирован на конкретное приложение и будет поддерживать туннелирование для любого программного обеспечения и протокола. Сейчас Microsoft использует аналогичное соединение через Secure-HTTP для маршрутизации вызовов удаленных процедур из клиентов Outlook для доступа к Exchange, но эта технология ориентирована исключительно на Exchange.
Кроме того, Microsoft планирует интегрировать SSTP с новой технологией защиты сетевого доступа Network Access Protection (NAP), которая позволяет выполнять проверку состояния клиентов до того, как они получают разрешение на доступ к сети.
«SSTP — это протокол соединения в RRAS, который может действовать как точка контроля выполнения сетевой политики при использовании NAP», — отметил Джейн. Он подчеркнул, что политику сразу можно будет задавать для туннелей SSTP, PPTP и L2TP.
По словам Джейна, SSTP будет применяться в одном канале Secure-HTTP от клиента к серверу для того, чтобы увеличить эффективность использования сети и поддерживать надежную технологию аутентификации, такую как смарт-карты и аппаратные ключи. Кроме того, SSTP поддерживает существующие возможности RAS, такие как политики удаленного доступа и генерация профилей, с помощью Connection Manager Administration Kit.