Suchen

Definition Secure Socket Tunneling Protocol Was ist SSTP?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Das Secure Socket Tunneling Protocol (SSTP) wurde von Microsoft entwickelt und ist seit Windows Vista fest im Windows Betriebssystem verankert. Mit dem Protokoll lassen sich sichere VPN-Verbindungen aufbauen. Es nutzt verschlüsseltes HTTP und den Port 443.

SSTP ist das Secure Socket Tunneling Protocol von Microsoft. Es ermöglicht den Aufbau sicherer VPN-Tunnel über verschlüsseltes HTTP und Port 443.
SSTP ist das Secure Socket Tunneling Protocol von Microsoft. Es ermöglicht den Aufbau sicherer VPN-Tunnel über verschlüsseltes HTTP und Port 443.
(Bild: Pixabay / CC0 )

Die Abkürzung SSTP steht für Secure Socket Tunneling Protocol. Es handelt sich um ein proprietäres, von Microsoft entwickeltes VPN-Tunnelprotokoll für den Aufbau sicherer Verbindungen über IP-Netzwerke wie das Internet. Das Secure Socket Tunneling Protocol stammt aus dem Jahr 2007 und verwendet den Standardport 443 für verschlüsseltes HTTP. Die in anderen Tunnelprotokollen wie IPSec (Internet Protocol Security) oder PPTP (Point-to-Point Tunneling Protocol) häufig auftretenden Probleme mit Firewalls, Proxys und NAT-Routern schließt SSTP größtenteils aus.

Das Protokoll basiert auf SSL (Secure Sockets Layer) und ermöglicht den Aufbau von Client-to-Site-VPNs. Für Site-to-Site-VPNs, die komplette Netzwerke über sichere Tunnel miteinander verbinden, ist es eher ungeeignet. Das Secure Socket Tunneling Protocol lässt sich sowohl in IPv4- als auch in IPv6-Netzwerken verwenden. Die Verschlüsselungsverfahren von SSTP sind die für SSL verfügbaren Algorithmen wie AES, RC4 oder 3DES. Clientseitig ist SSTP seit Windows Vista Service Pack 1 fest im Windows-Betriebssystem verankert. Für andere Betriebssysteme wie Linux oder MacOS existieren eigene SSTP-Clients. Auf Serverseite ist Windows Server 2008 oder höher in Kombination mit Routingfunktion und Remote Access Service (RRAS) notwendig. Das Secure Socket Tunneling Protocol ist seitens der IETF nicht standardisiert.

Warum SSTP?

Daten innerhalb eines VPN-Tunnels sind verschlüsselt, um für deren Vertraulichkeit und Integrität zu sorgen. Kommen auf VPN-Verbindungen Verfahren wie Network Address Translation zum Einsatz, sind verschlüsselte IP-Adressen für die NAT-Router nicht zugänglich oder die Pakete verlieren durch Veränderungen von IP-Adressen und TCP-Ports ihre Integrität. Die Folge ist, dass Pakete verworfen werden und der Verbindungsaufbau des Tunnels scheitert. Auch Firewalls können zu Problemen für VPN-Tunnel führen. Mit SSTP sollen die typischen Probleme in diesem Umfeld verhindert werden. Das Protokoll verwendet HTTPS auf dem Standardport 443 und gestattet Clients den Zugriff auf Netzwerken hinter Firewalls, NAT-Routern oder Proxys ohne die typischen Blockierungsprobleme.

Merkmale des Secure Socket Tunneling Protocols

Die typischen Merkmale des Socket Tunneling Protocols sind:

  • Verwendung von HTTPS und Port 443 für die sichere Verbindung
  • Feste Integration des Clients im Windows Betriebssystem
  • Verankerung im Windows Server Betriebssystem und RRAS
  • Geeignet für Client-to-Site-VPNs
  • Proprietäres Protokoll ohne Standardisierung durch die IETF
  • Unterstützung von IPv4 und IPv6
  • Aufbau anwendungsunabhängiger Tunnelverbindungen
  • Beseitigt die typischen Probleme anderer Tunnelprotokolle wie IPSec oder PPTP

Der Verbindungsaufbau mit SSTP

Das Secure Socket Tunneling Protocol durchläuft beim Verbindungsaufbau mehrere Phasen. Zunächst baut der Client über den Port 443 eine TCP-Verbindung auf. Anschließend erfolgt ein SSL/TLS-Handshake mit dem Server der Gegenseite, bei dem der Client das X.509-Serverzertifikat erhält und prüft. Ist die SSL/TLS-Verbindung etabliert, baut der Client eine HTTP-Sitzung zum Server auf. Auf dieser HTTP-Verbindung tauschen Client und Server die SSTP-Kontroll- und Steuerpakete aus.

In einem weiteren Schritt erfolgt über SSTP der PPP-Verbindungsaufbau inklusive Authentifizierung der Kommunikationspartner. Steht die PPP-Verbindung, erhalten die beiden Endpunkte Server und Client private IP-Adressen. Über diese Adressen können sie ihre verschlüsselten Daten per SSTP austauschen.

(ID:45634886)

Über den Autor