Microsoft desarrollará un nuevo protocolo para la creación de túneles VPN seguros
Microsoft se encuentra trabajando en una nueva tecnología destinada al acceso remoto mediante VPN seguras. El protocolo SSTP (Secure Socket Tunneling Protocol) se incorporará en Vista y Longhorn Server.
SSTP permitirá a los dispositivos cliente acceder a las redes mediante una VPN desde cualquier punto de Internet. La tecnología creará un túnel VPN sobre Secure-HTTP, eliminando así los problemas asociados con las conexiones VPN basadas en PPTP (Point-to-Point Tunneling Protocol (PPTP) o en L2TP (Layer 2 Tunneling Protocol), que pueden ser bloqueadas por algunos proxies Web, firewall y routers NAT (Network Address Translation). Sin embargo, el protocolo sólo se podrá utilizar para el acceso remoto pero no soportará túneles VPN punto a punto.
La compañía planea lanzar el soporte de SSTP en Vista Service Pack 1, sin fecha prevista, y en Longhorn Server, en la segunda mitad de este año. SSTP estará incluido en Longhorn Server Beta 3, que estará listo en esta primera mitad de 2007. Asimismo, está trabajando con otras empresas, cuyo nombre no ha querido desvelar, para añadir SSTP a otros dispositivos cliente además de aquellos con Vista. En Longhorn Server, SSTP formará parte del Routing and Remote Access Server (RRAS).
Detalles técnicos
SSTP no exigirá el tener que reconfigurar el dispositivo para iniciar la conexión ya que no cambia los controles de la VPN en el usuario final. El túnel VPN basado en SSTP se conecta directamente con las interfaces de software cliente y servidor para VPN de Microsoft.
El protocolo está basado en Secure Socket Layer (SSL) en vez de en PPTP o IPSec, y todo el tráfico SSTP utilizará TCP Port 443. A pesar de incorporar SSL 3.0 y HTTP 1.1 con estándares de codificación de 64 bit, Microsoft no pretende estandarizar SSTP, porque sólo es un protocolo de tunneling que no puede compararse con las VPN SSL. “Sin embargo, como SSTP proporciona acceso VPN a toda la red sobre SSL, RRAS puede proporcionar a los clientes una solución VPN SSL básica o puede construir un bloque para una solución VPN SSL más completa al proporcionar un túnel SSL genérico”, explica Samir Jain, director de programas de RRAS en Microsoft. “SSTP también proporciona soporte en el servidor para bloquear IP y subredes específicas”.
Con SSTP, Microsoft ofrecerá soporte para IPv6, de manera que un túnel SSTP podrá establecerse sobre redes IPv6. Además, IPv6 y PPPv6 podrán enviarse por un túnel SSTP. Jain explica en su blog que SSTP soportará creación de túneles para cualquier aplicación o protocolo. Actualmente, Microsoft utiliza una conexión similar sobre Secure.-HTTP para dirigir las entradas remotas de los clientes de Outlook que quieren acceder a Exchange, pero esta tecnología es específica para Exchange.
Microsoft también planea integrar SSTP en su futura tecnología NAP (Network Access Protection), que proporciona informes sobre el estado de los clientes antes de que puedan acceder a la red.
SSTP se ejecutará sobre un único canal Secure-HTTP desde el cliente al servidor para mejorar el uso de la red y soportará tecnologías de autenticación robustas como tarjetas inteligentes y tokens RSA securID. SSTP también soporta las actuales capacidades de RAS como políticas de acceso remoto y generación de perfiles mediante el uso de la herramienta Connection Manager Administration Kit.
http://blogs.technet.com/rrasblog/archive/2007/01/17/sstp-faq-part-2-client-specific.aspx
La compañía planea lanzar el soporte de SSTP en Vista Service Pack 1, sin fecha prevista, y en Longhorn Server, en la segunda mitad de este año. SSTP estará incluido en Longhorn Server Beta 3, que estará listo en esta primera mitad de 2007. Asimismo, está trabajando con otras empresas, cuyo nombre no ha querido desvelar, para añadir SSTP a otros dispositivos cliente además de aquellos con Vista. En Longhorn Server, SSTP formará parte del Routing and Remote Access Server (RRAS).
Detalles técnicos
SSTP no exigirá el tener que reconfigurar el dispositivo para iniciar la conexión ya que no cambia los controles de la VPN en el usuario final. El túnel VPN basado en SSTP se conecta directamente con las interfaces de software cliente y servidor para VPN de Microsoft.
El protocolo está basado en Secure Socket Layer (SSL) en vez de en PPTP o IPSec, y todo el tráfico SSTP utilizará TCP Port 443. A pesar de incorporar SSL 3.0 y HTTP 1.1 con estándares de codificación de 64 bit, Microsoft no pretende estandarizar SSTP, porque sólo es un protocolo de tunneling que no puede compararse con las VPN SSL. “Sin embargo, como SSTP proporciona acceso VPN a toda la red sobre SSL, RRAS puede proporcionar a los clientes una solución VPN SSL básica o puede construir un bloque para una solución VPN SSL más completa al proporcionar un túnel SSL genérico”, explica Samir Jain, director de programas de RRAS en Microsoft. “SSTP también proporciona soporte en el servidor para bloquear IP y subredes específicas”.
Con SSTP, Microsoft ofrecerá soporte para IPv6, de manera que un túnel SSTP podrá establecerse sobre redes IPv6. Además, IPv6 y PPPv6 podrán enviarse por un túnel SSTP. Jain explica en su blog que SSTP soportará creación de túneles para cualquier aplicación o protocolo. Actualmente, Microsoft utiliza una conexión similar sobre Secure.-HTTP para dirigir las entradas remotas de los clientes de Outlook que quieren acceder a Exchange, pero esta tecnología es específica para Exchange.
Microsoft también planea integrar SSTP en su futura tecnología NAP (Network Access Protection), que proporciona informes sobre el estado de los clientes antes de que puedan acceder a la red.
SSTP se ejecutará sobre un único canal Secure-HTTP desde el cliente al servidor para mejorar el uso de la red y soportará tecnologías de autenticación robustas como tarjetas inteligentes y tokens RSA securID. SSTP también soporta las actuales capacidades de RAS como políticas de acceso remoto y generación de perfiles mediante el uso de la herramienta Connection Manager Administration Kit.
http://blogs.technet.com/rrasblog/archive/2007/01/17/sstp-faq-part-2-client-specific.aspx
