Jak používat VPN s protokolem Secure Socket Tunneling Protocol (SSTP)
SSTP je zkratka pro Secure Socket Tunneling Protocol. Je to protokol VPN vyvinutý společností Microsoft, který byl zpřístupněn od Windows Vista SP1 a novější. SSTP je poměrně běžně používaný protokol VPN – alespoň mezi uživateli Windows. SSTP je také podporován v systémech Linux, Android a na mnoha směrovačích. V tomto příspěvku se podíváme na to, co je SSTP a jak funguje. Ukážeme vám také, jak jej používat ve Windows 10 a v Linuxu.
Co je SSTP?
SSTP je protokol VPN. Stručně řečeno, vytvoří šifrované spojení mezi vaším zařízením (smartphone, tablet, notebook) a server VPN . Server VPN poté předá váš provoz dešifrovaný na web, který jste požadovali, přičemž v procesu nahradí vaši IP adresu.
Stejně jako protokol PPTP VPN, vyvinutý také společností Microsoft, podporuje SSTP protokol Point-to-Point (PPP). PPP je přímé spojení (vrstva 2) mezi dvěma směrovači bez jakýchkoli prostředníků. PPP podporuje ověřování, šifrování a kompresi dat.
PPTP je dnes považováno za nejisté a je tomu tak již mnoho let. I sám Microsoft doporučuje přejít na jiný protokol VPN. Microsoft vyvinul SSTP jako aktualizovaný a bezpečnější nástupce PPTP.
Výhody a nevýhody SSTP
Klady:
- Používá známé a důvěryhodné šifry
- Snadné nastavení a konfigurace
- Použití TCP přes port 443 ztěžuje blokování SSTP
- Poskytuje slušné rychlosti, pokud máte dobrou šířku pásma i přes použití TCP
Nevýhody:
- Protokol SSTP VPN je uzavřený zdroj a je vlastněn společností Microsoft
- Omezená podpora platformy
- Podporuje pouze neověřené proxy, které mohou odhalit skutečnost, že používáte SSTP
- Náchylné na problém TCP Meltdown na sítích s vysokou latencí nebo přetíženými sítěmi
Jak funguje SSTP?
SSTP spoléhá na Protokol Secure Socket Layer (SSL) pro šifrování. SSL je open-source protokol a je považován za velmi bezpečný. Je to to, co používáte, když se přihlašujete do svého internetového bankovnictví nebo nakupujete přes internet. Knihovna SSL obvykle používá šifru AES, která se běžně používá v jiných protokolech VPN, jako jsou OpenVPN a IKEv2.
Ve skutečnosti je SSTP často srovnáván s OpenVPN, protože oba protokoly používají SSL a oba mohou běžet na portu 443 (HTTPS). SSTP běží pouze přes port 443. OpenVPN může běžet na libovolných portech, včetně portu 443.
Zatímco většina protokolů VPN standardně používá protokol UDP, SSTP používá výhradně protokol TCP.
UDP znamená User Datagram Protocol. UDP bývá mnohem rychlejší než TCP, protože UDP vůbec neobsahuje opravný mechanismus. Jednoduše posílá data potrubím a doufá v to nejlepší. Z tohoto důvodu je někdy označován jako „Nespolehlivý datagramový protokol“. Je to proto, že UDP má mnohem menší režii než TCP, že je obvykle výchozí u většiny ostatních protokolů VPN.
TCP , je zkratka pro Transmission Control Protocol. TCP obsahuje opravný mechanismus, který zajišťuje, že byla přenesena příslušná data a ve správném pořadí. TCP znovu odešle všechny chybějící pakety a zajistí, že jsou všechny v pořádku. Tento opravný mechanismus zvyšuje významnou režii připojení TCP, která jsou pomalejší a mohou vést k tomu, co se nazývá TCP Meltdown.
Roztavení TCP
Když je TCP použit ve spojení VPN přes špinavou síť, je docela pravděpodobné, že pakety budou buď zahazovány, nebo dorazí mimo provoz. Když k tomu dojde, opravný mechanismus TCP požádá o opětovné odeslání paketů. A pokud se to stane dostatečně často, vaše připojení VPN se zpomalí na procházení, protože vaše pakety jsou znovu přenášeny a znovu ověřovány. To je konkrétně problém TCP Meltdown. A SSTP je vůči němu zranitelný.
I když se nedostanete do bodu „zhroucení“, SSTP bude vždy pomalejší než protokoly VPN, které běží přes UDP. Podle mých zkušeností však SSTP stále poskytuje slušné rychlosti - jen ne něco, co vás vyhodí z vody.
Port 443
Na druhou stranu, protože SSTP běží přes port 443, je docela dobrý v obcházení restriktivních firewallů. Ve skutečnosti, když uživatelé OpenVPN mají co do činění s omezujícími firewally, jednou z nejběžnějších praktik je použití protokolu TCP přes port 443, což pomáhá, protože váš provoz se zdá být pouze běžný HTTPS, takže je těžší odlišit provoz VPN od normálního webu. provoz.
Žádná podpora ověřeného proxy serveru
SSTP má však v tomto ohledu ve srovnání s OpenVPN slabinu. Zatímco OpenVPN podporuje ověřené i neověřené proxy servery (po VPN), SSTP nepodporuje ověřené proxy servery. To je problém, protože pokud někdo používá neověřený proxy přes SSTP, správce sítě by mohl detekovat hlavičky SSTP a mohl by tento provoz zahodit, pokud by chtěl.
Ověřený proxy server je proxy server, který pro přístup vyžaduje ověření – obvykle uživatelské jméno a heslo. Neověřený proxy je takový, který pro přístup nevyžaduje žádné ověření. Při použití neověřeného proxy serveru přes SSTP se verze SSTP objeví v HTTP hlavičkách takto:
|_+_|Správce sítě tedy mohl snadno zablokovat připojení SSTP, která procházejí neověřeným proxy serverem.
Při použití ověřeného proxy se to nestane. Od listopadu 2011 však SSTP nepodporuje ověřené proxy. Pokud tedy chcete používat proxy server přes SSTP, bude to muset být neověřený proxy, který odhalí, že používáte SSTP, přestože používáte SSL přes port 443. Není to nejlepší věc pro obcházení restriktivních sítí nebo pro soukromí.
Uzavřený zdroj
Jedna věc, která některé lidi znepokojuje při používání SSTP, je skutečnost, že se jedná o uzavřený protokol VPN vyvinutý a vlastněný společností Microsoft. Obecně platí, že aby byl protokol VPN považován za bezpečný, musí být open source. Pokud tomu tak není, znamená to, že nebude veřejně zkontrolován a nikdo nemůže kód auditovat. Držíte palce, aby to vývojáři udělali správně. Jak již mnozí zdůraznili, o společnosti Microsoft je známo, že spolupracuje se zpravodajskými agenturami, jako je např NSA , při shromažďování a sdílení uživatelských dat – což není přesně to, co při používání VPN hledáte.
Jak vytvořit připojení SSTP VPN v systému Windows 10
Vytvoření připojení SSTP VPN ve Windows 10 je docela jednoduché. Přesto vás provedeme všemi kroky.
- z Nabídka Start , klikněte na Ikona ozubeného kola (Nastavení). The Nastavení systému Windows stránka se zobrazí.
- Klikněte Síť a internet . The Stav sítě stránka se zobrazí.
- V nabídce na levé straně vyberte VPN . The VPN stránka se zobrazí.
- Klikněte na + vedle Přidejte připojení VPN . The Přidejte připojení VPN stránka se zobrazí.
- Pod Poskytovatel VPN , vyberte Windows (vestavěný) .
- Pod Název připojení , zadejte svému připojení popisný název.
- Pod Název nebo adresa serveru , zadejte buď IP adresu nebo název domény SSTP serveru, ke kterému se chcete připojit. V seznamu serverů vašeho poskytovatele SSTP VPN vyhledejte názvy domén nebo IP adresy jeho serverů SSTP.
- Pod Typ VPN , vyberte Secure Socket Tunneling Protocol (SSTP) .
- V části Typ přihlašovacích údajů vyberte Uživatelské jméno a heslo.
- Do příslušných polí zadejte své uživatelské jméno a heslo.
- Klikněte Uložit . Jste převezeni zpět do VPN strana.
- Chcete-li se připojit k serveru SSTP, klepněte na Připojit .
- Vaše SSTP VPN je nyní připojena.
- Změnu vaší IP adresy můžete ověřit pomocí nástroje Comparitech IP Address Check Tool.
Jak vytvořit připojení SSTP VPN v Linux Mint
V závislosti na vaší verzi Linux Mint , můžete nebo nemusíte již mít možnost přidávat připojení SSTP VPN. Ať tak či onak, stále budete moci nakonfigurovat připojení SSTP; možná budete muset nainstalovat nějaké další balíčky.
Chcete-li zkontrolovat, zda ke konfiguraci připojení SSTP potřebujete nainstalovat další balíčky, postupujte podle pokynů níže.
Kontrola, zda jsou k vytvoření připojení SSTP vyžadovány další balíčky:
- Na ploše klikněte na Správce sítě ikona v pravé dolní části obrazovky. The Síťová připojení se objeví okno.
- Klikněte na + v levé dolní části okna. The Typ připojení se zobrazí okno.
- Klikněte na rozevírací seznam a vyhledejte Point-to-Point Tunneling Protocol (SSTP) . Pokud tam je, nejsou potřeba žádné další balíčky. Pokud tomu tak není, postupujte podle níže uvedených kroků.
Instalace balíčků SSTP
- V okně terminálu zadejte následující příkazy, jeden po druhém. Kdykoli k tomu budete vyzváni, zadejte své heslo.
Jakmile jsou výše uvedené balíčky nainstalovány, máte vše, co potřebujete ke konfiguraci připojení SSTP VPN v Linux Mint. I když jsou následující pokyny konkrétně pro Linux Mint, ve většině linuxových distribucí založených na Debianu jsou dostatečně podobné, takže byste je měli být schopni dodržovat v jiné distribuci Linuxu, pokud je založena na Debianu.
- Na ploše klikněte na Správce sítě ikona v pravé dolní části obrazovky. The Síťová připojení se objeví okno.
- Klikněte na + v levé dolní části okna. The Typ připojení se zobrazí okno.
- Z rozevíracího seznamu vyberte Point-to-Point Tunneling Protocol (SSTP) .
- Jste převezeni zpět do Typ připojení okno. Klikněte Vytvořit . The Editace VPN se zobrazí okno.
- Vedle Název připojení , zadejte svému připojení popisný název.
- Vedle Uživatelské jméno , vložte svoji přezdívku.
- Klikněte na ikona klíčové dírky v Heslo pole a vyberte Uložte heslo pouze pro tohoto uživatele a do pole zadejte své heslo Heslo pole.
- Zkontrolovat Ignorovat varování certifikátu TLS box.
- Klikněte Uložit . Vaše připojení SSTP je nyní nakonfigurováno. Zavři Typ připojení okno.
- Chcete-li povolit připojení VPN, na ploše klikněte na Ikona správce sítě v pravém dolním rohu obrazovky a zapněte připojení VPN.
- Po úspěšném připojení se zobrazí upozornění, že jste nyní připojeni k VPN.
- Změnu vaší IP adresy můžete ověřit pomocí nástroje Comparitech IP Address Check Tool.
Závěr
Podívali jsme se, co je SSTP a jak funguje. Také jsme si ukázali, jak vytvořit připojení SSTP ve Windows 10 a v Linuxu. A i když SSTP má některé věci, jako jsou robustní šifry a schopnost obejít omezující brány firewall, stále bych doporučil používat OpenVPN, IPsec nebo WireGuard. Hlavním důvodem je, že SSTP je uzavřený zdroj a je vlastněn společností Microsoft, která není nijak zvlášť šetrný k soukromí .
Pokud však potřebujete obejít restriktivní firewally, konkrétně bych doporučil používat OpenVPN v režimu TCP a přes port 443. Dostanete se tak na stejné místo, jako kdybyste používali SSTP, ale budete používat osvědčené, open source protokol VPN a nebudete se muset divit, co Microsoft nebo jiné třetí strany mohou dělat s vašimi daty.
Zůstat v bezpečí.