Конечно, есть способы построить VPN, проходящие через брандмауэр, не задавая новые правила. Один из типичных способов -- использовать VPN на основе Secure Sockets Layer (SSL), которую можно настроить для работы через обычные порты HTTP.
Именно для этой цели предназначена новая технология компании Microsoft, Secure Socket Tunneling Protocol (SSTP). SSTP -- протокол для прокладки туннеля между клиентом и сервером, который значительно упрощает организацию соединений.
Самое крупное достоинство SSTP заключается в том, что протокол действует через стандартные порты HTTP, и поэтому трафик достигает оконечного сервера, даже если клиент находится за сетью с NAT (службой трансляции сетевых адресов), Web-посредником или корректно настроенным брандмауэром, через который проходит по-крайней Web-трафик. Это очень полезно, особенно для мобильных пользователей, работающих с сетями в отелях и конференц-залах, из которых доступ к сети предприятия настолько затруднен, что допускается выполнение лишь простейших операций.
Компания Microsoft уже выпустила Windows Vista для предприятий и готовится представить новую операционную систему потребителям. Естественно, компания активно работает над пакетом обновления SP1, и в его составе будет SSTP. Компания также планирует сделать SSTP частью версии Windows Longhorn Server Beta 3, выпуск которой ожидается в первой половине 2007 г.
Самир Джайн, ведущий программист технологии RRAS в компании Microsoft, говорит, что протокол SSTP безупречно интегрирован с операционной системой и обычно работает с типовыми интерфейсами RRAS. Благодаря интеграции пользователь получает привычную функциональность RRAS, в частности, поддержку NAP (защита сетевого доступа), IPv6 и различных механизмов аутентификации, таких как смарт-карты.
Принцип действия SSTP очень похож на способ применения SSL в браузере, конечно, с некоторыми особенностями. Клиентский компьютер подключается к SSTP-серверу через TCP-порт 443 (стандартный SSL-порт). После того, как сформирован сеанс SSL, два компьютера согласовывают сеанс Point-to-Point Protocol (PPP), в том числе выполняют необходимую аутентификацию. В сущности, этим и исчерпывается его назначение.
По словам Джайна, SSTP можно развернуть на одном сервере с существующим L2TP VPN, и SSTP может использовать общий серверный сертификат с L2TP VPN. Благодаря тесной интеграции SSTP и RRAS, для реализации SSTP требуются совсем небольшие усилия по дополнительной настройке SSTP.
Конечно, использование SSTP связано с рядом недостатков. Например, SSTP не работает с Web-посредниками, которые требуют проверки подлинности. Еще один потенциальный недостаток - непригодность SSTP для организации соединений между сайтами. Этот недостаток вряд ли имеет большое значение, так как операторы сайтов могут управлять брандмауэрами в своих сетях и применить другой способ связи. В будущем компания Microsoft может расширить SSTP для обслуживания межсайтовых соединений. Другим недостатком может стать несовместимость с Windows XP, но это выяснится позже. Пока компания не разъяснила свою позицию относительно SSTP для компьютеров XP.
Тем не менее, с применением SSTP снизится нагрузка на многих мобильных пользователей, и это очевидное достоинство. Итак, уже есть повод обратить внимание на Vista SP1. Я уверен, что в течение года появятся сообщения и о других достоинствах пакета.