============================================================================
- Forefront TMG 2010: Conexiones VPN con SSTP (1 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (2 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (3 de 3)
============================================================================

Como ya hemos visto anteriormente Microsoft Forefront Threat Management Gateway TMG 2010 permite hasta tres tipos de conexiones VPN (Virtual Private Network) distintas, como son mediante el uso de los protocolos PPTP, L2TP y el que ahora tratamos SSTP (Secure Socket Tuneling Protocol). En entradas anteriores desgranamos el funcionamiento de dos de ellas y como montar Redes VPN en Forefront TMG 2010 haciendo uso de PPTP y cómo hacerlo con L2TP. A continuación hablaremos y analizaremos el tercer tipo de conexión VPN permitido por Forefront TMG 2010: SSTP.

Las redes VPN implementadas por medio de SSTP hacen uso de un protocolo de comunicaciones cifradas y autenticadas ampliamente extendido, como es SSL, sobre el que funcionan los protocolos de páginas web seguras HTTP-s o FTP-s. El objetivo de SSTP es conseguir montar conexiones VPN cifradas y autenticadas que puedan ser utilizadas desde la amplia mayoría de conexiones remotas, donde los puertos SSL suelen estar permitidos. Sin embargo, hay que tener presente una serie de limitaciones a la hora de implementarlo en una organización.
Características y consideraciones:

El protocolo SSTP solo puede utilizarse si cuenta con una infraestrura de clientes con Windows Vista Service Pack1 o superior, es decir, Windows Vista SP2 y Windows 7 tamibén lo sosportan. Este protocolo también puede utilizarse con Windows Server 2008 y Windows Server 2008 R2 para establecer conexiones SSTP VPN siempre que se como clientes ya que actualmente las conexiones SSTP no están disponibles para implementar redes VPN de sitio a sitio.

Para poder hacer esta implementación, debido a que la red VPN usa SSL, es necesario que los servidores VPN SSTP, incluyendo Forefront TMG 2010 tengan instalado un certificado digital de sitio Web para enlazar la escucha Web SSTP. Además, el cliente VPN SSTP debe poder comprobar la lista de revocación de certificados (CRL) para confirmar que no ha sido cancelado el certificado del sitio Web enlazado a la escucha Web SSTP. La comprobación de CRL puede desactivarse en el cliente, pero no es una idea recomendable para un despliegue de producción. Forefront TMG también debe poder comprobar la lista CRL del certificado del sitio Web utilizado por el agente de escucha Web SSTP. A día de hoy, solo Windows Server 2008 y Windows Server 2008 R2 x64 pueden actuar como servidores VPN SSTP.

Como punto a tener en cuenta, se debe considerar que cuando se configura Forefront TMG 2010 para admitir conexiones SSTP, realmente se crea un Web Listener, necesario para aceptar las conexiones. Este Web Listener está configurado para permitir conexiones anónimas y será necesaria una dirección IP dedicada para él, ya que se trata de una conexión SSL con un certificado vinculado. Si se desea publicar cualquier otro sitio SSL utilizando el mismo servidor Forefront TMG 2010, se tendrá que hacer uso de direcciones IP adicionales para apoyar esas conexiones. Teniendo en cuenta que casi todos los sitio SSL publicados deben estar protegidos con pre-autenticación, se deberá tener más de una dirección IP en la interfaz externa para dividir el tráfico a los servidores web y a los servicios de VPN SSTP.

Cómo funciona SSTP

El proceso de conexión SSTP es bastante sencillo de entender. A continuación se puede ver cómo funciona el proceso de conexión SSTP:

Inicialmente el cliente VPN SSTP establece una conexión TCP con la puerta de enlace VPN SSTP utilizando un puerto de origen TCP aleatorio en el cliente VPN SSTP y el puerto TCP 443 en la puerta de enlace VPN SSTP. El cliente envía un mensaje de SSL-Hello, indicando que quiere establecer una sesión SSL con la puerta de enlace VPN SSTP. La puerta de enlace VPN SSTP responderá enviando la clave públicad de su certificado digital al cliente VPN SSTP.

Una vez recibido, el cliente valida el certificado digital mediante la comprobación de que sea un certificado emitido por una entidad de confianza, es decir, que la calve pública de la entidad emisora del certificado deberá estar en el almacén de entidades emisoras raíz de confianza del cliente para que se pueda comprobar si el certificado es correcto. Además, comprobará que el certificado no ha sido revocado, comprobándolo en la CRL de la entidad emisora (CA).

Una vez comprobado el certificado, el cliente VPN SSTP determina el método de cifrado para la sesión SSL, genera una clave de sesión SSL que cifra con la clave pública del Gateway VPN SSTP y la envía a la puerta de enlace VPN SSTP. La puerta de enlace VPN SSTP descifra con la clave privada la clave de sesión SSL que viene en el mensaje y, a partir de ese instante, todas las comunicaciones entre ellos se cifran con el método de cifrado negociado y la clave de sesión SSL.

Una vez elegido el método de cifrado, el cliente VPN SSTP envía una petción HTTP sobre SSL (HTTPS) con un mensaje de solicitud a la puerta de enlace VPN SSTP para negociar el tunel SSTP y establecer la conexión con el servidor. Una vez establecido el tunel SSTP, se negocia una conexión PPP con el servidor SSTP. Esta negociación incluye autenticar las credenciales del usuario utilizando métodos de autenticación estándar PPP - incluso autenticación EAP - y los parámetros de tráfico IPv4 o IPv6.

En la siguiente imagen podemos ver la arquitectura del protocolo VPN. SSTP tiene un encabezado adicional en comparación con los otros dos protocolos VPN. Porque hay encapsulación HTTPS a la cabecera SSTP. L2TP y PPTP no tienen encabezados de capa de aplicación encapsulando la comunicación.


Figura 1: Diagrama de funcionamiento VPN SSTP

============================================================================
- Forefront TMG 2010: Conexiones VPN con SSTP (1 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (2 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (3 de 3)
============================================================================