SSTP: VPN protokol od Microsoftu přátelský k firewallům

Co to je

Secure Socket Tunneling Protocol, známější jako SSTP, je VPN protokol vytvořený společností Microsoft a představený spolu s Windows Vista. Na rozdíl od mnoha jiných VPN protokolů byl SSTP navržen od základu tak, aby bezproblémově fungoval v prostředích, která typicky blokují VPN provoz — například v podnikových sítích, školách nebo zemích s restriktivní internetovou politikou.

Název sám o sobě napovídá, jak funguje: tuneluje vaše VPN připojení skrze SSL/TLS — stejnou šifrovací technologii, která chrání vaše každodenní HTTPS prohlížení webu. Díky tomu vypadá SSTP provoz téměř identicky jako běžný zabezpečený webový provoz, což velmi ztěžuje jeho detekci nebo blokování ze strany firewallů a správců sítě.

Jak funguje

SSTP pracuje přes TCP port 443, což je standardní port používaný protokolem HTTPS. To je klíčový detail, který jej odlišuje od protokolů jako OpenVPN nebo IKEv2, jež používají jiné porty, které lze snadno identifikovat a zablokovat.

Základní průběh připojení je následující:

  1. Zahájení připojení — Váš VPN klient naváže SSL/TLS handshake s VPN serverem, stejně jako by to udělal váš prohlížeč při připojení k zabezpečenému webu.
  2. Vytvoření tunelu — Jakmile je zabezpečený kanál zřízen, data PPP (Point-to-Point Protocol) jsou zapouzdřena do HTTP rámců a odesílána skrze tento kanál.
  3. Šifrování — Veškerá data procházející tunelem jsou šifrována pomocí SSL/TLS, zpravidla s využitím šifrování AES-256 pro silnou ochranu.
  4. Autentizace — SSTP podporuje autentizaci pomocí certifikátů, která přidává další vrstvu ověření mezi klientem a serverem.

Protože provoz využívá port 443 a je zabalen do TLS, nástroje pro hloubkovou inspekci paketů jen stěží dokáží odlišit tento provoz od běžného HTTPS prohlížení — vlastnost označovaná jako obfuskace.

Proč je to důležité pro uživatele VPN

Největší silou SSTP je jeho schopnost obcházet firewally. Pokud jste se někdy pokusili připojit k VPN a zjistili, že je zablokována — v práci, ve školní síti nebo při cestování do země s rozsáhlými internetovými omezeními — SSTP je jedním z protokolů, který má největší šanci se prosadit.

Praktickou výhodou je také jeho hluboká integrace s Windows. Windows nativně podporuje SSTP bez nutnosti instalace softwaru třetích stran, což usnadňuje nastavení pro každého, kdo již používá počítač s Windows. Díky tomu je SSTP obzvláště atraktivní pro IT administrátory nasazující řešení vzdáleného přístupu v podnikových prostředích zaměřených na Windows.

Z hlediska bezpečnosti obstojí SSTP dobře. Šifrování SSL/TLS je vyspělé, dobře prověřené a celosvětově důvěryhodné. Vyhýbá se známým zranitelnostem spojeným se staršími protokoly, jako jsou PPTP nebo L2TP.

SSTP má však také výrazná omezení. Jde v podstatě o proprietární protokol Microsoftu, což znamená omezenou podporu na jiných platformách než Windows, jako jsou macOS, Linux, Android a iOS — ačkoli některé klienty třetích stran částečnou podporu přidaly. Protože Microsoft kontroluje specifikaci protokolu, mají nezávislí bezpečnostní výzkumníci menší přehled o protokolu ve srovnání s open-source alternativami, jako jsou OpenVPN nebo WireGuard.

Zvážit je třeba také výkon. Protože SSTP používá TCP místo UDP, může trpět problémem označovaným jako „TCP meltdown" — kdy ztráta paketů způsobuje zpoždění při opakovaném přenosu, která se hromadí a zpomalují připojení. Protokoly postavené na UDP obecně dosahují lepšího výkonu u úloh citlivých na latenci, jako je streamování nebo hraní her.

Praktické případy použití

  • Podnikový vzdálený přístup — IT týmy v prostředích využívajících Windows často nasazují SSTP pro vzdálené pracovníky, kteří se potřebují připojovat ze sítí s restriktivními pravidly firewallu.
  • Obcházení cenzury — Cestovatelé navštěvující země, které blokují běžné VPN protokoly, se mohou spolehnout na chování SSTP na portu 443 pro zachování přístupu.
  • Bezpečné prohlížení v omezených sítích — Školní nebo hotelové sítě, které blokují VPN porty, často ponechávají port 443 otevřený, čímž se SSTP stává spolehlivou záložní možností.
  • Kompatibilita se staršími systémy — Organizace, které již investovaly do infrastruktury Windows Serveru, mohou dávat přednost SSTP díky jeho zabudované kompatibilitě.

Pro většinu běžných uživatelů VPN nabízejí moderní protokoly jako WireGuard nebo OpenVPN lepší výkon a širší podporu platforem. SSTP však zůstává spolehlivým nástrojem tehdy, když je prioritou obcházení firewallů a pracujete v prostředí zaměřeném na Windows.