Was ist SSTP und wie funktioniert es?

SSTP (Secure Socket Tunneling Protocol) ist ein von Microsoft entwickeltes VPN-Protokoll, das PPP-Datenverkehr innerhalb von SSL/TLS-Kanälen über TCP-Port 443 kapselt. Dieses Design ermöglicht es, die meisten Firewalls und Proxy-Server unentdeckt zu passieren, da der Datenverkehr identisch mit standardmäßigem HTTPS-Webverkehr erscheint.

Warum verwendet SSTP Port 443 und welchen Vorteil bietet das?

Port 443 ist der Standard-HTTPS-Port, was bedeutet, dass SSTP-Datenverkehr nahtlos mit normalem Webbrowsing verschmilzt. Dies macht es für Firewalls und Netzwerkadministratoren äußerst schwierig, SSTP zu blockieren, ohne gleichzeitig den gesamten regulären HTTPS-Datenverkehr zu unterbrechen, was ihm außergewöhnliche Firewall-Durchquerungsfähigkeiten in restriktiven Netzwerkumgebungen verleiht.

Gilt SSTP als sicher, und welche Verschlüsselung verwendet es?

SSTP nutzt SSL/TLS-Verschlüsselung, typischerweise AES-256, was es sehr sicher macht. Da Microsoft das Protokoll kontrolliert, gilt es auf Windows-Plattformen als vertrauenswürdig. Allerdings wirft seine Closed-Source-Natur bei Datenschutzbefürwortern Bedenken auf, und es mangelt an unabhängigen Sicherheitsaudits, wie sie Open-Source-Protokolle wie OpenVPN durchlaufen haben.

Was sind die wichtigsten Einschränkungen von SSTP im Vergleich zu anderen VPN-Protokollen?

Die größte Einschränkung von SSTP ist die Plattformexklusivität — es wurde von Microsoft primär für Windows entwickelt und bietet schlechte plattformübergreifende Unterstützung. Es ist außerdem proprietär und Closed-Source, was die Transparenz einschränkt. Darüber hinaus ist es im Vergleich zu WireGuard und OpenVPN in der Geschwindigkeit generell unterlegen und bietet keinen integrierten Schutz gegen fortgeschrittene Datenverkehrsanalyse-Angriffe.

SSTP — VPN-Glossar

SSTP: Microsofts Firewall-freundliches VPN-Protokoll

Was es ist

Secure Socket Tunneling Protocol, besser bekannt als SSTP, ist ein VPN-Protokoll, das von Microsoft entwickelt und mit Windows Vista eingeführt wurde. Anders als viele andere VPN-Protokolle wurde SSTP von Grund auf dafür konzipiert, reibungslos in Umgebungen zu funktionieren, die VPN-Datenverkehr typischerweise blockieren – wie etwa Unternehmensnetzwerke, Schulen oder Länder mit restriktiver Internetpolitik.

Der Name gibt einen nützlichen Hinweis auf die Funktionsweise: Er tunnelt die VPN-Verbindung durch SSL/TLS – dieselbe Verschlüsselungstechnologie, die beim alltäglichen HTTPS-Surfen zum Einsatz kommt. Dadurch sieht SSTP-Datenverkehr nahezu identisch aus wie normaler verschlüsselter Webdatenverkehr, was es für Firewalls und Netzwerkadministratoren sehr schwierig macht, ihn zu erkennen oder zu blockieren.

Wie es funktioniert

SSTP verwendet TCP-Port 443, den Standardport für HTTPS. Genau das unterscheidet es von Protokollen wie OpenVPN oder IKEv2, die andere Ports nutzen, die leicht identifiziert und blockiert werden können.

Der grundlegende Ablauf sieht so aus:

Verbindungsaufbau – Der VPN-Client führt einen SSL/TLS-Handshake mit dem VPN-Server durch, genauso wie ein Browser beim Verbinden mit einer sicheren Website.
Tunnelerstellung – Sobald der sichere Kanal aufgebaut ist, werden PPP-Daten (Point-to-Point Protocol) in HTTP-Frames eingebettet und durch diesen Kanal übertragen.
Verschlüsselung – Alle durch den Tunnel übertragenen Daten werden mittels SSL/TLS verschlüsselt, typischerweise mit AES-256-Verschlüsselung für starken Schutz.
Authentifizierung – SSTP unterstützt zertifikatsbasierte Authentifizierung, die eine zusätzliche Verifizierungsebene zwischen Client und Server hinzufügt.

Da der Datenverkehr über Port 443 in TLS eingebettet ist, haben Deep-Packet-Inspection-Tools Schwierigkeiten, ihn von normalem HTTPS-Surfverhalten zu unterscheiden – eine Eigenschaft, die als Obfuskation bezeichnet wird.

Warum es für VPN-Nutzer relevant ist

SSTPsgrößte Stärke ist seine Fähigkeit, Firewalls zu umgehen. Wer schon einmal eine VPN-Verbindung aufgebaut hat und dabei blockiert wurde – bei der Arbeit, in einem Schulnetzwerk oder während einer Reise in ein Land mit starken Internetbeschränkungen – wird feststellen, dass SSTP zu den Protokollen gehört, die am wahrscheinlichsten eine Verbindung ermöglichen.

Die tiefe Integration in Windows ist ein weiterer praktischer Vorteil. Windows unterstützt SSTP nativ ohne die Notwendigkeit von Drittanbietersoftware, was die Einrichtung für alle, die bereits Windows nutzen, unkompliziert macht. Das macht SSTP besonders attraktiv für IT-Administratoren, die Remote-Access-Lösungen in Windows-lastigen Unternehmensumgebungen bereitstellen.

In puncto Sicherheit kann SSTP überzeugen. SSL/TLS-Verschlüsselung ist ausgereift, umfassend geprüft und weltweit vertrauenswürdig. Es vermeidet die bekannten Schwachstellen älterer Protokolle wie PPTP oder L2TP.

Allerdings hat SSTP auch nennenswerte Einschränkungen. Es handelt sich im Wesentlichen um ein proprietäres Microsoft-Protokoll, was bedeutet, dass die Unterstützung auf Nicht-Windows-Plattformen wie macOS, Linux, Android und iOS eingeschränkt ist – obwohl einige Drittanbieter-Clients eine teilweise Unterstützung hinzugefügt haben. Da Microsoft die Spezifikation kontrolliert, haben unabhängige Sicherheitsforscher weniger Einblick in das Protokoll als bei Open-Source-Alternativen wie OpenVPN oder WireGuard.

Auch die Performance ist ein Faktor. Da SSTP TCP statt UDP verwendet, kann es unter einem Problem leiden, das als „TCP-Meltdown" bekannt ist – dabei verursacht Paketverlust Übertragungsverzögerungen, die sich aufstauen und die Verbindung verlangsamen. Auf UDP basierende Protokolle erzielen in der Regel bessere Ergebnisse bei latenzempfindlichen Anwendungen wie Streaming oder Gaming.

Praktische Anwendungsfälle

Unternehmens-Remote-Access – IT-Teams in Windows-Umgebungen setzen SSTP häufig für Remote-Mitarbeiter ein, die sich aus Netzwerken mit restriktiven Firewallregeln verbinden müssen.
Umgehung von Zensur – Reisende in Länder, die gängige VPN-Protokolle blockieren, können sich auf SSTPsVerhalten über Port 443 verlassen, um den Zugang aufrechtzuerhalten.
Sicheres Surfen in gesperrten Netzwerken – Schul- oder Hotelnetzwerke, die VPN-Ports blockieren, lassen Port 443 häufig offen, was SSTP zu einer zuverlässigen Alternative macht.
Kompatibilität mit Legacy-Systemen – Organisationen, die bereits in Windows-Server-Infrastrukturen investiert haben, bevorzugen SSTP möglicherweise aufgrund seiner integrierten Kompatibilität.

Für die meisten VPN-Nutzer bieten moderne Protokolle wie WireGuard oder OpenVPN bessere Performance und eine breitere Plattformunterstützung. SSTP bleibt jedoch ein verlässliches Werkzeug, wenn das Umgehen von Firewalls Priorität hat und man in einer Windows-geprägten Umgebung arbeitet.

SSTPExperte

SSTP: Microsofts Firewall-freundliches VPN-Protokoll

Was es ist

Wie es funktioniert

Warum es für VPN-Nutzer relevant ist

Praktische Anwendungsfälle

// FAQ