Wat is SSTP en hoe werkt het?

SSTP (Secure Socket Tunneling Protocol) is een door Microsoft ontwikkeld VPN-protocol dat PPP-verkeer inkapselt in SSL/TLS-kanalen via TCP-poort 443. Dit ontwerp zorgt ervoor dat het door de meeste firewalls en proxyservers onopgemerkt kan passeren, omdat het verkeer identiek lijkt aan standaard HTTPS-webverkeer.

Waarom gebruikt SSTP poort 443 en welk voordeel biedt dit?

Poort 443 is de standaard HTTPS-poort, wat betekent dat SSTP-verkeer naadloos opgaat in normaal webbrowsen. Dit maakt het voor firewalls en netwerkbeheerders uiterst moeilijk om SSTP te blokkeren zonder ook al het reguliere HTTPS-verkeer te verstoren, waardoor het uitstekende mogelijkheden biedt om firewalls te omzeilen in restrictieve netwerkomgevingen.

Wordt SSTP als veilig beschouwd en welke versleuteling gebruikt het?

SSTP maakt gebruik van SSL/TLS-versleuteling, doorgaans AES-256, waardoor het zeer veilig is. Omdat Microsoft het protocol beheert, wordt het als betrouwbaar beschouwd op Windows-platforms. De closed-source aard ervan wekt echter bezorgdheid bij privacyvoorstanders, en het mist de onafhankelijke beveiligingsaudits die open-source protocollen zoals OpenVPN wel hebben ondergaan.

Wat zijn de belangrijkste beperkingen van SSTP vergeleken met andere VPN-protocollen?

De grootste beperking van SSTP is platformgebondenheid — het is door Microsoft voornamelijk ontworpen voor Windows en biedt beperkte cross-platform ondersteuning. Het is ook propriëtair en closed-source, wat de transparantie beperkt. Daarnaast presteert het doorgaans minder goed dan WireGuard en OpenVPN wat betreft snelheid, en biedt het geen ingebouwde bescherming tegen geavanceerde verkeersanalyseaanvallen.

SSTP — VPN-woordenlijst

SSTP: Het Firewall-Vriendelijke VPN-Protocol van Microsoft

Wat Het Is

Secure Socket Tunneling Protocol, beter bekend als SSTP, is een VPN-protocol ontwikkeld door Microsoft en geïntroduceerd met Windows Vista. In tegenstelling tot veel andere VPN-protocollen is SSTP vanaf de grond af aan ontworpen om naadloos te functioneren in omgevingen die VPN-verkeer doorgaans blokkeren — zoals bedrijfsnetwerken, scholen of landen met een restrictief internetbeleid.

De naam geeft een nuttige aanwijzing over hoe het werkt: het tunnelt je VPN-verbinding via SSL/TLS — dezelfde versleutelingstechnologie die je dagelijkse HTTPS-websurfen beschermt. Hierdoor ziet SSTP-verkeer er vrijwel identiek uit aan normaal beveiligd webverkeer, waardoor het voor firewalls en netwerkbeheerders zeer moeilijk te detecteren of te blokkeren is.

Hoe Het Werkt

SSTP werkt via TCP-poort 443, de standaardpoort die door HTTPS wordt gebruikt. Dit is het cruciale verschil met protocollen zoals OpenVPN of IKEv2, die andere poorten gebruiken die eenvoudig geïdentificeerd en geblokkeerd kunnen worden.

Dit is de basiswerking:

Verbinding initiëren — Je VPN-client brengt een SSL/TLS-handshake tot stand met de VPN-server, net zoals je browser dat doet bij het verbinden met een beveiligde website.
Tunnel aanmaken — Zodra het beveiligde kanaal is opgezet, wordt PPP-data (Point-to-Point Protocol) ingekapseld in HTTP-frames en via dat kanaal verzonden.
Versleuteling — Alle gegevens die door de tunnel gaan, worden versleuteld via SSL/TLS, doorgaans met AES-256-versleuteling voor sterke bescherming.
Authenticatie — SSTP ondersteunt op certificaten gebaseerde authenticatie, wat een extra verificatielaag toevoegt tussen client en server.

Omdat het verkeer via poort 443 in TLS is verpakt, hebben deep packet inspection-tools moeite om het te onderscheiden van gewoon HTTPS-browsen — een eigenschap die bekendstaat als obfuscatie.

Waarom Het Belangrijk Is voor VPN-Gebruikers

SSTP's grootste kracht is het vermogen om firewalls te omzeilen. Als je ooit verbinding hebt gemaakt met een VPN en merkte dat het geblokkeerd werd — op het werk, op een schoolnetwerk of tijdens een reis naar een land met strenge internetbeperkingen — dan is SSTP een van de protocollen die de meeste kans heeft om er doorheen te komen.

De diepe integratie met Windows is een ander praktisch voordeel. Windows ondersteunt SSTP standaard zonder dat er software van derden nodig is, waardoor de installatie eenvoudig is voor iedereen die al een Windows-computer gebruikt. Dit maakt het bijzonder aantrekkelijk voor IT-beheerders die remote access-oplossingen implementeren in bedrijfsomgevingen waar Windows centraal staat.

Op het gebied van beveiliging presteert SSTP goed. SSL/TLS-versleuteling is volwassen, grondig gecontroleerd en wereldwijd vertrouwd. Het vermijdt de bekende kwetsbaarheden die verband houden met oudere protocollen zoals PPTP of L2TP.

SSTP heeft echter ook duidelijke beperkingen. Het is in wezen een eigen Microsoft-protocol, wat betekent dat het beperkte ondersteuning biedt op niet-Windows-platforms zoals macOS, Linux, Android en iOS — hoewel sommige clients van derden gedeeltelijke ondersteuning hebben toegevoegd. Omdat Microsoft de specificatie beheert, hebben onafhankelijke beveiligingsonderzoekers minder inzicht in het protocol vergeleken met open-source alternatieven zoals OpenVPN of WireGuard.

Prestaties zijn ook een aandachtspunt. Omdat SSTP TCP gebruikt in plaats van UDP, kan het last hebben van een probleem dat bekendstaat als "TCP meltdown" — waarbij pakketverlies leidt tot vertragingen door hertransmissie die zich opstapelen en je verbinding vertragen. Protocollen die op UDP zijn gebouwd, presteren over het algemeen beter bij latentiegevoelige toepassingen zoals streamen of gamen.

Praktische Toepassingen

Remote access voor bedrijven — IT-teams in Windows-omgevingen implementeren SSTP vaak voor medewerkers op afstand die verbinding moeten maken vanuit netwerken met strenge firewallregels.
Censuur omzeilen — Reizigers die landen bezoeken die veelgebruikte VPN-protocollen blokkeren, kunnen vertrouwen op het gedrag van SSTP via poort 443 om toegang te behouden.
Veilig browsen op vergrendelde netwerken — School- of hotelnetwerken die VPN-poorten blokkeren, laten poort 443 vaak open, waardoor SSTP een betrouwbare uitwijkmogelijkheid is.
Compatibiliteit met bestaande systemen — Organisaties die al geïnvesteerd hebben in Windows Server-infrastructuur kunnen de voorkeur geven aan SSTP vanwege de ingebouwde compatibiliteit.

Voor de meeste algemene VPN-gebruikers bieden moderne protocollen zoals WireGuard of OpenVPN betere prestaties en bredere platformondersteuning. Maar SSTP blijft een betrouwbaar hulpmiddel wanneer het omzeilen van firewalls de prioriteit is en je werkt in een Windows-gerichte omgeving.

SSTPGevorderd

SSTP: Het Firewall-Vriendelijke VPN-Protocol van Microsoft

Wat Het Is

Hoe Het Werkt

Waarom Het Belangrijk Is voor VPN-Gebruikers

Praktische Toepassingen

// FAQ