SSTP – SSL VPN van Microsoft vanaf Windows 7 & Windows 2008

SSTP – Secure Socket Tunneling Protocol of eigenlijk de SSL VPN van Microsoft.

Er zijn er weinig die van het bestaan weten, maar Microsoft heeft met de komst van Windows 7 en Windows 2008 een stap in de goede richting gedaan wat betreft VPN. SSL-VPN of eigenlijk S(ecure)S(ocket)(T)unneling(P)rotocol. Schitterend!.

VPN, Virtual Private Network zal bij een ieder inmiddels wel bekend zijn. Overal vandaan toegang tot het bedrijfs netwerk alsof je op kantoor zit. Dit alles over een veilige verbinding over het internet. Een computer en een dongel bieden je alles tot datgene wat je op kantoor ook tot de mogelijkheden behoort.

Helaas heeft het nog wel een aantal minpunten, maar deze wegen wel op tegen de voordelen.

  • Geen aparte licenties
  • Geen extra kosten. Met klem zou ik wel een “Trusted Root” certificaat adviseren. De kosten zijn enkele tientjes en wegen niet op tegen de lasten.
  • Snel op te zetten en een stuk veiliger dan alleen RDP met een wachtwoord.
  • In plaats van RDP toegang tot b.v. één server (de terminal server) kan je met SSTP toegang verkrijgen tot het gehele netwerk.

Daarintegen zijn er ook een aantal nadelen

  • Werkt niet door proxy’s
  • Firewalls bevatten vaak ook deze opties met (veel) meer mogelijkheden.
  • Client support, momenteel heb je minimaal Windows 7 nodig of Windows Vista

Persoonlijk prefereer ik nog steeds Cisco’s Anyconnect SSL VPN voor SSL Tunnling. Dit stapel je op een bestaande Cisco ASA Firewall en standaard bevat deze al 2 concurrent SSL VPN’s welke standaard niet alleen werken op de Windows edities vanaf 2000 en hoger maar ook Mac OS X en Linux en is uit te breiden naar iOS, android enz.

3 antwoorden
  1. Lennart
    Lennart zegt:

    Een verademing voor kleinere bedrijven die geen ASA hebben. Fijn ook dat SSL zelden een probleem is op publieke hotspots, IPsec wordt wel eens geblokkeerd..
    Dat certificaat lekker uitrollen vanuit je eigen CA via een GPO, kost niks ; ).

    Beantwoorden
      • Lennart
        Lennart zegt:

        Als je je clients het root certificate ook via een gpo laat vertrouwen zouden de gebruikers een naadloze ervaring moeten hebben. Heb ooit zoiets gedaan met een wlan (wpa2/radius met client/servercertificaten). Laptop in een ou gooien, en certificaten/wifi automatisch geconfigureerd, fijn! (vanaf Vista ; )

        Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *