Bloqueando Conexões SSTP

Quando a Microsoft anunciou que estava incorporando o suporte nativo a SSL VPNs no Windows Vista SP1 e Windows Server 2008, muitos profissionais de TI ficaram preocupados com a possibilidade deste recurso ser utilizado de forma indevida. Muitas organizações não permitem que nenhum tipo de conexão VPN seja estabelecida a partir de sua rede corporativa.

Pensando nisso, a Microsoft definiu duas formas simples de organizações poderem bloquear o uso de SSTP nos seus proxies:

1. Se o seu proxy exige autenticação HTTP então o protocolo SSTP já estará automaticametne bloqueado. O SSTP não suporta o uso de autenticação HTTP no proxy.

(Nota: no ISA Server isso pode ser contornado com o Firewall Proxy, caso o administrador da rede permita).

2. A conexão do SSTP utiliza um cabeçalho HTTP customizado chamado "SSTPVERSION", com o valor "1.0". Para bloquear o uso de SSTP o proxy deve ser configurado para rejeitar as conexões que tenham este cabeçalho.