제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study

Registry entries for Secure Socket Tunneling Protocol

Note Secure Socket Tunneling Protocol (SSTP) is a new VPN tunneling protocol that is introduced in Windows Server 2008.

ListenerPort

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Sstpsvc\Parameters

Registry entry: ListenerPort
Data type: REG_DWORD
Default value: 0

You can use the ListenerPort registry entry to change the server-side TCP port on which the SSTP server listens. You can set this value to any valid 16-bit port number. If the value is set to 0, the SSTP server listens on the default port number, depending on the value of the UseHTTPS registry entry. For example, if the UseHTTPS registry entry is set to 1, the default listener port number is 443. If the UseHTTPS registry entry is set to 0, the default listener port number is 80. The ListenerPort registry entry is typically useful in configurations where the VPN server is behind a Network Address Translation (NAT) router or behind a reverse proxy. Notice that SSTP clients always connect to the TCP 443 port. This behavior cannot be configured from the clients.

UseHTTPS

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Sstpsvc\Parameters

Registry entry: UseHTTPS
Data type: REG_DWORD
Default value: 1

You can use the UseHTTPS registry entry to specify whether the SSTP server should listen on the HTTPS port or on the HTTP port. The SSTP server listens on the HTTP port if the value is set to 0. If the value is set to 1, the SSTP server listens on the HTTPS port. This registry entry is typically helpful in load-balancing scenarios. For example, a reverse Web proxy or an SSL load balancer may be configured to receive an HTTPS connection and open an HTTP connection to a remote access server.

NoCertRevocationCheck

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Sstpsvc\Parameters

Registry entry: NoCertRevocationCheck
Data type: REG_DWORD

You can use this registry entry to enable or to disable the SSL certificate revocation check that the VPN client performs during the SSL negotiation phase. Certificate revocation check will be performed if the value is set to 0. If the value is set to 1, certificate revocation check will be skipped. Notice that you should set this value to 1 only for debugging. Do not set this value to 1 in your production environment. By default, certificate revocation check is performed.

Sha256Enabled

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Sstpsvc\Parameters

Registry entry: Sha256Enabled
Data type: REG_DWORD

You can use the Sha256Enabled registry entry to enable SHA256 support for SSTP crypto binding. If this value is set to 1, SHA256 is enabled. In this case, the Sha256CertificateHash registry entry should contain an appropriate certificate hash. By default, Windows Vista clients support only SHA256. You may want to enable SHA1 on the server side if SSTP is supported on clients that do not support SHA256. If both SHA1 and SHA256 are enabled, SSTP will use the stronger crypto algorithm. By default, this registry setting is enabled.

Sha256CertificateHash

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Sstpsvc\Parameters

Registry entry: Sha256CertificateHash
Data type: REG_BINARY

The Sha256CertificateHash registry entry contains a certificate hash that is computed by SHA256. If the UseHTTPS registry entry is set to 1, Routing and Remote Access automatically populates the certificate hash the first time that Routing and Remote Access starts. To do this, Routing and Remote Access finds a computer certificate from the certificate store, and then Routing and Remote Access writes the hash to the Sha256CertificateHash registry entry.

Sha1Enabled

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Sstpsvc\Parameters

Registry entry: Sha1Enabled
Data type: REG_DWORD

You can use the Sha1Enabled registry entry to enable SHA1 support for SSTP crypto binding. If this value is set to 1, SHA1 is enabled. In this case, the Sha1CertificateHash registry entry will contain an appropriate certificate hash. By default, Windows Vista clients support only SHA256. You may have to enable SHA1 on the server side if SSTP is supported on clients that do not support SHA256. If both SHA1 and SHA256 are enabled, SSTP will use the stronger crypto algorithm. By default, this registry setting is disabled.

Sha1CertificateHash

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Sstpsvc\Parameters

Registry entry: Sha1CertificateHash
Data type: REG_BINARY

The Sha1CertificateHash registry entry contains a certificate hash that SHA1 computes. If the UseHTTPS registry entry is set to 1, Routing and Remote Access automatically populates the certificate hash the first time that Routing and Remote Access starts. To do this, Routing and Remote Access finds a computer certificate from the certificate store, and then Routing and Remote Access writes the hash to the Sha1CertificateHash registry entry. However, if the UseHTTPS registry entry is set to 0, you must manually deploy the certificate hashes to make sure that the VPN server and the SSL load balancer trust one another.

ServerUri

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Sstpsvc\Parameters

Registry entry: ServerUri
Data type: REG_SZ

The ServerUri registry entry is set to a value that contains the following value:
sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
You must not change this registry entry because it is read-only. This registry entry is typically useful in load-balancing scenarios. The load balancer receives an HTTPS connection that is specific to this URI, and then the load balancer redirects the connection to a remote access server. For example, if the server name is server.contoso.com, the exact HTTPS URI is as follows:
https://server.contoso.com/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/

Registry entries for IPv6 support

Note IPv6 refers to Internet Protocol version 6.

EnableIn

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\RemoteAccess\Parameters\IPv6

Registry entry: EnableIn
Data type: REG_DWORD
Default value: 1

IPv6-based remote access and demand-dial routing are enabled if the EnableIn registry value is set to 1. If this value is set to 0, IPv6-based remote access and demand-dial routing are disabled.

AllowNetworkAccess

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\RemoteAccess\Parameters\IPv6

Registry entry: AllowNetworkAccess
Data type: REG_DWORD

IPv6 forwarding is enabled if the AllowNetworkAccess registry entry value is set to 1. If this value is set to 0, IPv6 forwarding is disabled.

From

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\RemoteAccess\Parameters\
IPv6\StaticPrefixPool\0

Registry entry: From
Data type: REG_DWORD

The From registry entry specifies the starting prefix of the static IPv6 prefix pool.

To

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\RemoteAccess\Parameters\
IPv6\StaticPrefixPool\0

Registry entry: To
Data type: REG_DWORD

The To registry entry specifies the ending prefix of the static IPv6 prefix pool.

Registry entries for VPN tunnel encryption levels

AllowPPTPWeakCrypto

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Rasman\Parameters

Registry entry: AllowPPTPWeakCrypto
Data type: REG_DWORD
Default value: 0

You can use the AllowPPTPWeakCrypto registry entry to enable the 40-bit encryption level and the 56-bit encryption level for PPTP tunnels. By default, these weak encryption levels are disabled.

AllowL2TPWeakCrypto

Registry subkey:
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Services\Rasman\Parameters

Registry entry: AllowL2TPWeakCrypto
Data type: REG_DWORD
Default value: 0

You can use the AllowL2TPWeakCrypto registry entry to enable the Message Digest 5 (MD5) encryption level and the Data Encryption Standard (DES) encryption level for Layer Two Tunneling Protocol with IPsec (L2TP/IPsec) tunnels. By default, these weak encryption levels are disabled.

꼬알라 사이트

SSTP 접속하는데 분명 하던데로 한건데 인증서에서 무얼 잘못한건지 오프라인 해지 오류 로그만 내뱉으면서 사람 괴롭게 하더랍니다. 도데체 뭘 잘못한건지라고 생각만...

사용자 삽입 이미지
레지스트리 수정해서 안되면 꼬알라 사이트에서 보여준것처럼 손도장 업데이트를 진행하시면 됩니다.
2015/04/27 15:06 2015/04/27 15:06
Posted
Filed under Windows Server
"사용자
SSL VPN 서버를 지원한다던 버젼이 Windows Server 2008 버젼 부터였습니다. 이거 구현해볼려고 케이스까지 진행했던적이 있었는데요 도메인에 붙지않고 독립서버에서 해볼려고 했었습니다. 참 여러가지로 까탈스럽게 안되었죠. 그런데 2008 R2 버젼부터는 참 쉽게 되더랍니다. 손도장 찍고 인증서 업데이트 하고 하는 단계가 아예 없습니다. 그냥 붙이면 그만입니다. 해당 인증서를 내컴퓨터에 신뢰된 인증기관에 몇군데 복사해서 넣어주면 끝입니다. 2008 버젼때는 그리 안되던게 R2 버젼은 너무 쉽게 구현이 되더랍니다. 넨자...ㅎㅎ
"사용자
아이디 패스워드 넣고 붙으면 바로 443 보안채널로 접속하여 사용할수 있습니다. 그런데 요즘 이기능이 회사에서 방화벽으로 차단된 공간이라면 대부분 80과 443 아웃바운드는 열어줬기 때문에 이게 오히려 악용할 우려가 있지 않을까 하는 생각을 가끔 해봅니다. 이것만 되면 외부 원격 게이트웨이가 되어 인터넷을 맘데로 쓰게 되는 경우가 있습니다. 보안채널이기 때문에 패킷 스니핑도 못하게 되니 뭘쓰는지 알게 뭡니까? ㅎㅎㅎ

Windows Server 2008R2에서 조금 기능이 개선된 RRAS 부분이였습니다.
2010/08/07 19:40 2010/08/07 19:40
Posted
Filed under Study

VISTA SP1 클라이언트 이상과 Windows2008 Server 이상 버젼에서만 가능한 SSL VPN 기능을 여러 삽질을 통하다가 도저히 어디서 막혔는지 찾아보지 못하고 Q&A를 진행하면서 구성한 사례가 있었다.
지금까지 PPTP와 L2TP 프로토콜을 사용하다가 필자의 경우는 GRE47 라우팅 프로토콜이 차단된 사무실에서 어쩔수없이 443 보안채널을 통한 VPN 기능이 필요하게 되었다.
대부분 SSL VPN을 사용하는 이유는 보안적인 이슈때문에 사용하는 사례가 대부분인데 필자같은 경우는 보안이고 나발이고 GRE47 패킷 라우팅 열어달라고 하면 도대체 뭘 열어달라고 하는건지 모르겠다는 보안팀의 답변에 두손두발을 다 들었다는 전설이...

스텝바이스텝에서 권장하는건 DC에서 인증서를 갖고오고 VPN서버에서 인증서를 뿌려주는 방식인데 필자가 Q&A를 진행하였던건 Stand Alone에서 구성을 할수 없냐?였다는것이다. VPN 기능만 사용하고 DC까지 올릴 자원이 불필요 했었기 때문에 인증서 기반때문에 복잡할 필요는 없지 않을까?라는 판단하에 지인한테 Q&A 카드를 부탁하여 케이스를 진행해 보았다.

사용자 삽입 이미지
그림과 같이 인증서로 시작해서 인증서로 끝나는 VPN 구성이다. 인증서 설치를 완벽하게 끝내고 나면 하나 풀리지 않는 네트워크 오류가 발생하는데 꼬알라 사이트를 참조해보면 손도장 업데이트를 해줘야만 한다. 즉 기존에 손도장이 남아 있어서 네트워크 연결이 안된다는 메세지가 나와서 뭐가 잘못된건지 오랫동안 당황한적이 있어서 아직도 기억에 남는건 손도장 찍어주지 않았다는 이유만으로 2008서버가 약속을 거절할줄은 생각도 못했다는 필자의 판단.
사용자 삽입 이미지

그림과 같이 PPTP와 L2TP 프로토콜이 아닌 443 보안채널로 들어온것을 확인할수 있다. 저 접속자는 이 회사에서 존재감을 상실한 장모대리가 혼자만 신나게 외부로 인터넷을 하고 있다는...
울회사는 80번과 443을 제외한 모든 아웃바운드 포트는 막혔다. K모 통신회사는 443도 열지않고 오로지 80만 열었다는 정보도 들었는데 역시 우리나라 대표 통신회사라 보안에 대한 절차는 확실하구나라는 생각을 가져본다.
SSL VPN 은 고가 장비로 알고 있다. 하지만 클라이언트가 비스타 운영체제를 사용하고 있는 업장이라면 윈도우2008서버의 SSL VPN 기능을 활용한다면 비용절감과 관리에 많은 효과를 누리지 않을까?라는 생각은 혼자만 갖고있다 ㅋㅋㅋ.
2009/04/10 14:12 2009/04/10 14:12