Windows Advanced Firewall: cosa significa "Edge Traversal"?

21

questo dovrebbe essere davvero semplice:

In Advanced Windows Firewall su Windows Server 2008+ , Proprietà> Avanzate, cosa significa " Edge Traversal "?

Ho cercato su Google, ovviamente, e non sono riuscito a trovare una risposta concreta, e sono rimasto particolarmente scioccato nel vedere quanto segue sul blog di Thomas Schinder :

L'opzione Edge traversal è interessante, perché non è documentata molto bene. Ecco cosa dice il file della Guida:

“Attraversamento del bordo Indica se l'attraversamento del bordo è abilitato (Sì) o disabilitato (No). Quando l'attraversamento del bordo è abilitato, l'applicazione, il servizio o la porta a cui si applica la regola è indirizzabile a livello globale e accessibile dall'esterno di una traduzione dell'indirizzo di rete (NAT) o dispositivo periferico. "

Cosa pensi possa significare? Siamo in grado di rendere disponibili i servizi su un dispositivo NAT utilizzando il port forwarding sul dispositivo NAT di fronte al server. Questo potrebbe avere qualcosa a che fare con IPsec? Potrebbe avere qualcosa a che fare con NAT-T? Potrebbe essere che il writer dei file della Guida per questa funzione non lo sapesse e abbia inventato qualcosa che rappresentasse una tautologia?

Non so che cosa faccia, ma se lo scoprissi, mi assicurerò di includere queste informazioni nel mio blog.

Apprezzo la sua onestà, ma se questo ragazzo non lo sa, chi lo fa ?!

Abbiamo difficoltà a connetterci a una VPN non appena la macchina si trova dall'altra parte di un router e mi chiedevo se questo potesse aiutare? Quindi sono abbastanza entusiasta di ascoltare una descrizione corretta di ciò che fa "Edge Traversal"!

windows-server-2008  vpn  firewall  windows-firewall 
Django Reinhardt
fonte
Prendi questo ... non consentire l'attraversamento dei bordi sulla mia regola dhcp ha rotto dhcp. Sembra che Microsoft stia provando a classificare i frame dhcp dagli ingranaggi helper dhcp come incapsulati. Piuttosto un tratto.

Risposte:

14

Sembra che questo deposito di brevetto Microsoft all'inizio di quest'anno potrebbe dirti quello che vuoi sapere.

Da quello che posso raccogliere, questo flag consente di applicare le regole del firewall al traffico che è stato incapsulato, ad esempio, da un tunnel da IPv6 a IPv4 che ha origine al di fuori del confine della rete. Come spesso fanno i brevetti, questo è scritto in modo così generico da applicarsi a qualsiasi diverso tipo di protocollo di tunneling, da quello che posso dire.

Il payload di questo traffico incapsulato sarebbe opaco per qualsiasi firewall della rete all'altra estremità del tunnel. Presumibilmente, questi pacchetti incapsulati sarebbero passati non filtrati all'host interno dove terminava l'altra estremità del tunnel. L'host riceve il traffico, lo passa attraverso il proprio firewall, decapsula il traffico (se consentito dal proprio firewall) e restituisce i pacchetti decapsulati al suo firewall. Quando il pacchetto attraversa la seconda volta il firewall (dopo la decapsulazione), viene impostato un bit "questo pacchetto ha attraversato il bordo della rete" in modo tale che al pacchetto si applichino solo le regole con il bit "attraversamento del bordo" impostato.

La figura 4 di tale domanda di brevetto sembra descrivere graficamente il processo e la sezione "Descrizioni dettagliate" che inizia a pagina 7 descrive il processo con dettagli dolorosamente specifici.

Questo in sostanza consente a un firewall basato su host di avere regole diverse per il traffico proveniente da un tunnel attraverso il firewall della rete locale, al contrario del traffico che è stato appena inviato non incapsulato da un tunnel direttamente attraverso il firewall della rete locale.

Mi chiedo se la funzionalità "mark" di iptables sarebbe una tecnica antecedente a questo brevetto? Sembra certamente che faccia una cosa molto simile, anche se in modo ancora più generico (dal momento che puoi scrivere il codice utente-terra per "contrassegnare" i pacchetti per qualsiasi motivo, se lo desideri).

Evan Anderson
fonte
Quindi "abilitare" Edge Traversal consentirebbe quei pacchetti inviati non incapsulati attraverso il firewall? In tal caso, sono sorpreso che sia impostato su Nega per impostazione predefinita ... sicuramente la maggior parte dei pacchetti vengono inviati in questo modo? (O sbaglio totalmente nella mia comprensione qui?)
Django Reinhardt,
5
@ Django: Edge traversal non si tratta di negare / accettare pacchetti. Un pacchetto che è arrivato attraverso un tunnel che termina sull'host sarebbe considerato come arrivato da tale attraversamento del bordo. Quando quel pacchetto viene decapsulato dal suo protocollo di tunneling, il pacchetto decapsulato verrà eseguito attraverso le regole del firewall e il pacchetto verrà verificato solo rispetto alle regole in cui è impostato il bit di attraversamento dei bordi.
Evan Anderson,
Interpreto che come se una regola fosse applicata a un pacchetto decapsulato e quella regola avesse il bit di attraversamento del bordo impostato per consentire, allora il pacchetto decapsulato è permesso, se il bit di attraversamento del bordo è impostato per bloccare, il pacchetto decapsulato è bloccato. Potrebbe succedere qualcosa di strano se ci sono 2 regole ognuna che possono corrispondere al pacchetto decapsulato, ma differiscono nel consentire pacchetti decapsulati. La figura 3 sul brevetto è ciò che ha più senso!
CMCDragonkai,
4

Un post più vecchio, ma vale comunque la pena aggiungere. Sembra che in Windows Server 2012 questo elemento significhi semplicemente "consentire pacchetti da altre sottoreti". Almeno questo è il comportamento che ho osservato. Abbiamo due uffici collegati con una VPN IPSec. La VPN collega i due router, per quanto riguarda i computer Windows, è semplicemente il traffico tra due diverse sottoreti private. Con l'impostazione "Block Edge Traversal" Windows non consentirà connessioni dall'altra sottorete.

Kevin Keane
fonte
2
Questa non è la mia esperienza nel test pratico di questa impostazione, e in effetti ci sono articoli che contestano questa interpretazione. blog.boson.com/bid/95501/…
Cameron
2

Lo spostamento del bordo si verifica ogni volta che si dispone di un'interfaccia tunnel che passa a una rete meno sicura, che viene incanalata su un'altra interfaccia collegata a una rete più sicura. Ciò significa che l'host sta bypassando (tunneling) uno dei limiti di sicurezza impostati dall'amministratore di rete locale. Ad esempio, con qualsiasi tunnel verso Internet tramite un'interfaccia fisica collegata alla rete aziendale, si ha un "attraversamento dei bordi".

In Windows 7, la tecnologia NAT traversal integrata di Microsoft, Teredo, può essere configurata per funzionare attraverso il firewall utilizzando le regole che utilizzano Edge Traversal. In linea di principio, anche le tecnologie di tunneling che attraversano NAT di terze parti potrebbero farlo.

Amit Tiwari
fonte
1
Se il tunnel termina su un dispositivo esterno anziché sull'host di Windows, il firewall di Windows potrebbe non vedere un attraversamento dei bordi. Nel nostro caso con Cisco SSL VPN e un percorso come client - Internet - Dispositivo VPN - rete aziendale - host di Windows, un'impostazione "Blocca attraversamento del bordo" NON blocca il traffico TCP altrimenti consentito.
Paul,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.