Zaawansowana zapora systemu Windows: co oznacza „Edge Traversal”?

21

to powinno być naprawdę proste:

W Zaawansowanej zaporze systemu Windows w systemie Windows Server 2008+ , Właściwości> Zaawansowane, co oznacza „ Edge Traversal ”?

Oczywiście przejrzałem go i nie byłem w stanie znaleźć konkretnej odpowiedzi, i byłem szczególnie zszokowany, widząc na blogu Thomasa Schindera :

Opcja przejścia przez krawędź jest interesująca, ponieważ nie jest dobrze udokumentowana. Oto, co mówi plik pomocy:

„Przejście krawędzi Wskazuje, czy przejście krawędzi jest włączone (Tak), czy wyłączone (Nie). Gdy włączone jest przejście na brzeg, aplikacja, usługa lub port, do którego ma zastosowanie reguła, jest adresowalne globalnie i dostępne spoza translatora adresów sieciowych (NAT) lub urządzenia brzegowego. ”

Jak myślisz, co to może znaczyć? Możemy udostępnić usługi na urządzeniu NAT, używając przekierowania portów na urządzeniu NAT przed serwerem. Czy to może mieć coś wspólnego z IPsec? Czy to może mieć coś wspólnego z NAT-T? Czy to możliwe, że autor pliku pomocy dla tej funkcji też nie wiedział i stworzył coś, co reprezentuje tautologię?

Nie wiem, co to robi, ale jeśli się dowiem, dopiszę te informacje do mojego bloga.

Doceniam jego uczciwość, ale jeśli ten facet nie wie, kto wie ?!

Mamy problem z połączeniem się z VPN, gdy tylko maszyna znajdzie się po drugiej stronie routera, i zastanawiałem się, czy to może pomóc? Dlatego chętnie słyszę odpowiedni opis tego, co robi „Edge Traversal”!

Django Reinhardt
źródło
Zdobądź to ... nie zezwalając na przechodzenie przez krawędź mojej reguły dhcp złamał dhcp. Wygląda na to, że Microsoft może próbować klasyfikować ramki dhcp ze sprzętu pomocniczego dhcp jako zamknięte. Całkiem nieźle.

Odpowiedzi:

14

Wygląda na to, że zgłoszenie patentowe Microsoft z tego roku może ci powiedzieć, co chcesz wiedzieć.

Z tego, co mogę zebrać, ta flaga pozwala na zastosowanie reguł zapory do ruchu, który został enkapsulowany na przykład przez tunel IPv6 do IPv4 wychodzący poza granicę sieci. Jak często patenty, ten jest napisany w tak ogólny sposób, że można go zastosować do dowolnego innego rodzaju protokołu tunelowania, z tego co mogę powiedzieć.

Ładunek tego hermetyzowanego ruchu byłby nieprzejrzysty dla dowolnej zapory ogniowej w sieci na drugim końcu tunelu. Przypuszczalnie te kapsułkowane pakiety byłyby przepuszczane bez filtrowania do hosta wewnętrznego, gdzie kończy się drugi koniec tunelu. Ten host odbierałby ruch, przepuszczał go przez własną zaporę, dekapsułował ruch (jeśli zezwala na to zapora) i przekazywał zdekapsułowane pakiety z powrotem do zapory. Kiedy pakiet przepływa przez zaporę po raz drugi (po dekapsulacji), ma ustawiony bit „ten pakiet przemieścił krawędź sieci”, tak że tylko pakiet z ustawionym bitem „przechodzenia przez krawędź” będzie miał zastosowanie do pakietu.

Rycina 4 tego zgłoszenia patentowego wydaje się opisywać proces graficznie, a sekcja „Szczegółowe opisy” rozpoczynająca się na stronie 7 opisuje proces z boleśnie szczegółowymi szczegółami.

Zasadniczo pozwala to zaporze opartej na hoście na stosowanie różnych reguł dla ruchu przychodzącego przez tunel przez zaporę sieci lokalnej, w przeciwieństwie do ruchu, który został właśnie wysłany niezakapsułowany przez tunel bezpośrednio przez zaporę sieci lokalnej.

Zastanawiam się, czy funkcjonalność „znaku” iptables byłaby stanem techniki dla tego patentu? Z pewnością wydaje się, że robi to bardzo podobnie, choć w bardziej ogólny sposób (ponieważ możesz napisać kod użytkownika do „oznaczania” pakietów z dowolnego powodu, jeśli chcesz).

Evan Anderson
źródło
Czy więc „włączenie” Edge Traversal pozwoliłoby, aby te pakiety wysyłane były nieskapsułowane przez zaporę? Jeśli tak, to jestem zaskoczony, że domyślnie ustawiony jest Odmów ... z pewnością większość pakietów jest wysyłana w ten sposób? (Czy też tutaj całkowicie się mylę?)
Django Reinhardt,
5
@Django: Edge Traversal nie polega na odmawianiu / akceptowaniu pakietów. Pakiet, który przybył przez tunel kończący się na hoście, będzie uważany za przybywający przez przejście przez krawędź przez ten host. Gdy pakiet zostanie zdekapsułowany z protokołu tunelowania, pakiet zdekapsułowany zostanie uruchomiony zgodnie z regułami zapory ogniowej, a pakiet zostanie sprawdzony tylko pod kątem reguł, dla których ustawiono ich bit przejścia przez krawędź.
Evan Anderson,
Interpretuję to tak, jakby reguła została zastosowana do pakietu zdekapsułkowanego i ta reguła ma ustawiony bit przejścia krawędzi, aby zezwolić, wtedy pakiet zdekapsułowany jest dozwolony, jeśli bit przejścia krawędzi jest ustawiony na blokowanie, wówczas pakiet zdekapsułowany jest blokowany. Coś dziwnego może się zdarzyć, jeśli istnieją 2 reguły, które mogą pasować do pakietu zdekapsułkowanego, ale różnią się one dopuszczaniem pakietów zdekapsułkowanych. Najbardziej sensowny był rysunek 3 dotyczący patentu!
CMCDragonkai
4

Starszy post, ale nadal warto go dodać. Wygląda na to, że w systemie Windows Server 2012 ten element oznacza po prostu „zezwalaj na pakiety z innych podsieci”. Przynajmniej takie zachowanie obserwowałem. Mamy dwa biura połączone z IPSec VPN. VPN łączy dwa routery, więc jeśli chodzi o komputery z systemem Windows, to po prostu ruch między dwoma różnymi prywatnymi podsieciami. Przy ustawieniu „Block Edge Traversal” system Windows nie zezwala na połączenia z drugiej podsieci.

Kevin Keane
źródło
2
To nie jest moje doświadczenie w praktycznym testowaniu tego ustawienia, a tak naprawdę istnieją artykuły, które kwestionują tę interpretację. blog.boson.com/bid/95501/…
Cameron
2

Przejście brzegowe występuje, gdy masz interfejs tunelowy, który przechodzi do mniej bezpiecznej sieci, która jest tunelowana przez inny interfejs podłączony do bardziej bezpiecznej sieci. Oznacza to, że host omija (tuneluje) jedną z granic bezpieczeństwa ustanowionych przez administratora sieci lokalnej. Na przykład, przy każdym tunelu do Internetu za pośrednictwem fizycznego interfejsu podłączonego do sieci korporacyjnej, masz „przejście na brzeg”.

W systemie Windows 7 wbudowaną technologię przejścia NAT NAT firmy Microsoft, Teredo, można skonfigurować do pracy przez zaporę ogniową przy użyciu reguł korzystających z Edge Traversal. Zasadniczo mogłyby to zrobić również technologie tunelowania ruchu NAT innych firm.

Amit Tiwari
źródło
1
Zauważ, że jeśli tunel kończy się na urządzeniu zewnętrznym zamiast na hoście Windows, zapora systemu Windows może nie widzieć przejścia przez krawędź. W naszym przypadku z Cisco SSL VPN i ścieżką typu klient - Internet - urządzenie VPN - sieć korporacyjna - host Windows, ustawienie „Blokuj przejście” NIE blokuje ruchu TCP, który w innym przypadku byłby dozwolony.
Paul