Pare-feu avancé Windows: que signifie «Edge Traversal»?

21

cela devrait être très simple:

Dans Pare-feu Windows avancé sur Windows Server 2008+ , Propriétés> Avancé, que signifie « Traversée de bord »?

Je l'ai googlé, bien sûr, et je n'ai pas pu trouver de réponse concrète, et j'ai été particulièrement choqué de voir ce qui suit sur le blog de Thomas Schinder :

L'option de traversée Edge est intéressante, car elle n'est pas très bien documentée. Voici ce que dit le fichier d'aide:

«Traversée de bord Ceci indique si la traversée de bord est activée (Oui) ou désactivée (Non). Lorsque la traversée de périphérie est activée, l'application, le service ou le port auquel la règle s'applique est adressable de manière globale et accessible depuis l'extérieur d'une traduction d'adresses réseau (NAT) ou d'un périphérique de périphérie. »

Que pensez-vous que cela pourrait signifier? Nous pouvons rendre les services disponibles sur un appareil NAT en utilisant la redirection de port sur l'appareil NAT en face du serveur. Cela pourrait-il avoir quelque chose à voir avec IPsec? Cela pourrait-il avoir quelque chose à voir avec NAT-T? Se pourrait-il que l'auteur du fichier d'aide pour cette fonctionnalité ne le savait pas non plus et ait créé quelque chose qui représentait une tautologie?

Je ne sais pas ce que cela fait, mais si je le découvre, je m'assurerai d'inclure ces informations dans mon blog.

J'apprécie son honnêteté, mais si ce gars ne sait pas, qui le sait?!

Nous avons du mal à se connecter à un VPN dès que la machine est de l'autre côté d'un routeur, et je me demandais si cela pouvait aider? Je suis donc assez impatient d'entendre une description correcte de ce que fait "Edge Traversal"!

windows-server-2008 vpn firewall windows-firewall Django Reinhardt
la source
Obtenez ceci ... ne permettant pas la traversée de bord sur ma règle dhcp a cassé dhcp. Il semble que Microsoft essaie peut-être de classer les trames DHCP de l'équipement d'assistance DHCP comme étant encapsulées. Assez extensible.

Réponses:

14

Il semble que ce dépôt de brevet Microsoft du début de cette année pourrait vous dire ce que vous voulez savoir.

D'après ce que je peux comprendre, cet indicateur permet aux règles de pare-feu de s'appliquer au trafic qui a été encapsulé par, par exemple, un tunnel IPv6 à IPv4 provenant de l'extérieur de la frontière du réseau. Comme les brevets le sont souvent, celui-ci est écrit de manière générique de manière à s'appliquer à tout type de protocole de tunneling différent, d'après ce que je peux dire.

La charge utile de ce trafic encapsulé serait opaque à tout pare-feu du réseau à l'autre extrémité du tunnel. Vraisemblablement, ces paquets encapsulés seraient transmis sans filtrage à l'hôte interne où l'autre extrémité du tunnel s'est terminée. Cet hôte recevrait le trafic, le transmettrait à travers son propre pare-feu, décapsulerait le trafic (s'il était autorisé par son propre pare-feu) et transmettrait les paquets décapsulés à son pare-feu. Lorsque le paquet passe par le pare-feu la deuxième fois (après décapsulation), il a un bit "ce paquet a traversé le bord du réseau" défini de telle sorte que seules les règles avec le bit "traversée du bord" également défini s'appliqueront au paquet.

La figure 4 de cette demande de brevet semble décrire le processus graphiquement, et la section "Descriptions détaillées" commençant à la page 7 décrit le processus avec des détails douloureusement spécifiques.

Cela permet essentiellement à un pare-feu basé sur l'hôte d'avoir des règles différentes pour le trafic entrant via un tunnel via le pare-feu du réseau local, par opposition au trafic qui vient d'être envoyé non encapsulé par un tunnel directement via le pare-feu du réseau local.

Je me demande si la fonctionnalité de «marque» iptables serait un art antérieur à ce brevet? Il semble certainement que cela fait une chose très similaire, bien que d'une manière encore plus générique (puisque vous pouvez écrire du code utilisateur pour "marquer" les paquets pour pratiquement n'importe quelle raison si vous le souhaitez).

Evan Anderson
la source
Donc, «activer» Edge Traversal permettrait à ces paquets envoyés sans encapsulation via le pare-feu? Si oui, je suis étonné qu'il soit défini sur Refuser par défaut ... la plupart des paquets sont sûrement envoyés de cette façon? (Ou je me trompe totalement dans ma compréhension ici?)
Django Reinhardt
5
@Django: La traversée des bords ne consiste pas à refuser / accepter des paquets. Un paquet qui est arrivé via un tunnel se terminant sur l'hôte serait considéré comme étant arrivé via la traversée de périphérie par cet hôte. Lorsque ce paquet est décapsulé à partir de son protocole de tunneling, le paquet décapsulé sera exécuté via les règles de pare-feu et le paquet ne sera vérifié que par rapport aux règles dont le bit de traversée de front est défini.
Evan Anderson
J'interprète cela comme si une règle est appliquée à un paquet décapsulé, et que cette règle a le bit de traversée de front défini pour permettre, alors le paquet décapsulé est autorisé, si le bit de traversée de front est défini sur bloquer, alors le paquet décapsulé est bloqué. Quelque chose de bizarre pourrait se produire s'il y a 2 règles qui peuvent chacune correspondre au paquet décapsulé, mais elles diffèrent en autorisant les paquets décapsulés. La figure 3 sur le brevet est celle qui avait le plus de sens!
CMCDragonkai
4

Un post plus ancien, mais qui vaut quand même la peine d'être ajouté. Il semble que dans Windows Server 2012, cet élément signifie simplement «autoriser les paquets provenant d'autres sous-réseaux». C'est du moins le comportement que j'ai observé. Nous avons deux bureaux connectés avec un VPN IPSec. Le VPN connecte les deux routeurs, en ce qui concerne les ordinateurs Windows, il s'agit simplement de trafic entre deux sous-réseaux privés différents. Avec le paramètre "Block Edge Traversal", Windows n'autorisera pas les connexions depuis l'autre sous-réseau.

Kevin Keane
la source
2
Ce n'est pas mon expérience dans les tests pratiques de ce paramètre, et en fait, il y a des articles qui contestent cette interprétation. blog.boson.com/bid/95501/…
Cameron
2

La traversée de périphérie se produit chaque fois que vous avez une interface de tunnel qui va vers un réseau moins sécurisé, qui est tunnelé sur une autre interface qui est connectée à un réseau plus sécurisé. Cela signifie que l'hôte contourne (tunneling) une des limites de sécurité définies par l'administrateur de réseau local. Par exemple, avec n'importe quel tunnel vers Internet via une interface physique connectée au réseau d'entreprise, vous avez une «traversée de périphérie».

Dans Windows 7, la technologie de traversée NAT intégrée de Microsoft, Teredo, peut être configurée pour fonctionner via le pare-feu à l'aide de règles qui utilisent Edge Traversal. En principe, les technologies de tunneling traversant NAT tierces pourraient également le faire.

Amit Tiwari
la source
1
Notez que si le tunnel se termine sur un périphérique externe au lieu de l'hôte Windows, le pare-feu Windows peut ne pas voir une traversée de périphérie. Dans notre cas avec Cisco SSL VPN et un chemin d'accès comme client - Internet - Périphérique VPN - réseau d'entreprise - hôte Windows, un paramètre "Bloquer la traversée de bord" NE bloque PAS le trafic TCP qui est autrement autorisé.
Paul