Zaawansowana zapora systemu Windows: co oznacza „Edge Traversal”?

to powinno być naprawdę proste:

W Zaawansowanej zaporze systemu Windows w systemie Windows Server 2008+ , Właściwości> Zaawansowane, co oznacza „ Edge Traversal ”?

Oczywiście przejrzałem go i nie byłem w stanie znaleźć konkretnej odpowiedzi, i byłem szczególnie zszokowany, widząc na blogu Thomasa Schindera :

Opcja przejścia przez krawędź jest interesująca, ponieważ nie jest dobrze udokumentowana. Oto, co mówi plik pomocy:

„Przejście krawędzi Wskazuje, czy przejście krawędzi jest włączone (Tak), czy wyłączone (Nie). Gdy włączone jest przejście na brzeg, aplikacja, usługa lub port, do którego ma zastosowanie reguła, jest adresowalne globalnie i dostępne spoza translatora adresów sieciowych (NAT) lub urządzenia brzegowego. ”

Jak myślisz, co to może znaczyć? Możemy udostępnić usługi na urządzeniu NAT, używając przekierowania portów na urządzeniu NAT przed serwerem. Czy to może mieć coś wspólnego z IPsec? Czy to może mieć coś wspólnego z NAT-T? Czy to możliwe, że autor pliku pomocy dla tej funkcji też nie wiedział i stworzył coś, co reprezentuje tautologię?

Nie wiem, co to robi, ale jeśli się dowiem, dopiszę te informacje do mojego bloga.

Doceniam jego uczciwość, ale jeśli ten facet nie wie, kto wie ?!

Mamy problem z połączeniem się z VPN, gdy tylko maszyna znajdzie się po drugiej stronie routera, i zastanawiałem się, czy to może pomóc? Dlatego chętnie słyszę odpowiedni opis tego, co robi „Edge Traversal”!

Wygląda na to, że zgłoszenie patentowe Microsoft z tego roku może ci powiedzieć, co chcesz wiedzieć.

Z tego, co mogę zebrać, ta flaga pozwala na zastosowanie reguł zapory do ruchu, który został enkapsulowany na przykład przez tunel IPv6 do IPv4 wychodzący poza granicę sieci. Jak często patenty, ten jest napisany w tak ogólny sposób, że można go zastosować do dowolnego innego rodzaju protokołu tunelowania, z tego co mogę powiedzieć.

Ładunek tego hermetyzowanego ruchu byłby nieprzejrzysty dla dowolnej zapory ogniowej w sieci na drugim końcu tunelu. Przypuszczalnie te kapsułkowane pakiety byłyby przepuszczane bez filtrowania do hosta wewnętrznego, gdzie kończy się drugi koniec tunelu. Ten host odbierałby ruch, przepuszczał go przez własną zaporę, dekapsułował ruch (jeśli zezwala na to zapora) i przekazywał zdekapsułowane pakiety z powrotem do zapory. Kiedy pakiet przepływa przez zaporę po raz drugi (po dekapsulacji), ma ustawiony bit „ten pakiet przemieścił krawędź sieci”, tak że tylko pakiet z ustawionym bitem „przechodzenia przez krawędź” będzie miał zastosowanie do pakietu.

Rycina 4 tego zgłoszenia patentowego wydaje się opisywać proces graficznie, a sekcja „Szczegółowe opisy” rozpoczynająca się na stronie 7 opisuje proces z boleśnie szczegółowymi szczegółami.

Zasadniczo pozwala to zaporze opartej na hoście na stosowanie różnych reguł dla ruchu przychodzącego przez tunel przez zaporę sieci lokalnej, w przeciwieństwie do ruchu, który został właśnie wysłany niezakapsułowany przez tunel bezpośrednio przez zaporę sieci lokalnej.

Zastanawiam się, czy funkcjonalność „znaku” iptables byłaby stanem techniki dla tego patentu? Z pewnością wydaje się, że robi to bardzo podobnie, choć w bardziej ogólny sposób (ponieważ możesz napisać kod użytkownika do „oznaczania” pakietów z dowolnego powodu, jeśli chcesz).

Starszy post, ale nadal warto go dodać. Wygląda na to, że w systemie Windows Server 2012 ten element oznacza po prostu „zezwalaj na pakiety z innych podsieci”. Przynajmniej takie zachowanie obserwowałem. Mamy dwa biura połączone z IPSec VPN. VPN łączy dwa routery, więc jeśli chodzi o komputery z systemem Windows, to po prostu ruch między dwoma różnymi prywatnymi podsieciami. Przy ustawieniu „Block Edge Traversal” system Windows nie zezwala na połączenia z drugiej podsieci.

Przejście brzegowe występuje, gdy masz interfejs tunelowy, który przechodzi do mniej bezpiecznej sieci, która jest tunelowana przez inny interfejs podłączony do bardziej bezpiecznej sieci. Oznacza to, że host omija (tuneluje) jedną z granic bezpieczeństwa ustanowionych przez administratora sieci lokalnej. Na przykład, przy każdym tunelu do Internetu za pośrednictwem fizycznego interfejsu podłączonego do sieci korporacyjnej, masz „przejście na brzeg”.

W systemie Windows 7 wbudowaną technologię przejścia NAT NAT firmy Microsoft, Teredo, można skonfigurować do pracy przez zaporę ogniową przy użyciu reguł korzystających z Edge Traversal. Zasadniczo mogłyby to zrobić również technologie tunelowania ruchu NAT innych firm.