Firewall avanzado de Windows: ¿Qué significa "Edge Traversal"?

21

esto debería ser realmente simple:

En Firewall avanzado de Windows en Windows Server 2008+ , Propiedades> Avanzado, ¿qué significa " Recorrido de borde "?

Lo busqué en Google, por supuesto, y no pude encontrar una respuesta concreta, y me sorprendió especialmente ver lo siguiente en el blog de Thomas Schinder :

La opción transversal de Edge es interesante porque no está bien documentada. Esto es lo que dice el archivo de Ayuda:

“Recorrido del borde Esto indica si el recorrido del borde está habilitado (Sí) o deshabilitado (No). Cuando el cruce perimetral está habilitado, la aplicación, el servicio o el puerto al que se aplica la regla es direccionable globalmente y accesible desde fuera de una traducción de dirección de red (NAT) o dispositivo perimetral ".

¿Qué crees que esto podría significar? Podemos hacer que los servicios estén disponibles en un dispositivo NAT mediante el reenvío de puertos en el dispositivo NAT frente al servidor. ¿Podría esto tener algo que ver con IPsec? ¿Podría tener algo que ver con NAT-T? ¿Podría ser que el escritor del archivo de Ayuda para esta característica tampoco lo supiera e inventara algo que representara una tautología?

No sé qué hace esto, pero si me entero, me aseguraré de incluir esta información en mi blog.

Aprecio su honestidad, pero si este tipo no sabe, ¿quién lo sabe?

Tenemos dificultades para conectarnos a una VPN tan pronto como la máquina está al otro lado de un enrutador, y me preguntaba si esto podría ayudar. ¡Así que estoy ansioso por escuchar una descripción adecuada de lo que hace "Edge Traversal"!

Django Reinhardt
fuente
Entienda esto ... no permitir el cruce de bordes en mi regla dhcp rompió dhcp. Parece que Microsoft podría estar tratando de clasificar los marcos dhcp del equipo auxiliar dhcp como encapsulados. Todo un tramo.

Respuestas:

14

Parece que esta solicitud de patente de Microsoft de principios de este año podría decirle lo que quiere saber.

Por lo que puedo deducir, este indicador permite que las reglas de firewall se apliquen al tráfico que ha sido encapsulado por, por ejemplo, un túnel IPv6 a IPv4 que se origina fuera del límite de la red. Como suelen ser las patentes, esta está escrita de manera tan genérica como para aplicarse a cualquier tipo diferente de protocolo de tunelización, por lo que puedo decir.

La carga útil de este tráfico encapsulado sería opaca para cualquier firewall en la red en el otro extremo del túnel. Presumiblemente, estos paquetes encapsulados se pasarían sin filtrar al host interno donde terminaba el otro extremo del túnel. Ese host recibiría el tráfico, lo pasaría a través de su propio firewall, desencapsularía el tráfico (si su propio firewall lo permitía) y devolvería los paquetes desencapsulados a su firewall. Cuando el paquete viaja a través del cortafuegos por segunda vez (después de la decapsulación), tiene un conjunto de bits "este paquete atravesó el borde de la red" de modo que solo se aplicarán al paquete las reglas con el bit de "recorrido del borde".

La Figura 4 de esa solicitud de patente parece describir el proceso gráficamente, y la sección "Descripciones detalladas" que comienza en la página 7 describe el proceso con detalles dolorosamente específicos.

Básicamente, esto permite que un servidor de seguridad basado en host tenga reglas diferentes para el tráfico que ingresó a través de un túnel a través del servidor de seguridad de la red local, a diferencia del tráfico que fue enviado sin encapsular por un túnel directamente a través del servidor de seguridad de la red local.

Me pregunto si la funcionalidad de "marca" de iptables sería una técnica anterior a esta patente. Ciertamente parece que hace algo muy similar, aunque de una manera aún más genérica (ya que puede escribir código de usuario para "marcar" paquetes por prácticamente cualquier motivo si lo desea).

Evan Anderson
fuente
Entonces, ¿"habilitar" Edge Traversal permitiría esos paquetes enviados sin encapsular a través del firewall? Si es así, me sorprende que esté configurado en Denegar de forma predeterminada ... ¿seguramente la mayoría de los paquetes se envían de esa manera? (¿O estoy totalmente equivocado en mi entendimiento aquí?)
Django Reinhardt
55
@Django: el recorrido perimetral no se trata de negar / aceptar paquetes. Se considerará que un paquete que llegó a través de un túnel que termina en el host ha llegado a través de un cruce de borde por ese host. Cuando ese paquete se decapsula de su protocolo de tunelización, el paquete decapsulado se ejecutará a través de las reglas del firewall y el paquete solo se verificará con las reglas que tienen establecido su bit de cruce de borde.
Evan Anderson
Interpreto que si una regla se aplica a un paquete decapsulado, y esa regla tiene el bit transversal atravesado para permitir, entonces el paquete decapsulado está permitido, si el bit transversal está bloqueado, entonces el paquete decapsulado está bloqueado. Algo extraño podría suceder si hay 2 reglas cada una que pueden coincidir con el paquete decapsulado, pero difieren en permitir paquetes decapsulados. ¡La figura 3 de la patente es lo que tiene más sentido!
CMCDragonkai
4

Una publicación anterior, pero aún vale la pena agregarla. Parece que en Windows Server 2012, este elemento simplemente significa "permitir paquetes de otras subredes". Al menos ese es el comportamiento que he observado. Tenemos dos oficinas conectadas con una VPN IPSec. La VPN conecta los dos enrutadores, por lo que en lo que respecta a las computadoras con Windows, es simplemente tráfico entre dos subredes privadas diferentes. Con la configuración "Block Edge Traversal", Windows no permitirá conexiones desde la otra subred.

Kevin Keane
fuente
2
Esta no es mi experiencia en pruebas prácticas de esta configuración, y de hecho hay artículos que disputan esta interpretación. blog.boson.com/bid/95501/…
Cameron
2

El recorrido perimetral se produce siempre que tiene una interfaz de túnel que va a una red menos segura, que se canaliza a través de otra interfaz que está conectada a una red más segura. Esto significa que el host está pasando por alto (haciendo un túnel) uno de los límites de seguridad establecidos por el administrador de la red local. Por ejemplo, con cualquier túnel a Internet a través de una interfaz física conectada a la red corporativa, usted tiene un "recorrido de borde".

En Windows 7, la tecnología transversal NAT incorporada de Microsoft, Teredo, se puede configurar para que funcione a través del firewall utilizando reglas que hacen uso de Edge Traversal. En principio, las tecnologías de túnel de cruce NAT de terceros también podrían hacerlo.

Amit Tiwari
fuente
1
Tenga en cuenta que si el túnel termina en un dispositivo externo en lugar del host de Windows, es posible que el firewall de Windows no vea un cruce perimetral. En nuestro caso con Cisco SSL VPN y una ruta como cliente - Internet - Dispositivo VPN - red corporativa - Host de Windows, una configuración de "Bloqueo transversal de borde" NO bloquea el tráfico TCP que de otro modo estaría permitido.
Paul