Windows Advanced Firewall: Was bedeutet "Edge Traversal"?

Das sollte wirklich einfach sein:

Was bedeutet " Edge-Traversal " in der erweiterten Windows-Firewall unter Windows Server 2008+ unter Eigenschaften> Erweitert ?

Ich habe es natürlich gegoogelt und konnte keine konkrete Antwort finden, und ich war besonders schockiert, das Folgende auf Thomas Schinders Blog zu sehen :

Die Edge-Traversal-Option ist interessant, da sie nicht sehr gut dokumentiert ist. In der Hilfedatei heißt es:

„Flankentraversal Hier wird angezeigt, ob das Flankentraversal aktiviert (Ja) oder deaktiviert (Nein) ist. Wenn Edge-Traversal aktiviert ist, ist die Anwendung, der Dienst oder der Port, für die bzw. den die Regel gilt, global adressierbar und von außerhalb einer NAT (Network Address Translation) oder eines Edge-Geräts zugänglich. “

Was denkst du, könnte das bedeuten? Wir können Dienste über ein NAT-Gerät verfügbar machen, indem wir die Portweiterleitung auf dem NAT-Gerät vor dem Server verwenden. Könnte dies etwas mit IPSec zu tun haben? Könnte es etwas mit NAT-T zu tun haben? Könnte es sein, dass der Help File Writer für diese Funktion auch nichts wusste und etwas erfand, das eine Tautologie darstellt?

Ich weiß nicht, was dies bewirkt, aber wenn ich es herausfinde, werde ich sicherstellen, dass diese Informationen in meinem Blog enthalten sind.

Ich schätze seine Ehrlichkeit, aber wenn dieser Typ es nicht weiß, wer weiß es dann ?!

Es ist schwierig, eine Verbindung zu einem VPN herzustellen, sobald sich der Computer auf der anderen Seite eines Routers befindet. Ich habe mich gefragt, ob dies möglicherweise hilfreich ist. Ich bin also sehr gespannt auf eine genaue Beschreibung dessen, was "Edge Traversal" macht!

Es sieht so aus, als würde Ihnen diese Microsoft-Patentanmeldung von Anfang dieses Jahres sagen, was Sie wissen möchten.

Soweit ich weiß, können mit diesem Flag Firewall-Regeln auf Datenverkehr angewendet werden, der beispielsweise von einem IPv6-IPv4-Tunnel außerhalb der Netzwerkgrenze gekapselt wurde. Wie es häufig bei Patenten der Fall ist, ist dieses so allgemein geschrieben, dass es auf jede andere Art von Tunnelprotokoll angewendet werden kann, soweit ich das beurteilen kann.

Die Nutzlast dieses gekapselten Verkehrs wäre für die Firewall im Netzwerk am anderen Ende des Tunnels undurchsichtig. Vermutlich würden diese gekapselten Pakete ungefiltert an den internen Host weitergeleitet, wo das andere Ende des Tunnels endete. Dieser Host empfängt den Datenverkehr, leitet ihn durch seine eigene Firewall, entkapselt den Datenverkehr (sofern von seiner eigenen Firewall zugelassen) und leitet die entkapselten Pakete an seine Firewall zurück. Wenn das Paket das zweite Mal (nach der Entkapselung) durch die Firewall wandert, ist das Bit "Dieses Paket hat die Netzwerkkante durchlaufen" so gesetzt, dass nur Regeln mit dem ebenfalls gesetzten Bit "Kantenüberquerung" für das Paket gelten.

Abbildung 4 dieser Patentanmeldung scheint den Prozess grafisch zu beschreiben, und der Abschnitt "Detaillierte Beschreibungen" ab Seite 7 beschreibt den Prozess in schmerzhaft spezifischen Details.

Dies ermöglicht es einer hostbasierten Firewall grundsätzlich, andere Regeln für den Datenverkehr festzulegen, der über einen Tunnel durch die lokale Netzwerkfirewall eingeht, im Gegensatz zu Datenverkehr, der gerade von einem Tunnel nicht gekapselt direkt durch die lokale Netzwerkfirewall gesendet wurde.

Ich frage mich, ob die iptables "Mark" -Funktionalität Stand der Technik für dieses Patent wäre. Es scheint mit Sicherheit sehr ähnlich zu sein, wenn auch noch allgemeiner (da Sie User-Land-Code schreiben können, um Pakete aus praktisch jedem Grund zu "markieren", wenn Sie möchten).

Ein älterer Beitrag, der sich aber noch zu ergänzen lohnt. Anscheinend bedeutet dieses Element in Windows Server 2012 einfach "Pakete aus anderen Subnetzen zulassen". Zumindest ist das das Verhalten, das ich beobachtet habe. Wir haben zwei Büros, die mit einem IPSec-VPN verbunden sind. Das VPN verbindet die beiden Router. Für die Windows-Computer handelt es sich lediglich um Datenverkehr zwischen zwei verschiedenen privaten Subnetzen. Mit der Einstellung "Block Edge Traversal" lässt Windows keine Verbindungen aus dem anderen Subnetz zu.

Edge-Traversal tritt immer dann auf, wenn Sie eine Tunnelschnittstelle haben, die zu einem weniger sicheren Netzwerk wechselt, das über eine andere Schnittstelle getunnelt wird, die an ein sichereres Netzwerk angeschlossen ist. Dies bedeutet, dass der Host eine der vom lokalen Netzwerkadministrator festgelegten Sicherheitsgrenzen umgeht (Tunnelung). Wenn beispielsweise ein Tunnel zum Internet über eine physische Schnittstelle mit dem Unternehmensnetzwerk verbunden ist, tritt Edge-Traversal auf.

In Windows 7 kann die in Microsoft integrierte NAT-Traversal-Technologie Teredo so konfiguriert werden, dass sie mithilfe von Regeln, die Edge Traversal verwenden, die Firewall durchläuft. Grundsätzlich können auch NAT-Traversing-Tunneling-Technologien von Drittanbietern verwendet werden.