Windows Advanced Firewall: Was bedeutet "Edge Traversal"?

20

Das sollte wirklich einfach sein:

Was bedeutet " Edge-Traversal " in der erweiterten Windows-Firewall unter Windows Server 2008+ unter Eigenschaften> Erweitert ?

Ich habe es natürlich gegoogelt und konnte keine konkrete Antwort finden, und ich war besonders schockiert, das Folgende auf Thomas Schinders Blog zu sehen :

Die Edge-Traversal-Option ist interessant, da sie nicht sehr gut dokumentiert ist. In der Hilfedatei heißt es:

„Flankentraversal Hier wird angezeigt, ob das Flankentraversal aktiviert (Ja) oder deaktiviert (Nein) ist. Wenn Edge-Traversal aktiviert ist, ist die Anwendung, der Dienst oder der Port, für die bzw. den die Regel gilt, global adressierbar und von außerhalb einer NAT (Network Address Translation) oder eines Edge-Geräts zugänglich. “

Was denkst du, könnte das bedeuten? Wir können Dienste über ein NAT-Gerät verfügbar machen, indem wir die Portweiterleitung auf dem NAT-Gerät vor dem Server verwenden. Könnte dies etwas mit IPSec zu tun haben? Könnte es etwas mit NAT-T zu tun haben? Könnte es sein, dass der Help File Writer für diese Funktion auch nichts wusste und etwas erfand, das eine Tautologie darstellt?

Ich weiß nicht, was dies bewirkt, aber wenn ich es herausfinde, werde ich sicherstellen, dass diese Informationen in meinem Blog enthalten sind.

Ich schätze seine Ehrlichkeit, aber wenn dieser Typ es nicht weiß, wer weiß es dann ?!

Es ist schwierig, eine Verbindung zu einem VPN herzustellen, sobald sich der Computer auf der anderen Seite eines Routers befindet. Ich habe mich gefragt, ob dies möglicherweise hilfreich ist. Ich bin also sehr gespannt auf eine genaue Beschreibung dessen, was "Edge Traversal" macht!

Django Reinhardt
quelle
Holen Sie sich diese ... nicht erlaubt Edge-Traversal auf meine DHCP-Regel brach DHCP. Microsoft scheint zu versuchen, DHCP-Frames von DHCP-Helfer-Geräten als gekapselt zu klassifizieren. Eine ziemliche Strecke.

Antworten:

14

Es sieht so aus, als würde Ihnen diese Microsoft-Patentanmeldung von Anfang dieses Jahres sagen, was Sie wissen möchten.

Soweit ich weiß, können mit diesem Flag Firewall-Regeln auf Datenverkehr angewendet werden, der beispielsweise von einem IPv6-IPv4-Tunnel außerhalb der Netzwerkgrenze gekapselt wurde. Wie es häufig bei Patenten der Fall ist, ist dieses so allgemein geschrieben, dass es auf jede andere Art von Tunnelprotokoll angewendet werden kann, soweit ich das beurteilen kann.

Die Nutzlast dieses gekapselten Verkehrs wäre für die Firewall im Netzwerk am anderen Ende des Tunnels undurchsichtig. Vermutlich würden diese gekapselten Pakete ungefiltert an den internen Host weitergeleitet, wo das andere Ende des Tunnels endete. Dieser Host empfängt den Datenverkehr, leitet ihn durch seine eigene Firewall, entkapselt den Datenverkehr (sofern von seiner eigenen Firewall zugelassen) und leitet die entkapselten Pakete an seine Firewall zurück. Wenn das Paket das zweite Mal (nach der Entkapselung) durch die Firewall wandert, ist das Bit "Dieses Paket hat die Netzwerkkante durchlaufen" so gesetzt, dass nur Regeln mit dem ebenfalls gesetzten Bit "Kantenüberquerung" für das Paket gelten.

Abbildung 4 dieser Patentanmeldung scheint den Prozess grafisch zu beschreiben, und der Abschnitt "Detaillierte Beschreibungen" ab Seite 7 beschreibt den Prozess in schmerzhaft spezifischen Details.

Dies ermöglicht es einer hostbasierten Firewall grundsätzlich, andere Regeln für den Datenverkehr festzulegen, der über einen Tunnel durch die lokale Netzwerkfirewall eingeht, im Gegensatz zu Datenverkehr, der gerade von einem Tunnel nicht gekapselt direkt durch die lokale Netzwerkfirewall gesendet wurde.

Ich frage mich, ob die iptables "Mark" -Funktionalität Stand der Technik für dieses Patent wäre. Es scheint mit Sicherheit sehr ähnlich zu sein, wenn auch noch allgemeiner (da Sie User-Land-Code schreiben können, um Pakete aus praktisch jedem Grund zu "markieren", wenn Sie möchten).

Evan Anderson
quelle
Wenn Sie also Edge Traversal aktivieren, können diese Pakete ungekapselt durch die Firewall gesendet werden. Wenn ja, bin ich erstaunt, dass standardmäßig "Verweigern" eingestellt ist. Sicherlich werden die meisten Pakete auf diese Weise gesendet. (Oder irre ich mich in meinem Verständnis hier?)
Django Reinhardt
5
@ Django: Beim Edge-Traversal geht es nicht darum, Pakete abzulehnen / anzunehmen. Ein Paket, das über einen Tunnel ankommt, der auf dem Host endet, wird als durch Edge-Traversal von diesem Host angekommen angesehen. Wenn dieses Paket von seinem Tunneling-Protokoll entkapselt wird, wird das entkapselte Paket durch die Firewall-Regeln geführt und das Paket wird nur gegen die Regeln geprüft, deren Edge-Traversal-Bit gesetzt ist.
Evan Anderson
Ich interpretiere das so, als ob eine Regel auf ein entkapseltes Paket angewendet wird und für diese Regel das Edge-Traversal-Bit aktiviert ist. Wenn das Edge-Traversal-Bit deaktiviert ist, wird das entkapselte Paket blockiert. Etwas seltsames könnte passieren, wenn es zwei Regeln gibt, die jeweils mit dem entkapselten Paket übereinstimmen können, aber sie unterscheiden sich darin, ob entkapselte Pakete zugelassen werden. Abbildung 3 zum Patent ergab den größten Sinn!
CMCDragonkai
4

Ein älterer Beitrag, der sich aber noch zu ergänzen lohnt. Anscheinend bedeutet dieses Element in Windows Server 2012 einfach "Pakete aus anderen Subnetzen zulassen". Zumindest ist das das Verhalten, das ich beobachtet habe. Wir haben zwei Büros, die mit einem IPSec-VPN verbunden sind. Das VPN verbindet die beiden Router. Für die Windows-Computer handelt es sich lediglich um Datenverkehr zwischen zwei verschiedenen privaten Subnetzen. Mit der Einstellung "Block Edge Traversal" lässt Windows keine Verbindungen aus dem anderen Subnetz zu.

Kevin Keane
quelle
2
Dies ist nicht meine Erfahrung beim praktischen Testen dieser Einstellung, und tatsächlich gibt es Artikel, die diese Interpretation bestreiten. blog.boson.com/bid/95501/…
Cameron
2

Edge-Traversal tritt immer dann auf, wenn Sie eine Tunnelschnittstelle haben, die zu einem weniger sicheren Netzwerk wechselt, das über eine andere Schnittstelle getunnelt wird, die an ein sichereres Netzwerk angeschlossen ist. Dies bedeutet, dass der Host eine der vom lokalen Netzwerkadministrator festgelegten Sicherheitsgrenzen umgeht (Tunnelung). Wenn beispielsweise ein Tunnel zum Internet über eine physische Schnittstelle mit dem Unternehmensnetzwerk verbunden ist, tritt Edge-Traversal auf.

In Windows 7 kann die in Microsoft integrierte NAT-Traversal-Technologie Teredo so konfiguriert werden, dass sie mithilfe von Regeln, die Edge Traversal verwenden, die Firewall durchläuft. Grundsätzlich können auch NAT-Traversing-Tunneling-Technologien von Drittanbietern verwendet werden.

Amit Tiwari
quelle
1
Beachten Sie, dass die Windows-Firewall möglicherweise keinen Edge-Traversal erkennt, wenn der Tunnel auf einem externen Gerät anstelle des Windows-Hosts beendet wird. In unserem Fall mit Cisco SSL VPN und einem Pfad wie Client - Internet - VPN-Gerät - Unternehmensnetzwerk - Windows-Host blockiert die Einstellung "Edge-Traversal blockieren" NICHT den ansonsten zulässigen TCP-Verkehr.
Paul