Windows Advanced Firewall: Apa yang dimaksud dengan "Edge Traversal"?

21

ini harus sangat sederhana:

Di Advanced Windows Firewall pada Windows Server 2008+ , Properties> Advanced, apa artinya " Edge Traversal "?

Saya mencarinya di Google, tentu saja, dan tidak dapat memberikan jawaban yang konkret, dan saya sangat terkejut melihat hal berikut di blog Thomas Schinder :

Opsi Edge traversal adalah opsi yang menarik, karena tidak didokumentasikan dengan baik. Inilah yang dikatakan file Bantuan:

“Edge traversal Ini menunjukkan apakah edge traversal diaktifkan (Ya) atau dinonaktifkan (Tidak). Ketika edge traversal diaktifkan, aplikasi, layanan, atau port yang aturannya berlaku bisa dialamatkan secara global dan dapat diakses dari luar terjemahan alamat jaringan (NAT) atau perangkat edge. "

Menurut Anda apa artinya ini? Kami dapat membuat layanan tersedia di perangkat NAT dengan menggunakan penerusan port pada perangkat NAT di depan server. Mungkinkah ini ada hubungannya dengan IPsec? Mungkinkah ada hubungannya dengan NAT-T? Mungkinkah penulis file Bantuan untuk fitur ini juga tidak tahu, dan membuat sesuatu yang mewakili tautologi?

Saya tidak tahu apa fungsinya, tetapi jika saya mengetahuinya, saya akan memastikan untuk memasukkan informasi ini di blog saya.

Saya menghargai kejujurannya, tapi kalau ini orang tidak tahu, siapa yang melakukan ?!

Kami mengalami kesulitan menghubungkan ke VPN segera setelah mesin berada di sisi lain dari router, dan saya bertanya-tanya apakah ini dapat membantu? Jadi saya sangat ingin mendengar deskripsi yang tepat tentang apa yang "Edge Traversal" lakukan!

windows-server-2008 vpn firewall windows-firewall Django Reinhardt
sumber
Dapatkan ini ... tidak mengizinkan edge traversal pada aturan dhcp saya merusak dhcp. Tampaknya microsoft mungkin mencoba untuk mengklasifikasikan frame dhcp dari gigi pembantu dhcp seperti yang dienkapsulasi. Peregangan yang cukup.

Jawaban:

14

Sepertinya pengarsipan paten Microsoft ini dari awal tahun ini mungkin memberi tahu Anda apa yang ingin Anda ketahui.

Dari apa yang dapat saya kumpulkan, flag ini memungkinkan aturan firewall berlaku untuk lalu lintas yang telah dienkapsulasi oleh, misalnya, terowongan IPv6 ke IPv4 yang berasal di luar perbatasan jaringan. Seperti paten yang sering, ini ditulis sedemikian umum untuk diterapkan pada berbagai jenis protokol tunneling, dari apa yang bisa saya katakan.

Payload lalu lintas yang dienkapsulasi ini akan menjadi buram ke firewall apa pun di jaringan di ujung terowongan. Agaknya, paket enkapsulasi ini akan diteruskan tanpa filter ke host internal di mana ujung terowongan berakhir. Tuan rumah itu akan menerima lalu lintas, meneruskannya melalui firewallnya sendiri, mendekapsulasi lalu lintas (jika diizinkan oleh firewallnya sendiri), dan meneruskan paket-paket yang diuraikan kembali ke firewallnya. Ketika paket berjalan melalui firewall untuk kedua kalinya (setelah decapsulation), ia memiliki bit set "paket ini melintasi tepi jaringan" sehingga hanya aturan dengan bit "edge traversal" yang juga diatur akan berlaku untuk paket tersebut.

Gambar 4 dari aplikasi paten tersebut tampaknya menggambarkan proses tersebut secara grafis, dan bagian "Deskripsi Lengkap" yang dimulai pada halaman 7 menjelaskan proses tersebut dalam rincian spesifik yang menyakitkan.

Ini pada dasarnya memungkinkan firewall berbasis host untuk memiliki aturan yang berbeda untuk lalu lintas yang masuk melalui terowongan melalui firewall jaringan lokal, sebagai lawan dari lalu lintas yang baru saja dikirim tidak dienkapsulasi oleh terowongan langsung melalui firewall jaringan lokal.

Saya ingin tahu apakah fungsionalitas "mark" iptables akan menjadi prior art dari paten ini? Sepertinya ini melakukan hal yang sangat mirip, walaupun dengan cara yang lebih umum (karena Anda dapat menulis kode pengguna-tanah untuk "menandai" paket untuk hampir semua alasan jika Anda mau).

Evan Anderson
sumber
Jadi "memungkinkan" Edge Traversal akan memungkinkan paket-paket yang dikirim tidak dienkapsulasi melalui firewall? Jika demikian, saya kagum bahwa ini diatur ke Deny secara default ... pasti sebagian besar paket dikirim seperti itu? (Atau aku benar-benar salah dalam saya memahami di sini?)
Django Reinhardt
5
@ Django: Edge traversal bukan tentang menolak / menerima paket. Sebuah paket yang tiba melalui sebuah terowongan yang berakhir pada host akan dianggap telah tiba melalui edge traversal oleh host tersebut. Ketika paket itu didekapsulasi dari protokol tunnelingnya, paket yang didekapsulasi akan dijalankan melalui aturan firewall dan paket hanya akan diperiksa terhadap aturan yang mengatur bit traversal edge mereka.
Evan Anderson
Saya menafsirkan bahwa seolah-olah aturan diterapkan ke paket didekapsulasi, dan aturan itu memiliki bit traversal tepi diatur untuk memungkinkan, maka paket terdekapsulasi dibolehkan, jika bit traversal tepi diatur ke blok, maka paket yang didekapsulasi diblokir. Sesuatu yang aneh mungkin terjadi jika masing-masing ada 2 aturan yang dapat cocok dengan paket yang didekapsulasi, tetapi mereka berbeda dalam mengijinkan paket yang didekapsulasi. Gambar 3 pada paten adalah yang paling masuk akal!
CMCDragonkai
4

Pos yang lebih lama, tetapi masih layak ditambahkan. Tampaknya di Windows Server 2012, item ini berarti "izinkan paket dari subnet lain". Setidaknya itulah perilaku yang saya amati. Kami memiliki dua kantor yang terhubung dengan IPSec VPN. VPN menghubungkan dua router, sejauh menyangkut komputer Windows, itu hanya lalu lintas antara dua subnet pribadi yang berbeda. Dengan pengaturan "Block Edge Traversal" Windows tidak akan mengizinkan koneksi dari subnet lainnya.

Kevin Keane
sumber
2
Ini bukan pengalaman saya dalam pengujian langsung pengaturan ini, dan sebenarnya ada artikel yang membantah interpretasi ini. blog.boson.com/bid/95501/…
Cameron
2

Edge traversal terjadi setiap kali Anda memiliki antarmuka terowongan yang masuk ke jaringan yang kurang aman, yang disalurkan ke antarmuka lain yang terpasang ke jaringan yang lebih aman. Ini berarti bahwa host melewati (tunneling over) salah satu batas keamanan yang ditetapkan oleh administrator jaringan lokal. Misalnya, dengan terowongan apa pun ke Internet melalui antarmuka fisik yang terhubung ke jaringan perusahaan, Anda memiliki "edge traversal".

Di Windows 7, teknologi bawaan NAT NATO, Teredo, dapat dikonfigurasi untuk bekerja melalui firewall menggunakan aturan yang menggunakan Edge Traversal. Pada prinsipnya, pihak ketiga NAT melintasi teknologi tunneling bisa melakukannya juga.

Amit Tiwari
sumber
1
Perhatikan bahwa jika terowongan berakhir pada perangkat eksternal dan bukan pada host Windows, firewall Windows mungkin tidak melihat traversal tepi. Dalam kasus kami dengan Cisco SSL VPN dan jalur seperti klien - Internet - Perangkat VPN - jaringan perusahaan - host Windows, pengaturan "Block edge traversal" TIDAK memblokir lalu lintas TCP yang sebaliknya diizinkan.
Paul