Розширений брандмауер Windows: Що означає "Обхід краю"?


21

це має бути дійсно простим:

У розширеному брандмауері Windows на Windows Server 2008+ , Властивості> Додатково, що означає " Обхід краю "?

Я, звичайно, погукав це, і не зміг придумати конкретної відповіді, і був особливо шокований, побачивши наступне в блозі Томаса Шиндера :

Варіант обходу Edge є цікавим, оскільки він не дуже добре задокументований. Ось що говорить файл довідки:

“Обхід краю Показує, чи ввімкнено обхід краю (Так) чи вимкнено (Ні). Якщо ввімкнено обхід краю, програма, служба або порт, до яких застосовується правило, є адресованими у всьому світі та доступні за межами трансляції мережевих адрес (NAT) або крайового пристрою. "

Як ви думаєте, що це може означати? Ми можемо зробити сервіси доступними на пристрої NAT, використовуючи переадресацію портів на пристрої NAT перед сервером. Чи може це мати щось спільне з IPsec? Чи може це мати щось спільне з NAT-T? Чи може бути, що автор файлів довідки про цю функцію теж не знав, і створив щось, що являло собою тавтологію?

Я не знаю, що це робить, але якщо я це дізнаюся, я обов’язково включу цю інформацію у свій блог.

Я ціную його чесність, але якщо цей хлопець не знає, хто це робить ?!

У нас виникають труднощі з підключенням до VPN, як тільки машина знаходиться на іншій стороні маршрутизатора, і мені було цікаво, чи може це допомогти? Тож я дуже зацікавлений почути належний опис того, що робить "Обхід краю"!


Отримайте це ... не допускаючи обходу краю по моєму правилу dhcp зламав dhcp. Здається, що Microsoft може намагатися класифікувати кадри dhcp від допоміжних передач dhcp як інкапсульовані. Досить розтяжка.

Відповіді:


14

Схоже, подача заявки на патент Microsoft з початку цього року може сказати вам, що ви хочете знати.

З того, що я можу зібрати, цей прапор дозволяє застосовувати правила брандмауера до трафіку, який був інкапсульований, наприклад, тунелем IPv6 до IPv4, що походить за межами мережі. Оскільки патенти часто є, цей записується так загально, що стосується будь-якого іншого типу протоколу тунелювання, від того, що я можу сказати.

Корисне навантаження цього інкапсульованого трафіку було б непрозорим для будь-якого брандмауера в мережі на іншому кінці тунелю. Імовірно, ці інкапсульовані пакети будуть передані через нефільтроване до внутрішнього вузла, де закінчується інший кінець тунелю. Цей хост отримає трафік, передасть його через власний брандмауер, декапсулює трафік (якщо це дозволяє власний брандмауер) і передасть декапсульовані пакети назад його брандмауер. Коли пакет проходить через брандмауер вдруге (після декапсуляції), у нього встановлений біт "цей пакет, який пройшов мережевий край" таким чином, що до цього пакета будуть застосовуватися лише правила з бітом "обходу краю".

На фіг.4 цієї патентної заявки описується процес графічно, а розділ "Детальні описи", що починається на сторінці 7, описує процес до болісно конкретних деталей.

Це в основному дозволяє брандмауеру, заснованому на хості, мати різні правила дорожнього руху, які надходять через тунель через брандмауер локальної мережі, на відміну від трафіку, який щойно був відправлений некапсульованим тунелем безпосередньо через брандмауер локальної мережі.

Цікаво, чи функціональність iptables "маркувати" була б попереднім рівнем техніки для цього патенту? Звичайно, схоже, що це дуже схожа річ, хоч і в ще більш загальній формі (оскільки ви можете написати користувальницький код, щоб "позначити" пакети практично з будь-якої причини).


Тож "включення" Edge Traversal дозволило б тим пакетам, що надсилаються некапсульованими через брандмауер? Якщо так, я вражений тим, що за замовчуванням встановлено "Заборонити" ... напевно більшість пакетів надіслані саме так? (Або я абсолютно помиляюсь у своєму розумінні тут?)
Джанго Райнхардт

5
@Django: Обхід краю не полягає у відмові / прийнятті пакетів. Пакет, який прибув через тунель, що закінчується на хості, вважається, що той хост прибув через обхід краю. Коли цей пакет декапсульований від протоколу тунелювання, декапсульований пакет буде запускатися за допомогою правил брандмауера, і пакет буде перевірятися лише щодо правил, для яких встановлено біт обходу краю.
Еван Андерсон

Я інтерпретую, що як би правило застосовується до декапсульованому пакету, і це правило має бітовий бічний прохідний біт, щоб дозволити, тоді декапсульований пакет дозволений, якщо бітний поперечний біт встановлений на блокування, тоді декапсульований пакет блокується. Щось дивне може трапитися, якщо є 2 правила, кожне з яких може відповідати декапсульованому пакету, але вони відрізняються тим, що дозволяють декапсулювати пакети. Малюнок 3 про патент - це те, що мало найбільше значення!
CMCDragonkai

4

Старіший пост, але все ж варто додати. Схоже, що в Windows Server 2012 цей елемент просто означає "дозволити пакети з інших підмереж". Принаймні, така поведінка, яку я спостерігав. У нас є два офіси, підключені до VPN IPSec. VPN з'єднує два маршрутизатори, тому що стосується комп'ютерів Windows, це просто трафік між двома різними приватними підмережами. З налаштуванням "Блок обходу краю" Windows не дозволить з'єднатись з іншої підмережі.


2
Це не мій досвід практичного тестування цього параметра, і насправді є статті, які суперечать цій інтерпретації. blog.boson.com/bid/95501/…
Камерон

2

Обхід краю відбувається щоразу, коли у вас є інтерфейс тунелю, який переходить до менш захищеної мережі, який тунелюється через інший інтерфейс, приєднаний до більш захищеної мережі. Це означає, що хост обходить (тунелює) один із меж безпеки, встановлений адміністратором локальної мережі. Наприклад, з будь-яким тунелем до Інтернету через фізичний інтерфейс, приєднаний до корпоративної мережі, у вас є "обхід краю".

У Windows 7, вбудована технологія обходу NAT, Teredo, Microsoft може бути налаштована для роботи через брандмауер, використовуючи правила, які використовують Edge Traversal. У принципі, сторонні технології NAT для проходження тунельних технологій також могли б це зробити.


1
Зауважте, що якщо тунель закінчується на зовнішньому пристрої замість хоста Windows, то брандмауер Windows може не бачити крайового проходу. У нашому випадку з VPN Cisco SSL та таким маршрутом, як клієнт - Інтернет - Пристрій VPN - корпоративна мережа - Хост Windows, налаштування "Блокування обходу краю" НЕ блокує TCP-трафік, який інакше дозволений.
Павло
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.