Pare-feu avancé Windows: que signifie «Edge Traversal»?

cela devrait être très simple:

Dans Pare-feu Windows avancé sur Windows Server 2008+ , Propriétés> Avancé, que signifie « Traversée de bord »?

Je l'ai googlé, bien sûr, et je n'ai pas pu trouver de réponse concrète, et j'ai été particulièrement choqué de voir ce qui suit sur le blog de Thomas Schinder :

L'option de traversée Edge est intéressante, car elle n'est pas très bien documentée. Voici ce que dit le fichier d'aide:

«Traversée de bord Ceci indique si la traversée de bord est activée (Oui) ou désactivée (Non). Lorsque la traversée de périphérie est activée, l'application, le service ou le port auquel la règle s'applique est adressable de manière globale et accessible depuis l'extérieur d'une traduction d'adresses réseau (NAT) ou d'un périphérique de périphérie. »

Que pensez-vous que cela pourrait signifier? Nous pouvons rendre les services disponibles sur un appareil NAT en utilisant la redirection de port sur l'appareil NAT en face du serveur. Cela pourrait-il avoir quelque chose à voir avec IPsec? Cela pourrait-il avoir quelque chose à voir avec NAT-T? Se pourrait-il que l'auteur du fichier d'aide pour cette fonctionnalité ne le savait pas non plus et ait créé quelque chose qui représentait une tautologie?

Je ne sais pas ce que cela fait, mais si je le découvre, je m'assurerai d'inclure ces informations dans mon blog.

J'apprécie son honnêteté, mais si ce gars ne sait pas, qui le sait?!

Nous avons du mal à se connecter à un VPN dès que la machine est de l'autre côté d'un routeur, et je me demandais si cela pouvait aider? Je suis donc assez impatient d'entendre une description correcte de ce que fait "Edge Traversal"!

Il semble que ce dépôt de brevet Microsoft du début de cette année pourrait vous dire ce que vous voulez savoir.

D'après ce que je peux comprendre, cet indicateur permet aux règles de pare-feu de s'appliquer au trafic qui a été encapsulé par, par exemple, un tunnel IPv6 à IPv4 provenant de l'extérieur de la frontière du réseau. Comme les brevets le sont souvent, celui-ci est écrit de manière générique de manière à s'appliquer à tout type de protocole de tunneling différent, d'après ce que je peux dire.

La charge utile de ce trafic encapsulé serait opaque à tout pare-feu du réseau à l'autre extrémité du tunnel. Vraisemblablement, ces paquets encapsulés seraient transmis sans filtrage à l'hôte interne où l'autre extrémité du tunnel s'est terminée. Cet hôte recevrait le trafic, le transmettrait à travers son propre pare-feu, décapsulerait le trafic (s'il était autorisé par son propre pare-feu) et transmettrait les paquets décapsulés à son pare-feu. Lorsque le paquet passe par le pare-feu la deuxième fois (après décapsulation), il a un bit "ce paquet a traversé le bord du réseau" défini de telle sorte que seules les règles avec le bit "traversée du bord" également défini s'appliqueront au paquet.

La figure 4 de cette demande de brevet semble décrire le processus graphiquement, et la section "Descriptions détaillées" commençant à la page 7 décrit le processus avec des détails douloureusement spécifiques.

Cela permet essentiellement à un pare-feu basé sur l'hôte d'avoir des règles différentes pour le trafic entrant via un tunnel via le pare-feu du réseau local, par opposition au trafic qui vient d'être envoyé non encapsulé par un tunnel directement via le pare-feu du réseau local.

Je me demande si la fonctionnalité de «marque» iptables serait un art antérieur à ce brevet? Il semble certainement que cela fait une chose très similaire, bien que d'une manière encore plus générique (puisque vous pouvez écrire du code utilisateur pour "marquer" les paquets pour pratiquement n'importe quelle raison si vous le souhaitez).

Un post plus ancien, mais qui vaut quand même la peine d'être ajouté. Il semble que dans Windows Server 2012, cet élément signifie simplement «autoriser les paquets provenant d'autres sous-réseaux». C'est du moins le comportement que j'ai observé. Nous avons deux bureaux connectés avec un VPN IPSec. Le VPN connecte les deux routeurs, en ce qui concerne les ordinateurs Windows, il s'agit simplement de trafic entre deux sous-réseaux privés différents. Avec le paramètre "Block Edge Traversal", Windows n'autorisera pas les connexions depuis l'autre sous-réseau.

La traversée de périphérie se produit chaque fois que vous avez une interface de tunnel qui va vers un réseau moins sécurisé, qui est tunnelé sur une autre interface qui est connectée à un réseau plus sécurisé. Cela signifie que l'hôte contourne (tunneling) une des limites de sécurité définies par l'administrateur de réseau local. Par exemple, avec n'importe quel tunnel vers Internet via une interface physique connectée au réseau d'entreprise, vous avez une «traversée de périphérie».

Dans Windows 7, la technologie de traversée NAT intégrée de Microsoft, Teredo, peut être configurée pour fonctionner via le pare-feu à l'aide de règles qui utilisent Edge Traversal. En principe, les technologies de tunneling traversant NAT tierces pourraient également le faire.