Firewall avanzado de Windows: ¿Qué significa "Edge Traversal"?

esto debería ser realmente simple:

En Firewall avanzado de Windows en Windows Server 2008+ , Propiedades> Avanzado, ¿qué significa " Recorrido de borde "?

Lo busqué en Google, por supuesto, y no pude encontrar una respuesta concreta, y me sorprendió especialmente ver lo siguiente en el blog de Thomas Schinder :

La opción transversal de Edge es interesante porque no está bien documentada. Esto es lo que dice el archivo de Ayuda:

“Recorrido del borde Esto indica si el recorrido del borde está habilitado (Sí) o deshabilitado (No). Cuando el cruce perimetral está habilitado, la aplicación, el servicio o el puerto al que se aplica la regla es direccionable globalmente y accesible desde fuera de una traducción de dirección de red (NAT) o dispositivo perimetral ".

¿Qué crees que esto podría significar? Podemos hacer que los servicios estén disponibles en un dispositivo NAT mediante el reenvío de puertos en el dispositivo NAT frente al servidor. ¿Podría esto tener algo que ver con IPsec? ¿Podría tener algo que ver con NAT-T? ¿Podría ser que el escritor del archivo de Ayuda para esta característica tampoco lo supiera e inventara algo que representara una tautología?

No sé qué hace esto, pero si me entero, me aseguraré de incluir esta información en mi blog.

Aprecio su honestidad, pero si este tipo no sabe, ¿quién lo sabe?

Tenemos dificultades para conectarnos a una VPN tan pronto como la máquina está al otro lado de un enrutador, y me preguntaba si esto podría ayudar. ¡Así que estoy ansioso por escuchar una descripción adecuada de lo que hace "Edge Traversal"!

Parece que esta solicitud de patente de Microsoft de principios de este año podría decirle lo que quiere saber.

Por lo que puedo deducir, este indicador permite que las reglas de firewall se apliquen al tráfico que ha sido encapsulado por, por ejemplo, un túnel IPv6 a IPv4 que se origina fuera del límite de la red. Como suelen ser las patentes, esta está escrita de manera tan genérica como para aplicarse a cualquier tipo diferente de protocolo de tunelización, por lo que puedo decir.

La carga útil de este tráfico encapsulado sería opaca para cualquier firewall en la red en el otro extremo del túnel. Presumiblemente, estos paquetes encapsulados se pasarían sin filtrar al host interno donde terminaba el otro extremo del túnel. Ese host recibiría el tráfico, lo pasaría a través de su propio firewall, desencapsularía el tráfico (si su propio firewall lo permitía) y devolvería los paquetes desencapsulados a su firewall. Cuando el paquete viaja a través del cortafuegos por segunda vez (después de la decapsulación), tiene un conjunto de bits "este paquete atravesó el borde de la red" de modo que solo se aplicarán al paquete las reglas con el bit de "recorrido del borde".

La Figura 4 de esa solicitud de patente parece describir el proceso gráficamente, y la sección "Descripciones detalladas" que comienza en la página 7 describe el proceso con detalles dolorosamente específicos.

Básicamente, esto permite que un servidor de seguridad basado en host tenga reglas diferentes para el tráfico que ingresó a través de un túnel a través del servidor de seguridad de la red local, a diferencia del tráfico que fue enviado sin encapsular por un túnel directamente a través del servidor de seguridad de la red local.

Me pregunto si la funcionalidad de "marca" de iptables sería una técnica anterior a esta patente. Ciertamente parece que hace algo muy similar, aunque de una manera aún más genérica (ya que puede escribir código de usuario para "marcar" paquetes por prácticamente cualquier motivo si lo desea).

Una publicación anterior, pero aún vale la pena agregarla. Parece que en Windows Server 2012, este elemento simplemente significa "permitir paquetes de otras subredes". Al menos ese es el comportamiento que he observado. Tenemos dos oficinas conectadas con una VPN IPSec. La VPN conecta los dos enrutadores, por lo que en lo que respecta a las computadoras con Windows, es simplemente tráfico entre dos subredes privadas diferentes. Con la configuración "Block Edge Traversal", Windows no permitirá conexiones desde la otra subred.

El recorrido perimetral se produce siempre que tiene una interfaz de túnel que va a una red menos segura, que se canaliza a través de otra interfaz que está conectada a una red más segura. Esto significa que el host está pasando por alto (haciendo un túnel) uno de los límites de seguridad establecidos por el administrador de la red local. Por ejemplo, con cualquier túnel a Internet a través de una interfaz física conectada a la red corporativa, usted tiene un "recorrido de borde".

En Windows 7, la tecnología transversal NAT incorporada de Microsoft, Teredo, se puede configurar para que funcione a través del firewall utilizando reglas que hacen uso de Edge Traversal. En principio, las tecnologías de túnel de cruce NAT de terceros también podrían hacerlo.