Bloccare correttamente QUIC e HTTP/3 con Sophos Firewall
QUIC è un moderno protocollo di trasporto, oggi particolarmente rilevante in relazione a HTTP/3. Molti browser e servizi web utilizzano QUIC per stabilire connessioni web più rapidamente e mantenerle più stabili. Tuttavia, per gli amministratori, un altro aspetto è cruciale: QUIC opera su UDP, spesso su UDP 443, e si comporta quindi diversamente rispetto al classico HTTPS su TCP.
Su Sophos Firewall, questo è importante perché il filtraggio web, la scansione malware, l’ispezione TLS e il controllo delle applicazioni possono essere valutati in modo affidabile solo se il traffico passa attraverso la regola nella forma prevista. In molti ambienti, Blocca protocollo QUIC rimane quindi un’impostazione sensata nelle regole di accesso a Internet dei client.
Quale articolo di protezione web è adatto?
QUIC non è solitamente l’obiettivo principale, ma un fattore di disturbo in scenari di protezione web, ispezione TLS o risoluzione dei problemi. A seconda del compito, è adatto un diverso punto di partenza:
- Pianificare le politiche web, i gruppi di URL, SafeSearch e il filtro web in generale: Configurare la protezione web di Sophos Firewall con le politiche web
- Gestire le categorie web e gli avvisi istantanei: Utilizzare le categorie web e gli avvisi istantanei di Sophos Firewall
- Decrittare e distribuire controllatamente il traffico HTTPS: Introdurre correttamente l’ispezione TLS di Sophos Firewall
- Verificare quale regola del firewall viene effettivamente applicata: Testare la regola del firewall di Sophos con Log Viewer e Packet Capture
Questo articolo risponde principalmente alla domanda su quando e come bloccare QUIC o HTTP/3 nella regola del firewall appropriata e successivamente convalidare correttamente.
Cosa significa QUIC per il firewall
Il classico HTTPS opera principalmente su TCP 443. Il firewall può decidere, a seconda della regola, della politica web, del motore DPI, del proxy web e dell’ispezione SSL/TLS, se il traffico deve essere solo consentito, categorizzato, decrittato, scansionato o bloccato.
QUIC sposta questo traffico web su UDP. Per gli utenti, questo è spesso più veloce. Per il firewall, significa:
- Il traffico web non appare più come il classico HTTPS su TCP.
- UDP
443può bypassare le aspettative di filtraggio e scansione web. - L’ispezione TLS non funziona come con il normale HTTPS su TCP.
- La risoluzione dei problemi diventa più difficile quando i browser passano automaticamente tra TCP e QUIC.
- Tester di politiche, Log Viewer e Packet Capture devono essere confrontati consapevolmente con protocollo e porta.
L’opzione Blocca protocollo QUIC blocca i pacchetti UDP in uscita verso le porte 80 e 443 per il traffico che corrisponde alla rispettiva regola del firewall. Questo è il punto decisivo: se un client accede a Internet tramite un’altra regola, l’impostazione nella regola standard non ha effetto su quel traffico. Di solito i browser tornano poi a HTTPS su TCP.
HTTPS non viene decrittato automaticamente. Il blocco QUIC porta soltanto il traffico in un percorso TCP più controllabile. Che poi intervengano Web Policy, scansione malware, Application Control o TLS Inspection dipende dal resto della configurazione della regola e dell’ispezione.
Quando bloccare QUIC
In molte reti client produttive, bloccare QUIC è sensato se una o più di queste affermazioni sono vere:
- Il filtraggio web deve essere affidabile.
- La scansione malware per i download web è importante.
- L’ispezione TLS viene utilizzata per categorie o gruppi di utenti selezionati.
- Il controllo delle applicazioni deve riconoscere meglio le applicazioni web.
- Gli accessi web devono essere tracciabili nel Log Viewer.
- Il helpdesk e il team di sicurezza devono poter eseguire test riproducibili.
Per una rete Wi-Fi per ospiti senza ispezione approfondita, QUIC può essere meno critico. Per le reti client gestite, i server con accesso a Internet in uscita o gli ambienti con requisiti di conformità, si dovrebbe invece decidere consapevolmente su QUIC e non semplicemente lasciarlo al browser.
Verifica dell’impostazione nella regola del firewall
Il luogo normale è la regola del firewall in uscita, ad esempio LAN_to_WAN_Clients.
Percorso del menu:
Rules and policies > Firewall rules
Procedura:
- Aprire la regola di accesso a Internet del client interessato.
- Andare alla sezione Security features > Web filtering.
- Attivare Log firewall traffic, in modo che i test siano visibili nel Log Viewer.
- Verificare la politica web o la scansione malware.
- Lasciare attivato o attivare consapevolmente Blocca protocollo QUIC.
- Attivare Scan HTTP and decrypted HTTPS solo se è chiaro come viene decrittato HTTPS.
- In DPI Mode, verificare che Use web proxy instead of DPI engine non sia attivo per errore.
- In Web Proxy Mode, verificare se Decrypt HTTPS during web proxy filtering e la distribuzione della CA corrispondono all’obiettivo.
- Salvare la regola.
- Verificare il client di test e controllare il Log Viewer.
Sophos attiva Blocca protocollo QUIC per impostazione predefinita quando in una regola viene selezionata una politica web o vengono scansionati HTTP e HTTPS decrittato. Tuttavia, si dovrebbe controllare consapevolmente l’impostazione nelle regole Internet importanti, soprattutto dopo migrazioni, set di regole vecchi, regole copiate o set di regole riordinati automaticamente.

Maggiori dettagli sulle singole opzioni di una regola del firewall sono disponibili in Comprendere e configurare correttamente le regole del firewall di Sophos.
Non disabilitare QUIC solo tramite browser
In passato, era comune disabilitare QUIC direttamente nel browser o tramite Chrome Flags. Questo può aiutare nei test, ma non è un concetto di sicurezza affidabile:
- Le impostazioni del browser cambiano.
- Non solo Chrome può utilizzare QUIC o HTTP/3.
- Gli utenti o gli aggiornamenti possono ripristinare le impostazioni.
- I dispositivi BYOD, ospiti e non gestiti sono difficilmente controllabili in questo modo.
- Le politiche di sicurezza dovrebbero essere tracciabili centralmente sul firewall.
Per gli ambienti produttivi, la regola del firewall è il posto migliore. I test lato browser possono essere utili come complemento quando si vuole restringere un errore.
Alternativa: Controllo delle applicazioni o regola UDP
Oltre a Blocca protocollo QUIC, ci sono altri modi per limitare il traffico QUIC.
- Blocca protocollo QUIC nella regola del firewall: Caso standard per filtraggio web e scansione. Limite: l’impostazione si applica solo al traffico che corrisponde a questa regola.
- Controllo delle applicazioni: Controllo aggiuntivo tramite riconoscimento app. Limite: richiede una politica di controllo delle applicazioni adeguata e log.
- Regola di drop personalizzata per UDP
80/443: Blocco tecnico molto chiaro. Limite: la regola deve essere posizionata correttamente e limitata alle reti client. - Configurazione del browser: Utile per test brevi o ambienti speciali gestiti. Limite: non abbastanza robusta come unica policy del firewall.
Se viene utilizzata una regola di drop personalizzata, dovrebbe essere posizionata sopra le regole di accesso a Internet generali dei client e registrata correttamente. Altrimenti, non è chiaro se QUIC è stato bloccato consapevolmente o se il traffico si è bloccato altrove.
Application Control può rendere QUIC ulteriormente visibile, ma non è un lasciapassare per traffico web non verificato. Alcune Web Micro App possono essere riconosciute in modo più affidabile quando il firewall può valutare il contesto URL dal traffico decrittato. Se TLS Inspection non è attiva o il traffico non arriva nel percorso previsto a causa di QUIC, i log di Application Control vanno sempre letti insieme ai log di firewall, web e SSL/TLS Inspection.


Relazione con l’ispezione TLS
Blocca protocollo QUIC non è un sostituto per l’ispezione TLS. L’impostazione assicura solo che i browser non continuino a comunicare tramite QUIC per il traffico appropriato, ma di solito tornino a HTTPS su TCP.
Solo dopo si pone la vera questione TLS:
- Esiste una regola di ispezione SSL/TLS appropriata?
- Il certificato CA è distribuito sui client?
- Il traffico viene decrittato o consapevolmente non decrittato?
- Scan HTTP and decrypted HTTPS è attivo nella regola del firewall?
- Ci sono eccezioni per le applicazioni con Certificate Pinning?
Se si desidera esaminare i contenuti HTTPS, è necessario un rollout TLS pianificato. I dettagli sono disponibili in Introdurre correttamente l’ispezione TLS di Sophos Firewall.
È importante la modalità operativa della regola. In DPI Mode, si applicano le SSL/TLS Inspection Rules in Rules and policies > SSL/TLS inspection rules. In Web Proxy Mode, la decrittazione HTTPS viene gestita tramite le impostazioni del Web Proxy e l’opzione Decrypt HTTPS during web proxy filtering. Se questi due modelli vengono mescolati, QUIC sembra rapidamente il problema principale, anche se in realtà l’architettura di ispezione non è chiara.
Test e validazione
Dopo una modifica, si dovrebbe verificare se il client ritorna effettivamente a HTTPS su TCP e se la regola del firewall prevista viene applicata.
Procedura di test pratica:
- Resettare il contatore di utilizzo della regola del firewall interessata.
- Riavviare completamente il browser sul client di test, in modo che connessioni esistenti e stati HTTP/3 non falsino il test.
- Aprire un sito web che in precedenza utilizzava QUIC.
- Filtrare nel Log Viewer per IP sorgente, Rule ID, protocollo e porta di destinazione.
- Verificare se UDP
443è bloccato o non più utilizzato. - Verificare se HTTPS su TCP
443appare nella regola prevista. - Se il filtraggio web o l’ispezione TLS è attivo, controllare i moduli di log corrispondenti.
- In caso di incertezza, utilizzare Packet Capture sull’interfaccia client o firewall.
Per i test delle regole, si adatta la guida Testare la regola del firewall di Sophos con Log Viewer e Packet Capture.
Errori tipici
- Blocco QUIC attivato solo in una regola vecchia o errata: Il traffico client corrente passa attraverso un’altra regola.
- La regola è sotto una regola di autorizzazione generale: QUIC viene consentito prima.
- Il logging è disattivato: Nel Log Viewer non è visibile cosa accade.
- Viene riutilizzata una sessione browser esistente: Riavviare il browser o usare un profilo di test prima di valutare i log.
- Solo Chrome modificato localmente: Altri browser o dispositivi continuano a utilizzare QUIC.
- Si prevede l’ispezione TLS, ma non è configurata: I contenuti HTTPS non vengono decrittati nonostante il blocco QUIC.
Scan HTTP and decrypted HTTPSviene frainteso: L’opzione scansiona solo HTTPS già decrittato.- DPI Mode e Web Proxy Mode vengono mescolati: L’impostazione cercata potrebbe trovarsi in un altro punto.
- UDP
443viene bloccato globalmente: Applicazioni speciali possono essere inaspettatamente colpite.
Risoluzione dei problemi
Se il filtraggio web o la scansione non funzionano come previsto, si dovrebbe verificare questa sequenza:
- Quale regola del firewall corrisponde effettivamente al traffico del client?
- Blocca protocollo QUIC è attivo esattamente in questa regola?
- Il client utilizza UDP
443o TCP443? - Log firewall traffic è attivo?
- Una regola più specifica si applica sopra?
- Esiste una politica di controllo delle applicazioni che tratta QUIC diversamente?
- Esiste una regola di ispezione SSL/TLS se si desidera esaminare i contenuti HTTPS?
- Viene usato DPI Mode o Web Proxy Mode?
- Packet Capture mostra pacchetti UDP
443in uscita nonostante il blocco previsto?
Se la regola non corrisponde, il problema principale non è QUIC, ma l’ordine delle regole, la zona di origine, la rete di origine, la destinazione, il servizio o l’esclusione. Per questo aiuta Verificare le cause per cui la regola del firewall non si applica.
Lista di controllo operativa
- Regola di accesso a Internet del client interessata identificata chiaramente.
- Politica web, scansione malware o ispezione TLS verificata esattamente in questa regola.
- Blocca protocollo QUIC attivato consapevolmente o disattivato con giustificazione.
- DPI Mode o Web Proxy Mode deciso consapevolmente.
- Ordine delle regole e regole di autorizzazione più generali verificati.
Log firewall trafficattivo.- Test eseguito con browser e sito di destinazione reale.
- Log Viewer controllato su UDP
443, TCP443, ID regola ed eventi web. - In caso di ispezione TLS, controllati anche i log di ispezione SSL/TLS.
- Eccezioni o regole UDP personalizzate documentate.
- L’helpdesk sa che i siti web dovrebbero continuare a funzionare normalmente dopo il blocco QUIC.
Domande frequenti
QUIC è insicuro?
È sufficiente bloccare UDP 443?
443 può bloccare QUIC. In molti casi, Blocca protocollo QUIC nella regola del firewall appropriata è però più pulito, perché l’impostazione è collegata alla politica web e alla scansione. Una regola di drop personalizzata deve essere posizionata, limitata e registrata con molta attenzione.