Vai al contenuto
Avanet

Bloccare correttamente QUIC e HTTP/3 con Sophos Firewall

QUIC è un moderno protocollo di trasporto, oggi particolarmente rilevante in relazione a HTTP/3. Molti browser e servizi web utilizzano QUIC per stabilire connessioni web più rapidamente e mantenerle più stabili. Tuttavia, per gli amministratori, un altro aspetto è cruciale: QUIC opera su UDP, spesso su UDP 443, e si comporta quindi diversamente rispetto al classico HTTPS su TCP.

Su Sophos Firewall, questo è importante perché il filtraggio web, la scansione malware, l’ispezione TLS e il controllo delle applicazioni possono essere valutati in modo affidabile solo se il traffico passa attraverso la regola nella forma prevista. In molti ambienti, Blocca protocollo QUIC rimane quindi un’impostazione sensata nelle regole di accesso a Internet dei client.

Quale articolo di protezione web è adatto?

QUIC non è solitamente l’obiettivo principale, ma un fattore di disturbo in scenari di protezione web, ispezione TLS o risoluzione dei problemi. A seconda del compito, è adatto un diverso punto di partenza:

Questo articolo risponde principalmente alla domanda su quando e come bloccare QUIC o HTTP/3 nella regola del firewall appropriata e successivamente convalidare correttamente.

Cosa significa QUIC per il firewall

Il classico HTTPS opera principalmente su TCP 443. Il firewall può decidere, a seconda della regola, della politica web, del motore DPI, del proxy web e dell’ispezione SSL/TLS, se il traffico deve essere solo consentito, categorizzato, decrittato, scansionato o bloccato.

QUIC sposta questo traffico web su UDP. Per gli utenti, questo è spesso più veloce. Per il firewall, significa:

  • Il traffico web non appare più come il classico HTTPS su TCP.
  • UDP 443 può bypassare le aspettative di filtraggio e scansione web.
  • L’ispezione TLS non funziona come con il normale HTTPS su TCP.
  • La risoluzione dei problemi diventa più difficile quando i browser passano automaticamente tra TCP e QUIC.
  • Tester di politiche, Log Viewer e Packet Capture devono essere confrontati consapevolmente con protocollo e porta.

L’opzione Blocca protocollo QUIC blocca i pacchetti UDP in uscita verso le porte 80 e 443 per il traffico che corrisponde alla rispettiva regola del firewall. Questo è il punto decisivo: se un client accede a Internet tramite un’altra regola, l’impostazione nella regola standard non ha effetto su quel traffico. Di solito i browser tornano poi a HTTPS su TCP.

HTTPS non viene decrittato automaticamente. Il blocco QUIC porta soltanto il traffico in un percorso TCP più controllabile. Che poi intervengano Web Policy, scansione malware, Application Control o TLS Inspection dipende dal resto della configurazione della regola e dell’ispezione.

Quando bloccare QUIC

In molte reti client produttive, bloccare QUIC è sensato se una o più di queste affermazioni sono vere:

  • Il filtraggio web deve essere affidabile.
  • La scansione malware per i download web è importante.
  • L’ispezione TLS viene utilizzata per categorie o gruppi di utenti selezionati.
  • Il controllo delle applicazioni deve riconoscere meglio le applicazioni web.
  • Gli accessi web devono essere tracciabili nel Log Viewer.
  • Il helpdesk e il team di sicurezza devono poter eseguire test riproducibili.

Per una rete Wi-Fi per ospiti senza ispezione approfondita, QUIC può essere meno critico. Per le reti client gestite, i server con accesso a Internet in uscita o gli ambienti con requisiti di conformità, si dovrebbe invece decidere consapevolmente su QUIC e non semplicemente lasciarlo al browser.

Verifica dell’impostazione nella regola del firewall

Il luogo normale è la regola del firewall in uscita, ad esempio LAN_to_WAN_Clients.

Percorso del menu:

Rules and policies > Firewall rules

Procedura:

  1. Aprire la regola di accesso a Internet del client interessato.
  2. Andare alla sezione Security features > Web filtering.
  3. Attivare Log firewall traffic, in modo che i test siano visibili nel Log Viewer.
  4. Verificare la politica web o la scansione malware.
  5. Lasciare attivato o attivare consapevolmente Blocca protocollo QUIC.
  6. Attivare Scan HTTP and decrypted HTTPS solo se è chiaro come viene decrittato HTTPS.
  7. In DPI Mode, verificare che Use web proxy instead of DPI engine non sia attivo per errore.
  8. In Web Proxy Mode, verificare se Decrypt HTTPS during web proxy filtering e la distribuzione della CA corrispondono all’obiettivo.
  9. Salvare la regola.
  10. Verificare il client di test e controllare il Log Viewer.

Sophos attiva Blocca protocollo QUIC per impostazione predefinita quando in una regola viene selezionata una politica web o vengono scansionati HTTP e HTTPS decrittato. Tuttavia, si dovrebbe controllare consapevolmente l’impostazione nelle regole Internet importanti, soprattutto dopo migrazioni, set di regole vecchi, regole copiate o set di regole riordinati automaticamente.

Regola Sophos Firewall con l'opzione Block QUIC protocol attivata
L’opzione Block QUIC protocol si trova nella regola firewall sotto Security features > Web filtering e si applica solo al traffico corrispondente a questa regola.

Maggiori dettagli sulle singole opzioni di una regola del firewall sono disponibili in Comprendere e configurare correttamente le regole del firewall di Sophos.

Non disabilitare QUIC solo tramite browser

In passato, era comune disabilitare QUIC direttamente nel browser o tramite Chrome Flags. Questo può aiutare nei test, ma non è un concetto di sicurezza affidabile:

  • Le impostazioni del browser cambiano.
  • Non solo Chrome può utilizzare QUIC o HTTP/3.
  • Gli utenti o gli aggiornamenti possono ripristinare le impostazioni.
  • I dispositivi BYOD, ospiti e non gestiti sono difficilmente controllabili in questo modo.
  • Le politiche di sicurezza dovrebbero essere tracciabili centralmente sul firewall.

Per gli ambienti produttivi, la regola del firewall è il posto migliore. I test lato browser possono essere utili come complemento quando si vuole restringere un errore.

Alternativa: Controllo delle applicazioni o regola UDP

Oltre a Blocca protocollo QUIC, ci sono altri modi per limitare il traffico QUIC.

  • Blocca protocollo QUIC nella regola del firewall: Caso standard per filtraggio web e scansione. Limite: l’impostazione si applica solo al traffico che corrisponde a questa regola.
  • Controllo delle applicazioni: Controllo aggiuntivo tramite riconoscimento app. Limite: richiede una politica di controllo delle applicazioni adeguata e log.
  • Regola di drop personalizzata per UDP 80/443: Blocco tecnico molto chiaro. Limite: la regola deve essere posizionata correttamente e limitata alle reti client.
  • Configurazione del browser: Utile per test brevi o ambienti speciali gestiti. Limite: non abbastanza robusta come unica policy del firewall.

Se viene utilizzata una regola di drop personalizzata, dovrebbe essere posizionata sopra le regole di accesso a Internet generali dei client e registrata correttamente. Altrimenti, non è chiaro se QUIC è stato bloccato consapevolmente o se il traffico si è bloccato altrove.

Application Control può rendere QUIC ulteriormente visibile, ma non è un lasciapassare per traffico web non verificato. Alcune Web Micro App possono essere riconosciute in modo più affidabile quando il firewall può valutare il contesto URL dal traffico decrittato. Se TLS Inspection non è attiva o il traffico non arriva nel percorso previsto a causa di QUIC, i log di Application Control vanno sempre letti insieme ai log di firewall, web e SSL/TLS Inspection.

Filtro di Controllo delle applicazioni di Sophos Firewall con QUIC
Il Controllo delle applicazioni può riconoscere e bloccare ulteriormente QUIC, ma non sostituisce la verifica della regola del firewall.
Regola del firewall di Sophos Firewall con filtro di Controllo delle applicazioni per QUIC
Le politiche di Controllo delle applicazioni devono essere attive nella regola del firewall appropriata affinché abbiano effetto sul traffico dei client.

Relazione con l’ispezione TLS

Blocca protocollo QUIC non è un sostituto per l’ispezione TLS. L’impostazione assicura solo che i browser non continuino a comunicare tramite QUIC per il traffico appropriato, ma di solito tornino a HTTPS su TCP.

Solo dopo si pone la vera questione TLS:

  • Esiste una regola di ispezione SSL/TLS appropriata?
  • Il certificato CA è distribuito sui client?
  • Il traffico viene decrittato o consapevolmente non decrittato?
  • Scan HTTP and decrypted HTTPS è attivo nella regola del firewall?
  • Ci sono eccezioni per le applicazioni con Certificate Pinning?

Se si desidera esaminare i contenuti HTTPS, è necessario un rollout TLS pianificato. I dettagli sono disponibili in Introdurre correttamente l’ispezione TLS di Sophos Firewall.

È importante la modalità operativa della regola. In DPI Mode, si applicano le SSL/TLS Inspection Rules in Rules and policies > SSL/TLS inspection rules. In Web Proxy Mode, la decrittazione HTTPS viene gestita tramite le impostazioni del Web Proxy e l’opzione Decrypt HTTPS during web proxy filtering. Se questi due modelli vengono mescolati, QUIC sembra rapidamente il problema principale, anche se in realtà l’architettura di ispezione non è chiara.

Test e validazione

Dopo una modifica, si dovrebbe verificare se il client ritorna effettivamente a HTTPS su TCP e se la regola del firewall prevista viene applicata.

Procedura di test pratica:

  1. Resettare il contatore di utilizzo della regola del firewall interessata.
  2. Riavviare completamente il browser sul client di test, in modo che connessioni esistenti e stati HTTP/3 non falsino il test.
  3. Aprire un sito web che in precedenza utilizzava QUIC.
  4. Filtrare nel Log Viewer per IP sorgente, Rule ID, protocollo e porta di destinazione.
  5. Verificare se UDP 443 è bloccato o non più utilizzato.
  6. Verificare se HTTPS su TCP 443 appare nella regola prevista.
  7. Se il filtraggio web o l’ispezione TLS è attivo, controllare i moduli di log corrispondenti.
  8. In caso di incertezza, utilizzare Packet Capture sull’interfaccia client o firewall.

Per i test delle regole, si adatta la guida Testare la regola del firewall di Sophos con Log Viewer e Packet Capture.

Errori tipici

  • Blocco QUIC attivato solo in una regola vecchia o errata: Il traffico client corrente passa attraverso un’altra regola.
  • La regola è sotto una regola di autorizzazione generale: QUIC viene consentito prima.
  • Il logging è disattivato: Nel Log Viewer non è visibile cosa accade.
  • Viene riutilizzata una sessione browser esistente: Riavviare il browser o usare un profilo di test prima di valutare i log.
  • Solo Chrome modificato localmente: Altri browser o dispositivi continuano a utilizzare QUIC.
  • Si prevede l’ispezione TLS, ma non è configurata: I contenuti HTTPS non vengono decrittati nonostante il blocco QUIC.
  • Scan HTTP and decrypted HTTPS viene frainteso: L’opzione scansiona solo HTTPS già decrittato.
  • DPI Mode e Web Proxy Mode vengono mescolati: L’impostazione cercata potrebbe trovarsi in un altro punto.
  • UDP 443 viene bloccato globalmente: Applicazioni speciali possono essere inaspettatamente colpite.

Risoluzione dei problemi

Se il filtraggio web o la scansione non funzionano come previsto, si dovrebbe verificare questa sequenza:

  1. Quale regola del firewall corrisponde effettivamente al traffico del client?
  2. Blocca protocollo QUIC è attivo esattamente in questa regola?
  3. Il client utilizza UDP 443 o TCP 443?
  4. Log firewall traffic è attivo?
  5. Una regola più specifica si applica sopra?
  6. Esiste una politica di controllo delle applicazioni che tratta QUIC diversamente?
  7. Esiste una regola di ispezione SSL/TLS se si desidera esaminare i contenuti HTTPS?
  8. Viene usato DPI Mode o Web Proxy Mode?
  9. Packet Capture mostra pacchetti UDP 443 in uscita nonostante il blocco previsto?

Se la regola non corrisponde, il problema principale non è QUIC, ma l’ordine delle regole, la zona di origine, la rete di origine, la destinazione, il servizio o l’esclusione. Per questo aiuta Verificare le cause per cui la regola del firewall non si applica.

Lista di controllo operativa

  • Regola di accesso a Internet del client interessata identificata chiaramente.
  • Politica web, scansione malware o ispezione TLS verificata esattamente in questa regola.
  • Blocca protocollo QUIC attivato consapevolmente o disattivato con giustificazione.
  • DPI Mode o Web Proxy Mode deciso consapevolmente.
  • Ordine delle regole e regole di autorizzazione più generali verificati.
  • Log firewall traffic attivo.
  • Test eseguito con browser e sito di destinazione reale.
  • Log Viewer controllato su UDP 443, TCP 443, ID regola ed eventi web.
  • In caso di ispezione TLS, controllati anche i log di ispezione SSL/TLS.
  • Eccezioni o regole UDP personalizzate documentate.
  • L’helpdesk sa che i siti web dovrebbero continuare a funzionare normalmente dopo il blocco QUIC.

Domande frequenti

QUIC è insicuro?

QUIC non è intrinsecamente insicuro. Il problema è la controllabilità sul firewall. Se il filtraggio web, la scansione malware o l’ispezione TLS sono importanti, QUIC può aggirare o complicare questi controlli.

È sufficiente bloccare UDP 443?

Tecnicamente, una regola di drop per UDP 443 può bloccare QUIC. In molti casi, Blocca protocollo QUIC nella regola del firewall appropriata è però più pulito, perché l’impostazione è collegata alla politica web e alla scansione. Una regola di drop personalizzata deve essere posizionata, limitata e registrata con molta attenzione.

HTTPS viene decrittato automaticamente se QUIC è bloccato?

No. Il blocco QUIC assicura solo che i browser di solito tornino a HTTPS su TCP. Per la decrittazione HTTPS sono necessarie regole di ispezione SSL/TLS e un certificato CA distribuito.

Si dovrebbe bloccare QUIC in ogni rete?

Non necessariamente. Per le reti client gestite è spesso sensato. Per le reti Wi-Fi per ospiti, le reti di test o gli accessi Internet molto semplici si può decidere diversamente. È importante che la decisione si adatti consapevolmente alla strategia di filtraggio web, logging e ispezione.

Perché un sito web funziona ancora dopo il blocco?

Questo è spesso desiderato. I browser passano frequentemente automaticamente da QUIC a HTTPS normale su TCP. Il sito continua a funzionare, ma il firewall può meglio classificare il traffico nel normale percorso di filtraggio web e scansione.