Zum Inhalt springen
Avanet

Sophos Firewall QUIC und HTTP/3 richtig blockieren

Sophos Firewall

QUIC ist ein modernes Transportprotokoll, das heute vor allem im Zusammenhang mit HTTP/3 relevant ist. Viele Browser und Webdienste nutzen QUIC, um Webverbindungen schneller aufzubauen und stabiler zu halten. Für Administratoren ist aber ein anderer Punkt entscheidend: QUIC läuft über UDP, häufig über UDP 443, und verhält sich deshalb anders als klassisches HTTPS über TCP.

Auf der Sophos Firewall ist das wichtig, weil Webfiltering, Malware-Scanning, TLS Inspection und Application Control nur dann zuverlässig bewertet werden können, wenn der Traffic in der erwarteten Form durch die Regel läuft. In vielen Umgebungen bleibt Block QUIC protocol deshalb eine sinnvolle Einstellung in Client-Internetregeln.

Welcher Web-Protection-Artikel passt?

QUIC ist meistens nicht das eigentliche Ziel, sondern ein Störfaktor in Web-Protection-, TLS-Inspection- oder Troubleshooting-Szenarien. Je nach Aufgabe passt ein anderer Einstieg:

AufgabePassender Artikel
Web Policy, URL Groups, SafeSearch und Webfilter grundsätzlich planenSophos Firewall Web Protection mit Web Policies einrichten
Web-Kategorien und Instant Alerts betreibenSophos Firewall Web-Kategorien und Instant Alerts nutzen
HTTPS-Traffic entschlüsseln und kontrolliert ausrollenSophos Firewall TLS Inspection richtig einführen
Prüfen, welche Firewall-Regel wirklich matchedSophos Firewall Regel testen mit Log Viewer und Packet Capture

Dieser Artikel beantwortet vor allem die Frage, wann und wie man QUIC beziehungsweise HTTP/3 in der passenden Firewall-Regel blockiert und danach sauber validiert.

Was QUIC für die Firewall bedeutet

Klassisches HTTPS läuft meistens über TCP 443. Die Firewall kann dabei je nach Regel, Web Policy, DPI Engine, Web Proxy und SSL/TLS Inspection entscheiden, ob Traffic nur erlaubt, kategorisiert, entschlüsselt, gescannt oder blockiert wird.

QUIC verschiebt diesen Webtraffic auf UDP. Für Benutzer ist das oft schneller. Für die Firewall bedeutet es aber:

  • Webtraffic sieht nicht mehr wie klassisches HTTPS über TCP aus.
  • UDP 443 kann an Webfilter- und Scanning-Erwartungen vorbeilaufen.
  • TLS Inspection greift nicht wie bei normalem HTTPS über TCP.
  • Troubleshooting wird schwieriger, wenn Browser automatisch zwischen TCP und QUIC wechseln.
  • Policy Tester, Log Viewer und Packet Capture müssen bewusst mit Protokoll und Port verglichen werden.

Die Option Block QUIC protocol blockiert ausgehende UDP-Pakete zu Port 80 und 443 für Traffic, der zur Regel passt. Browser fallen dann normalerweise auf HTTPS über TCP zurück.

Wann man QUIC blockieren sollte

In vielen produktiven Client-Netzen ist das Blockieren von QUIC sinnvoll, wenn eine oder mehrere dieser Aussagen zutreffen:

  • Webfiltering soll zuverlässig greifen.
  • Malware-Scanning für Webdownloads ist wichtig.
  • TLS Inspection wird für ausgewählte Kategorien oder Benutzergruppen eingesetzt.
  • Application Control soll Webanwendungen besser erkennen.
  • Webzugriffe sollen im Log Viewer nachvollziehbar sein.
  • Helpdesk und Security-Team sollen reproduzierbare Tests durchführen können.

Für ein Gäste-WLAN ohne tiefere Inspection kann QUIC weniger kritisch sein. Für verwaltete Client-Netze, Server mit ausgehendem Internetzugriff oder Umgebungen mit Compliance-Anforderungen sollte man QUIC dagegen bewusst entscheiden und nicht einfach dem Browser überlassen.

Einstellung in der Firewall Regel prüfen

Der normale Ort ist die ausgehende Firewall Regel, zum Beispiel LAN_to_WAN_Clients.

Menüpfad:

Rules and policies > Firewall rules

Vorgehen:

  1. Betroffene Client-Internetregel öffnen.
  2. Zum Bereich Security features > Web filtering gehen.
  3. Web Policy oder Malware-Scanning prüfen.
  4. Block QUIC protocol aktiviert lassen oder bewusst aktivieren.
  5. Scan HTTP and decrypted HTTPS nur aktivieren, wenn auch klar ist, wie HTTPS entschlüsselt wird.
  6. Regel speichern.
  7. Testclient prüfen und Log Viewer kontrollieren.

Sophos aktiviert Block QUIC protocol standardmässig, wenn in einer Regel eine Web Policy ausgewählt oder HTTP und entschlüsseltes HTTPS gescannt wird. Trotzdem sollte man die Einstellung bei wichtigen Internetregeln bewusst kontrollieren, besonders nach Migrationen, alten Regelsets oder kopierten Regeln.

Sophos Firewall Firewall Regel mit Block QUIC protocol
In Client-Internetregeln sollte Block QUIC protocol bewusst geprüft werden, wenn Webfiltering oder Malware-Scanning relevant ist.

Mehr zu den einzelnen Optionen einer Firewall Regel steht in Sophos Firewall-Regeln verstehen und richtig konfigurieren.

QUIC nicht nur per Browser deaktivieren

Früher war es üblich, QUIC direkt im Browser oder über Chrome Flags zu deaktivieren. Das kann für Tests helfen, ist aber kein belastbares Sicherheitskonzept:

  • Browser-Einstellungen ändern sich.
  • Nicht nur Chrome kann QUIC oder HTTP/3 verwenden.
  • Benutzer oder Updates können Einstellungen zurücksetzen.
  • BYOD-, Gast- und unmanaged Geräte lassen sich damit kaum kontrollieren.
  • Security Policies sollten zentral auf der Firewall nachvollziehbar sein.

Für produktive Umgebungen ist die Firewall-Regel der bessere Ort. Browser-seitige Tests können ergänzend nützlich sein, wenn man einen Fehler eingrenzen möchte.

Alternative: Application Control oder UDP-Regel

Neben Block QUIC protocol gibt es weitere Möglichkeiten, QUIC-Traffic einzuschränken.

MethodeGeeignet fürEinschränkung
Block QUIC protocol in der Firewall RegelStandardfall für Webfiltering und ScanningGreift nur für Traffic, der diese Regel matched
Application ControlErgänzende Kontrolle über App-ErkennungErfordert passende Application-Control-Policy und Logs
Eigene Drop-Regel für UDP 80/443Sehr klare technische BlockadeMuss richtig positioniert und auf Client-Netze begrenzt werden
Browser-KonfigurationKurztest oder verwaltete SpezialumgebungNicht robust genug als alleinige Firewall-Policy

Wenn eine eigene Drop-Regel verwendet wird, sollte sie oberhalb allgemeiner Client-Internetregeln stehen und sauber geloggt werden. Sonst ist später nicht erkennbar, ob QUIC bewusst blockiert wurde oder ob der Traffic an einer anderen Stelle hängen bleibt.

Sophos Firewall Application Control Filter mit QUIC
Application Control kann QUIC zusätzlich erkennen und blockieren, ersetzt aber nicht die Prüfung der Firewall-Regel.
Sophos Firewall Firewall Regel mit Application Control Filter für QUIC
Application-Control-Policies müssen in der passenden Firewall Regel aktiv sein, damit sie auf den Client-Traffic wirken.

Zusammenhang mit TLS Inspection

Block QUIC protocol ist kein Ersatz für TLS Inspection. Die Einstellung sorgt nur dafür, dass Browser bei passendem Traffic nicht über QUIC weiterkommunizieren, sondern normalerweise auf HTTPS über TCP zurückfallen.

Erst danach stellt sich die eigentliche TLS-Frage:

  • Gibt es eine passende SSL/TLS Inspection Rule?
  • Ist das CA-Zertifikat auf den Clients verteilt?
  • Wird der Traffic entschlüsselt oder bewusst nicht entschlüsselt?
  • Ist Scan HTTP and decrypted HTTPS in der Firewall Regel aktiv?
  • Gibt es Ausnahmen für Anwendungen mit Certificate Pinning?

Wenn HTTPS-Inhalte geprüft werden sollen, braucht es einen geplanten TLS-Rollout. Die Details stehen in Sophos Firewall TLS Inspection richtig einführen.

Test und Validierung

Nach einer Änderung sollte man prüfen, ob der Client wirklich auf HTTPS über TCP zurückfällt und ob die erwartete Firewall Regel matched.

Praktischer Testablauf:

  1. Usage Counter der betroffenen Firewall Regel zurücksetzen.
  2. Auf einem Testclient eine Webseite öffnen, die vorher QUIC genutzt hat.
  3. Im Log Viewer nach Source IP und Destination Port filtern.
  4. Prüfen, ob UDP 443 blockiert oder nicht mehr genutzt wird.
  5. Prüfen, ob HTTPS über TCP 443 in der erwarteten Regel erscheint.
  6. Falls Webfilter oder TLS Inspection aktiv ist, die entsprechenden Log-Module prüfen.
  7. Bei Unklarheit Packet Capture auf dem Client- oder Firewall-Interface verwenden.

Für Regeltests passt die Anleitung Sophos Firewall Regel testen mit Log Viewer und Packet Capture.

Typische Fehler

FehlerAuswirkung
QUIC-Block nur in einer alten oder falschen Regel aktiviertDer aktuelle Client-Traffic läuft über eine andere Regel
Regel steht unterhalb einer allgemeineren Allow-RegelQUIC wird vorher erlaubt
Logging ist deaktiviertIm Log Viewer ist nicht sichtbar, was passiert
Nur Chrome lokal angepasstAndere Browser oder Geräte nutzen QUIC weiterhin
TLS Inspection wird erwartet, aber nicht konfiguriertHTTPS-Inhalte werden trotz QUIC-Block nicht entschlüsselt
Scan HTTP and decrypted HTTPS wird falsch verstandenDie Option scannt nur bereits entschlüsseltes HTTPS
UDP 443 wird global blockiertSpezialanwendungen können unerwartet betroffen sein

Troubleshooting

Wenn Webfiltering oder Scanning nicht wie erwartet greift, sollte man diese Reihenfolge prüfen:

  1. Welche Firewall Regel matched der Client-Traffic wirklich?
  2. Ist Block QUIC protocol in genau dieser Regel aktiv?
  3. Nutzt der Client UDP 443 oder TCP 443?
  4. Ist Log firewall traffic aktiviert?
  5. Greift eine spezifischere Regel oberhalb?
  6. Gibt es eine Application-Control-Policy, die QUIC anders behandelt?
  7. Ist eine SSL/TLS Inspection Rule vorhanden, wenn HTTPS-Inhalte geprüft werden sollen?
  8. Zeigt Packet Capture ausgehende UDP 443 Pakete trotz erwarteter Blockade?

Wenn die Regel nicht matched, ist nicht QUIC das Hauptproblem, sondern Regelreihenfolge, Source Zone, Source Network, Destination, Service oder Exclusion. Dafür hilft Firewall-Regel greift nicht: Ursachen prüfen.

Betriebscheckliste

  • Betroffene Client-Internetregel eindeutig identifiziert.
  • Web Policy, Malware Scan oder TLS Inspection in genau dieser Regel geprüft.
  • Block QUIC protocol bewusst aktiviert oder begründet deaktiviert.
  • Regelreihenfolge und allgemeinere Allow-Regeln geprüft.
  • Log firewall traffic aktiv.
  • Test mit Browser und echter Zielseite durchgeführt.
  • Log Viewer auf UDP 443, TCP 443, Rule ID und Web-Events geprüft.
  • Bei TLS Inspection zusätzlich SSL/TLS-inspection-Logs kontrolliert.
  • Ausnahmen oder eigene UDP-Regeln dokumentiert.
  • Helpdesk weiss, dass Webseiten nach QUIC-Block normalerweise weiter funktionieren sollten.

Häufige Fragen

Ist QUIC unsicher?

QUIC ist nicht pauschal unsicher. Das Problem ist die Kontrollierbarkeit auf der Firewall. Wenn Webfiltering, Malware-Scanning oder TLS Inspection wichtig sind, kann QUIC diese Kontrollen umgehen oder erschweren.

Reicht es, UDP 443 zu blockieren?

Technisch kann eine Drop-Regel für UDP 443 QUIC blockieren. In vielen Fällen ist Block QUIC protocol in der passenden Firewall Regel aber sauberer, weil die Einstellung dort mit Web Policy und Scanning zusammenhängt. Eine eigene Drop-Regel muss sehr bewusst positioniert, begrenzt und geloggt werden.

Wird HTTPS automatisch entschlüsselt, wenn QUIC blockiert ist?

Nein. QUIC-Block sorgt nur dafür, dass Browser normalerweise auf HTTPS über TCP zurückfallen. Für HTTPS-Decryption braucht es zusätzlich SSL/TLS Inspection Rules und ein verteiltes CA-Zertifikat.

Sollte man QUIC in jedem Netz blockieren?

Nicht zwingend. Für verwaltete Client-Netze ist es meist sinnvoll. Für Gäste-WLANs, Testnetze oder sehr einfache Internetzugänge kann man anders entscheiden. Wichtig ist, dass die Entscheidung bewusst zur Webfilter-, Logging- und Inspection-Strategie passt.

Warum funktioniert eine Webseite nach dem Blockieren trotzdem?

Das ist meistens gewünscht. Browser fallen häufig automatisch von QUIC auf normales HTTPS über TCP zurück. Die Seite funktioniert weiter, aber die Firewall kann den Traffic besser in den normalen Webfilter- und Scanning-Pfad einordnen.