Naar de inhoud
Avanet

Sophos Firewall en het QUIC-protocol

Sophos Firewall

In dit artikel leggen we uit wat het QUIC-protocol is en waarom je het om security-redenen, tenminste voorlopig, beter kunt uitschakelen.

Wat is het QUIC-protocol precies?

QUIC staat voor “Quick UDP Internet Connections” en is door Google ontwikkeld om internet sneller te maken.

Neem een beproefd protocol zoals HTTP (Hyper Text Transfer Protocol). Dat bestaat inmiddels al in een tweede versie: HTTP/2. Het transportprotocol waarop HTTP steunt, is TCP. TCP is betrouwbaar, maar niet bijzonder snel. Het opbouwen van de verbinding duurt lang en wanneer de pagina ook nog met SSL is versleuteld, dus HTTPS gebruikt, duurt het nog langer. Precies daar heeft Google met QUIC een protocol ontwikkeld dat niet alleen veilig is, maar ook snelle verbindingen mogelijk maakt.

QUIC gebruikt namelijk geen TCP, maar UDP. UDP is sneller, maar staat ook bekend als minder betrouwbaar. Door die snelheid wordt het protocol graag gebruikt voor video- of audiostreaming. Met QUIC is het Google gelukt de onbetrouwbaarheid van UDP op te vangen en zo een snel, stabiel en veilig protocol te ontwikkelen.

De webserver waarop deze website draait, ondersteunt QUIC al. Standaard wordt HTTP/2 gebruikt. Gebruik je echter Google Chrome, dan wordt QUIC gebruikt. In de volgende screenshot zie je hoe dat werkt: veel minder round trip time (RTT).

QUIC: verbinding opbouwen zonder pakketomlooptijd
Afbeeldingsbron: Chromium Blog

QUIC kan nog meer, bijvoorbeeld de verbinding met de webserver actief houden. Je kent waarschijnlijk het gedrag waarbij je thuis een website bezoekt en later onderweg via 4G of op kantoor via wifi opnieuw naar dezelfde pagina gaat, waarna de pagina opnieuw geladen wordt. Dat komt doordat je IP-adres veranderd is en de verbinding met de webserver daardoor verbroken werd. Met QUIC gebeurt dat niet, omdat met browserherkenning wordt gewerkt en de verbinding weer kan worden hersteld.

QUIC - met Sophos momenteel niet controleerbaar

Google heeft met QUIC zonder twijfel iets sterks ontwikkeld. Met bijna 60% marktaandeel van Google Chrome, volgens Statista, heeft Google ook de macht om dit protocol breed te verspreiden.

Het probleem is dat QUIC de WebProxy, Sophos Sandstorm, Malware Scanning en Content Filtering omzeilt. De reden is dat momenteel alleen HTTP en HTTPS door de webfilter kunnen worden gescand. Net als bij HTTPS-scanning moet de eigenaar van de firewall dus actief worden om geen risico te nemen.

QUIC uitschakelen

1. Mogelijkheid: via Google Chrome

De eerste mogelijkheid is om het QUIC-protocol direct in Google Chrome uit te schakelen. Vul daarvoor in de adresbalk chrome://flags/ in en schakel QUIC uit.

QUIC in Google Chrome uitschakelen

2. Mogelijkheid: via Application Control

Als je QUIC liever via de firewall blokkeert, kun je dit via Application Control sturen. Maak daarvoor een nieuwe filter aan, voeg het QUIC-protocol toe en selecteer de aangemaakte filter daarna onder Application Control.

QUIC-protocol aan filter toevoegen
QUIC-filter onder Application Control selecteren

3. Mogelijkheid: UDP blokkeren op de firewall

Bij de derde mogelijkheid blokkeer je op de firewall eenvoudig UDP via poort 443 en 80, waardoor automatisch HTTP/HTTPS wordt gebruikt.

QUIC in Google Chrome uitschakelen