Naar de inhoud
Avanet

Sophos Firewall QUIC en HTTP/3 correct blokkeren

QUIC is een modern transportprotocol dat tegenwoordig vooral relevant is in verband met HTTP/3. Veel browsers en webdiensten gebruiken QUIC om webverbindingen sneller en stabieler te maken. Voor beheerders is echter een ander punt cruciaal: QUIC werkt via UDP, vaak via UDP 443, en gedraagt zich daarom anders dan klassiek HTTPS via TCP.

Op de Sophos Firewall is dit belangrijk omdat webfiltering, malware-scanning, TLS Inspection en Application Control alleen betrouwbaar kunnen worden beoordeeld als het verkeer in de verwachte vorm door de regel loopt. In veel omgevingen blijft Block QUIC protocol daarom een zinvolle instelling in client-internetregels.

Welk webbeschermingsartikel past?

QUIC is meestal niet het eigenlijke doel, maar een storende factor in webbeschermings-, TLS-inspectie- of probleemoplossingsscenario’s. Afhankelijk van de taak past een andere benadering:

Dit artikel beantwoordt vooral de vraag wanneer en hoe je QUIC of HTTP/3 in de juiste firewallregel blokkeert en daarna correct valideert.

Wat QUIC voor de firewall betekent

Klassiek HTTPS werkt meestal via TCP 443. De firewall kan daarbij, afhankelijk van de regel, webbeleid, DPI-engine, webproxy en SSL/TLS-inspectie, beslissen of verkeer alleen is toegestaan, gecategoriseerd, ontsleuteld, gescand of geblokkeerd wordt.

QUIC verplaatst dit webverkeer naar UDP. Voor gebruikers is dat vaak sneller. Voor de firewall betekent het echter:

  • Webverkeer ziet er niet meer uit als klassiek HTTPS via TCP.
  • UDP 443 kan voorbijgaan aan webfilter- en scanningverwachtingen.
  • TLS Inspection grijpt niet zoals bij normaal HTTPS via TCP.
  • Probleemoplossing wordt moeilijker als browsers automatisch tussen TCP en QUIC wisselen.
  • Policy Tester, Log Viewer en Packet Capture moeten bewust met protocol en poort worden vergeleken.

De optie Block QUIC protocol blokkeert uitgaande UDP-pakketten naar poort 80 en 443 voor verkeer dat bij de betreffende firewallregel past. Dit is het beslissende punt: als een client via een andere regel naar het internet gaat, heeft de instelling in de standaardregel geen effect op dat verkeer. Browsers vallen na de blokkade normaal gesproken terug op HTTPS via TCP.

Daarbij wordt HTTPS niet automatisch ontsleuteld. QUIC-blokkering brengt het verkeer alleen in een beter controleerbaar TCP-pad. Of daarna Web Policy, Malware Scan, Application Control of TLS Inspection ingrijpen, wordt bepaald door de overige regel- en inspectieconfiguratie.

Wanneer je QUIC moet blokkeren

In veel productieve clientnetwerken is het blokkeren van QUIC zinvol als een of meer van deze uitspraken van toepassing zijn:

  • Webfiltering moet betrouwbaar zijn.
  • Malware-scanning voor webdownloads is belangrijk.
  • TLS Inspection wordt voor geselecteerde categorieën of gebruikersgroepen ingezet.
  • Application Control moet webapplicaties beter herkennen.
  • Webtoegang moet in de Log Viewer traceerbaar zijn.
  • Helpdesk en beveiligingsteam moeten reproduceerbare tests kunnen uitvoeren.

Voor een gast-WLAN zonder diepere inspectie kan QUIC minder kritisch zijn. Voor beheerde clientnetwerken, servers met uitgaande internettoegang of omgevingen met compliance-eisen moet je bewust beslissen over QUIC en het niet zomaar aan de browser overlaten.

Instelling in de firewallregel controleren

De normale locatie is de uitgaande firewallregel, bijvoorbeeld LAN_to_WAN_Clients.

Menupad:

Rules and policies > Firewall rules

Stappen:

  1. Open de betreffende client-internetregel.
  2. Ga naar het gedeelte Security features > Web filtering.
  3. Activeer Log firewall traffic, zodat tests in de Log Viewer zichtbaar worden.
  4. Controleer Web Policy of malware-scanning.
  5. Laat Block QUIC protocol geactiveerd of activeer het bewust.
  6. Activeer Scan HTTP and decrypted HTTPS alleen als ook duidelijk is hoe HTTPS wordt ontsleuteld.
  7. Controleer bij DPI Mode dat Use web proxy instead of DPI engine niet per ongeluk actief is.
  8. Controleer bij Web Proxy Mode of Decrypt HTTPS during web proxy filtering en de CA-distributie bij het doel passen.
  9. Sla de regel op.
  10. Controleer de testclient en controleer de Log Viewer.

Sophos activeert Block QUIC protocol standaard als in een regel een webbeleid is geselecteerd of HTTP en ontsleuteld HTTPS worden gescand. Toch moet je de instelling bij belangrijke internetregels bewust controleren, vooral na migraties, oude regelsets, gekopieerde regels of automatisch opnieuw gesorteerde regelsets.

Sophos Firewall-regel met de optie Block QUIC protocol geactiveerd
De optie Block QUIC protocol staat in de firewallregel onder Security features > Web filtering en geldt alleen voor verkeer dat door deze regel wordt gematcht.

Meer over de afzonderlijke opties van een firewallregel staat in Sophos Firewall-regels begrijpen en correct configureren.

QUIC niet alleen via de browser uitschakelen

Vroeger was het gebruikelijk om QUIC direct in de browser of via Chrome Flags uit te schakelen. Dit kan helpen bij tests, maar is geen betrouwbaar beveiligingsconcept:

  • Browserinstellingen veranderen.
  • Niet alleen Chrome kan QUIC of HTTP/3 gebruiken.
  • Gebruikers of updates kunnen instellingen resetten.
  • BYOD-, gast- en onbeheerde apparaten zijn hiermee nauwelijks te controleren.
  • Beveiligingsbeleid moet centraal op de firewall traceerbaar zijn.

Voor productieve omgevingen is de firewallregel de betere locatie. Browsertests kunnen aanvullend nuttig zijn als je een fout wilt beperken.

Alternatief: Application Control of UDP-regel

Naast Block QUIC protocol zijn er andere manieren om QUIC-verkeer te beperken.

  • Block QUIC protocol in de firewallregel: Standaardgeval voor webfiltering en scanning. Beperking: de instelling werkt alleen voor verkeer dat deze regel matched.
  • Application Control: Aanvullende controle via app-herkenning. Beperking: er is een passende Application-Control-Policy en logging nodig.
  • Eigen drop-regel voor UDP 80/443: Zeer duidelijke technische blokkade. Beperking: de regel moet correct gepositioneerd en tot clientnetwerken beperkt worden.
  • Browserconfiguratie: Nuttig voor korte tests of beheerde speciale omgevingen. Beperking: niet robuust genoeg als enige firewall-policy.

Als een eigen drop-regel wordt gebruikt, moet deze boven algemene client-internetregels staan en correct worden gelogd. Anders is later niet te zien of QUIC bewust is geblokkeerd of dat het verkeer ergens anders vastloopt.

Application Control kan QUIC aanvullend zichtbaar maken, maar is geen vrijbrief voor ongecontroleerd webverkeer. Sommige web-micro-apps kunnen betrouwbaarder worden herkend als de firewall de URL-context uit ontsleuteld verkeer kan evalueren. Als TLS Inspection niet actief is of het verkeer door QUIC niet in het verwachte pad terechtkomt, moet je de Application-Control-logs altijd samen met firewall-, web- en SSL/TLS-Inspection-logs lezen.

Sophos Firewall Application Control Filter met QUIC
Application Control kan QUIC aanvullend herkennen en blokkeren, maar vervangt niet de controle van de firewallregel.
Sophos Firewall Firewallregel met Application Control Filter voor QUIC
Application-Control-Policies moeten in de juiste firewallregel actief zijn om op het clientverkeer in te werken.

Verband met TLS Inspection

Block QUIC protocol is geen vervanging voor TLS Inspection. De instelling zorgt er alleen voor dat browsers bij passend verkeer niet via QUIC blijven communiceren, maar normaal gesproken terugvallen op HTTPS via TCP.

Pas daarna komt de eigenlijke TLS-vraag:

  • Is er een passende SSL/TLS Inspection Rule?
  • Is het CA-certificaat op de clients verspreid?
  • Wordt het verkeer ontsleuteld of bewust niet ontsleuteld?
  • Is Scan HTTP and decrypted HTTPS in de firewallregel actief?
  • Zijn er uitzonderingen voor applicaties met Certificate Pinning?

Als HTTPS-inhoud moet worden gecontroleerd, is een geplande TLS-uitrol nodig. De details staan in Sophos Firewall TLS Inspection correct invoeren.

Belangrijk is de bedrijfsmodus van de regel. In DPI Mode gelden SSL/TLS Inspection Rules onder Rules and policies > SSL/TLS inspection rules. In Web Proxy Mode wordt HTTPS-decryption via de Web Proxy-instellingen en de optie Decrypt HTTPS during web proxy filtering gestuurd. Als je deze twee modellen door elkaar haalt, lijkt QUIC al snel het hoofdprobleem, terwijl eigenlijk de inspectiearchitectuur onduidelijk is.

Test en validatie

Na een wijziging moet je controleren of de client echt terugvalt op HTTPS via TCP en of de verwachte firewallregel matched.

Praktische testprocedure:

  1. Gebruiksteller van de betreffende firewallregel resetten.
  2. Browser op de testclient volledig opnieuw starten, zodat bestaande verbindingen en HTTP/3-statussen de test niet vertekenen.
  3. Open een website die eerder QUIC gebruikte.
  4. Filter in de Log Viewer op Source IP, Rule ID, protocol en Destination Port.
  5. Controleer of UDP 443 wordt geblokkeerd of niet meer wordt gebruikt.
  6. Controleer of HTTPS via TCP 443 in de verwachte regel verschijnt.
  7. Als webfilter of TLS Inspection actief is, controleer de bijbehorende logmodules.
  8. Gebruik bij onduidelijkheid Packet Capture op de client- of firewallinterface.

Voor regeltests past de handleiding Sophos Firewall Regel testen met Log Viewer en Packet Capture.

Typische fouten

  • QUIC-blokkering alleen in een oude of verkeerde regel geactiveerd: Het huidige clientverkeer loopt via een andere regel.
  • Regel staat onder een algemenere toestaan-regel: QUIC wordt eerder toegestaan.
  • Logging is uitgeschakeld: In de Log Viewer is niet zichtbaar wat er gebeurt.
  • Bestaande browsersessie wordt hergebruikt: Herstart de browser of gebruik een testprofiel voordat je logs beoordeelt.
  • Alleen Chrome lokaal aangepast: Andere browsers of apparaten gebruiken nog steeds QUIC.
  • TLS Inspection wordt verwacht, maar niet geconfigureerd: HTTPS-inhoud wordt ondanks QUIC-blokkering niet ontsleuteld.
  • Scan HTTP and decrypted HTTPS wordt verkeerd begrepen: De optie scant alleen al ontsleuteld HTTPS.
  • DPI Mode en Web Proxy Mode worden door elkaar gehaald: De gezochte instelling bevindt zich dan mogelijk op een andere plek.
  • UDP 443 wordt wereldwijd geblokkeerd: Speciale toepassingen kunnen onverwacht worden beïnvloed.

Probleemoplossing

Als webfiltering of scanning niet zoals verwacht werkt, moet je deze volgorde controleren:

  1. Welke firewallregel matched het clientverkeer echt?
  2. Is Block QUIC protocol in precies deze regel actief?
  3. Gebruikt de client UDP 443 of TCP 443?
  4. Is Log firewall traffic geactiveerd?
  5. Grijpt een specifiekere regel erboven?
  6. Is er een Application-Control-Policy die QUIC anders behandelt?
  7. Is er een SSL/TLS Inspection Rule aanwezig als HTTPS-inhoud moet worden gecontroleerd?
  8. Wordt DPI Mode of Web Proxy Mode gebruikt?
  9. Toont Packet Capture uitgaande UDP 443-pakketten ondanks verwachte blokkade?

Als de regel niet matched, is niet QUIC het hoofdprobleem, maar regelvolgorde, bronzone, bronnetwerk, bestemming, service of uitsluiting. Daarvoor helpt Firewall-regel grijpt niet: Oorzaken controleren.

Bedrijfschecklist

  • Betreffende client-internetregel duidelijk geïdentificeerd.
  • Webbeleid, malware-scan of TLS Inspection in precies deze regel gecontroleerd.
  • Block QUIC protocol bewust geactiveerd of gemotiveerd gedeactiveerd.
  • DPI Mode of Web Proxy Mode bewust gekozen.
  • Regelvolgorde en algemenere toestaan-regels gecontroleerd.
  • Log firewall traffic actief.
  • Test met browser en echte doelpagina uitgevoerd.
  • Log Viewer op UDP 443, TCP 443, regel-ID en webgebeurtenissen gecontroleerd.
  • Bij TLS Inspection ook SSL/TLS-inspectielogs gecontroleerd.
  • Uitzonderingen of eigen UDP-regels gedocumenteerd.
  • Helpdesk weet dat websites na QUIC-blokkering normaal gesproken verder moeten functioneren.

Veelgestelde vragen

Is QUIC onveilig?

QUIC is niet per definitie onveilig. Het probleem is de controleerbaarheid op de firewall. Als webfiltering, malware-scanning of TLS Inspection belangrijk zijn, kan QUIC deze controles omzeilen of bemoeilijken.

Is het voldoende om UDP 443 te blokkeren?

Technisch gezien kan een drop-regel voor UDP 443 QUIC blokkeren. In veel gevallen is Block QUIC protocol in de juiste firewallregel echter netter, omdat de instelling daar samenhangt met webbeleid en scanning. Een eigen drop-regel moet zeer bewust gepositioneerd, beperkt en gelogd worden.

Wordt HTTPS automatisch ontsleuteld als QUIC is geblokkeerd?

Nee. QUIC-blokkering zorgt er alleen voor dat browsers normaal gesproken terugvallen op HTTPS via TCP. Voor HTTPS-ontsleuteling zijn daarnaast SSL/TLS Inspection Rules en een verspreid CA-certificaat nodig.

Moet je QUIC in elk netwerk blokkeren?

Niet noodzakelijk. Voor beheerde clientnetwerken is het meestal zinvol. Voor gast-WLAN’s, testnetwerken of zeer eenvoudige internettoegangen kan je anders beslissen. Belangrijk is dat de beslissing bewust past bij de webfilter-, logging- en inspectiestrategie.

Waarom werkt een website na het blokkeren toch?

Dat is meestal gewenst. Browsers vallen vaak automatisch van QUIC terug op normaal HTTPS via TCP. De site blijft werken, maar de firewall kan het verkeer beter in de normale webfilter- en scanningroute plaatsen.