Saltar para o conteudo
Avanet

Bloquear corretamente QUIC e HTTP/3 no Sophos Firewall

QUIC é um protocolo de transporte moderno, que hoje é especialmente relevante em conjunto com o HTTP/3. Muitos navegadores e serviços web utilizam o QUIC para estabelecer ligações web mais rapidamente e mantê-las mais estáveis. No entanto, para administradores, outro ponto é decisivo: o QUIC funciona sobre UDP, na maioria das vezes sobre UDP 443, e por isso comporta-se de forma diferente do HTTPS clássico sobre TCP.

No Sophos Firewall, isto é importante porque o filtro web, a verificação de malware, a inspeção TLS e o controlo de aplicações só podem ser avaliados de forma fiável se o tráfego passar pela regra na forma esperada. Em muitos ambientes, Block QUIC protocol continua a ser uma configuração sensata nas regras de internet dos clientes.

Qual artigo de proteção web é adequado?

O QUIC geralmente não é o objetivo principal, mas sim um fator de interferência em cenários de proteção web, inspeção TLS ou troubleshooting. Dependendo da tarefa, faz sentido começar por outro artigo:

Este artigo responde sobretudo à questão de quando e como bloquear QUIC ou HTTP/3 na regra de firewall adequada e depois validar corretamente o resultado.

O que o QUIC significa para o firewall

O HTTPS clássico funciona geralmente sobre TCP 443. Dependendo da regra, da Web Policy, da DPI Engine, do Web Proxy e da inspeção SSL/TLS, a firewall pode decidir se o tráfego é apenas permitido, categorizado, desencriptado, verificado ou bloqueado.

O QUIC desloca este tráfego web para UDP. Para os utilizadores, isto é muitas vezes mais rápido. Para a firewall, significa:

  • O tráfego web não parece mais como o HTTPS clássico sobre TCP.
  • UDP 443 pode contornar as expectativas de filtro web e scanning.
  • A inspeção TLS não atua como no HTTPS normal sobre TCP.
  • O troubleshooting torna-se mais difícil quando os navegadores alternam automaticamente entre TCP e QUIC.
  • O Policy Tester, Log Viewer e Packet Capture devem ser conscientemente comparados com o protocolo e a porta.

A opção Block QUIC protocol bloqueia pacotes UDP de saída para as portas 80 e 443 para o tráfego que corresponde à respetiva regra de firewall. Este é o ponto decisivo: se um cliente aceder à internet através de outra regra, a configuração na regra padrão não terá qualquer efeito sobre esse tráfego. Normalmente, os navegadores passam para HTTPS sobre TCP depois do bloqueio.

Isto não desencripta automaticamente HTTPS. O bloqueio de QUIC apenas coloca o tráfego num caminho TCP mais controlável. Se depois Web Policy, Malware Scan, Application Control ou TLS Inspection se aplicam, isso depende do resto da configuração da regra e da inspeção.

Quando bloquear o QUIC

Em muitas redes produtivas de clientes, bloquear o QUIC faz sentido se uma ou mais destas afirmações se aplicarem:

  • O filtro web deve funcionar de forma fiável.
  • A verificação de malware para downloads web é importante.
  • A inspeção TLS é usada para categorias ou grupos de utilizadores selecionados.
  • O controlo de aplicações deve reconhecer melhor as aplicações web.
  • Os acessos web devem ser rastreáveis no Log Viewer.
  • A equipa de suporte e segurança deve conseguir realizar testes reproduzíveis.

Para uma WLAN de convidados sem inspeção mais profunda, o QUIC pode ser menos crítico. Para redes de clientes geridas, servidores com acesso de saída à internet ou ambientes com requisitos de conformidade, a decisão sobre o QUIC deve ser consciente e não simplesmente deixada ao navegador.

Verificar configuração na regra de firewall

O local normal é a regra de firewall de saída, por exemplo LAN_to_WAN_Clients.

Caminho do menu:

Rules and policies > Firewall rules

Procedimento:

  1. Abrir a regra de internet dos clientes afetada.
  2. Ir para a secção Security features > Web filtering.
  3. Ativar Log firewall traffic, para que os testes fiquem visíveis no Log Viewer.
  4. Verificar a Web Policy ou a verificação de malware.
  5. Manter Block QUIC protocol ativado ou ativá-lo conscientemente.
  6. Ativar Scan HTTP and decrypted HTTPS apenas se também estiver claro como o HTTPS é desencriptado.
  7. Em DPI Mode, verificar se Use web proxy instead of DPI engine não está ativo por engano.
  8. Em Web Proxy Mode, verificar se Decrypt HTTPS during web proxy filtering e a distribuição da CA correspondem ao objetivo.
  9. Guardar a regra.
  10. Verificar o cliente de teste e controlar o Log Viewer.

A Sophos ativa Block QUIC protocol por predefinição quando uma Web Policy é selecionada numa regra ou quando HTTP e HTTPS desencriptado são verificados. Mesmo assim, a configuração deve ser verificada conscientemente em regras de internet importantes, especialmente após migrações, conjuntos de regras antigos, regras copiadas ou conjuntos de regras reordenados automaticamente.

Regra do Sophos Firewall com a opção Block QUIC protocol ativada
A opção Block QUIC protocol encontra-se na regra de firewall em Security features > Web filtering e aplica-se apenas ao tráfego que corresponde a essa regra.

Mais detalhes sobre as opções individuais de uma regra de firewall estão em Entender e configurar corretamente as regras do Sophos Firewall.

Não desativar o QUIC apenas pelo navegador

No passado, era comum desativar o QUIC diretamente no navegador ou através de Chrome Flags. Isto pode ajudar em testes, mas não é um conceito de segurança fiável:

  • As definições do navegador mudam.
  • Não apenas o Chrome pode usar QUIC ou HTTP/3.
  • Utilizadores ou atualizações podem repor definições.
  • Dispositivos BYOD, convidados e não geridos são difíceis de controlar desta forma.
  • As políticas de segurança devem ser rastreáveis centralmente na firewall.

Para ambientes produtivos, a regra de firewall é o melhor local. Testes no navegador podem ser úteis como complemento quando se pretende delimitar um erro.

Alternativa: Application Control ou Regra UDP

Além de Block QUIC protocol, existem outras formas de restringir o tráfego QUIC.

  • Block QUIC protocol na regra de firewall: Caso padrão para filtro web e scanning. Limite: a configuração só se aplica ao tráfego que faz match nesta regra.
  • Application Control: Controlo complementar através da deteção de aplicações. Limite: é necessária uma Application Control Policy adequada e logs.
  • Regra de Drop própria para UDP 80/443: Bloqueio técnico muito claro. Limite: a regra tem de estar corretamente posicionada e limitada às redes de clientes.
  • Configuração do navegador: Útil para testes curtos ou ambientes especiais geridos. Limite: não é robusta o suficiente como única política de firewall.

Se for usada uma regra de Drop própria, esta deve ficar acima das regras gerais de internet dos clientes e ser registada corretamente. Caso contrário, mais tarde não será possível perceber se o QUIC foi bloqueado conscientemente ou se o tráfego ficou preso noutro ponto.

Application Control pode tornar o QUIC adicionalmente visível, mas não é um passe livre para tráfego web não verificado. Algumas Web Micro Apps podem ser reconhecidas de forma mais fiável quando a firewall consegue avaliar o contexto de URL a partir de tráfego desencriptado. Se TLS Inspection não estiver ativa ou se o tráfego não cair no caminho esperado por causa do QUIC, os logs de Application Control devem ser sempre lidos em conjunto com os logs de Firewall, Web e SSL/TLS Inspection.

Filtro de Application Control do Sophos Firewall com QUIC
Application Control pode reconhecer e bloquear adicionalmente o QUIC, mas não substitui a verificação da regra de firewall.
Regra de firewall do Sophos Firewall com filtro de Application Control para QUIC
As Application Control Policies têm de estar ativas na regra de firewall adequada para atuarem sobre o tráfego dos clientes.

Relação com a inspeção TLS

Block QUIC protocol não é um substituto para a inspeção TLS. A configuração apenas garante que os navegadores, para tráfego correspondente, não continuem a comunicar por QUIC, mas normalmente regressem a HTTPS sobre TCP.

Só então surge a questão real do TLS:

  • Existe uma regra de inspeção SSL/TLS adequada?
  • O certificado CA está distribuído nos clientes?
  • O tráfego é desencriptado ou conscientemente não desencriptado?
  • Scan HTTP and decrypted HTTPS está ativo na regra de firewall?
  • Existem exceções para aplicações com Certificate Pinning?

Se os conteúdos HTTPS devem ser verificados, é necessário um rollout TLS planeado. Os detalhes estão em Introduzir corretamente a inspeção TLS no Sophos Firewall.

O modo de operação da regra é importante. Em DPI Mode, aplicam-se as SSL/TLS Inspection Rules em Rules and policies > SSL/TLS inspection rules. Em Web Proxy Mode, a HTTPS Decryption é controlada através das definições do Web Proxy e da opção Decrypt HTTPS during web proxy filtering. Quando estes dois modelos são misturados, o QUIC rapidamente parece ser o problema principal, embora a arquitetura de inspeção é que esteja pouco clara.

Teste e validação

Depois de uma alteração, deve-se verificar se o cliente regressa realmente a HTTPS sobre TCP e se a regra de firewall esperada faz match.

Procedimento de teste prático:

  1. Repor o Usage Counter da regra de firewall afetada.
  2. Reiniciar completamente o navegador no cliente de teste, para que ligações existentes e estados HTTP/3 não falseiem o teste.
  3. Abrir um site que anteriormente usava QUIC.
  4. No Log Viewer, filtrar por Source IP, Rule ID, protocolo e Destination Port.
  5. Verificar se UDP 443 é bloqueado ou deixa de ser usado.
  6. Verificar se HTTPS sobre TCP 443 aparece na regra esperada.
  7. Se o filtro web ou a inspeção TLS estiverem ativos, verificar os módulos de log correspondentes.
  8. Em caso de dúvida, usar Packet Capture na interface do cliente ou da firewall.

Para testes de regras, a instrução Testar regra do Sophos Firewall com Log Viewer e Packet Capture é adequada.

Erros comuns

  • Bloqueio de QUIC ativado apenas numa regra antiga ou errada: O tráfego atual do cliente passa por outra regra.
  • A regra está abaixo de uma regra Allow mais geral: QUIC é permitido antes.
  • Logging está desativado: No Log Viewer não se vê o que acontece.
  • Sessão existente do navegador continua a ser usada: Reiniciar o navegador ou usar um perfil de teste antes de avaliar os logs.
  • Apenas o Chrome foi ajustado localmente: Outros navegadores ou dispositivos continuam a usar QUIC.
  • Espera-se TLS Inspection, mas esta não está configurada: Os conteúdos HTTPS não são desencriptados apesar do bloqueio de QUIC.
  • Scan HTTP and decrypted HTTPS é mal interpretado: A opção verifica apenas HTTPS já desencriptado.
  • DPI Mode e Web Proxy Mode são misturados: A configuração procurada pode então estar noutro local.
  • UDP 443 é bloqueado globalmente: Aplicações especiais podem ser afetadas de forma inesperada.

Troubleshooting

Se o filtro web ou o scanning não funcionarem como esperado, deve-se verificar esta sequência:

  1. Qual regra de firewall faz realmente match no tráfego do cliente?
  2. Block QUIC protocol está ativo exatamente nesta regra?
  3. O cliente usa UDP 443 ou TCP 443?
  4. Log firewall traffic está ativado?
  5. Uma regra mais específica está acima?
  6. Existe uma política de controlo de aplicações que trata o QUIC de forma diferente?
  7. Existe uma regra de inspeção SSL/TLS se o conteúdo HTTPS deve ser verificado?
  8. Está a ser usado DPI Mode ou Web Proxy Mode?
  9. O Packet Capture mostra pacotes UDP 443 de saída apesar do bloqueio esperado?

Se a regra não fizer match, o problema principal não é o QUIC, mas sim a ordem das regras, Source Zone, Source Network, Destination, Service ou Exclusion. Para isso, ajuda Verificar causas de regra de firewall não correspondente.

Checklist operacional

  • Regra de internet do cliente afetada identificada claramente.
  • Política web, verificação de malware ou inspeção TLS verificada exatamente nesta regra.
  • Block QUIC protocol ativado conscientemente ou desativado com justificativa.
  • DPI Mode ou Web Proxy Mode decidido conscientemente.
  • Ordem das regras e regras de permissão mais gerais verificadas.
  • Log firewall traffic ativo.
  • Teste realizado com navegador e site de destino real.
  • Log Viewer verificado para UDP 443, TCP 443, ID da regra e eventos web.
  • Para inspeção TLS, logs de inspeção SSL/TLS verificados adicionalmente.
  • Exceções ou regras UDP próprias documentadas.
  • O suporte técnico sabe que, após o bloqueio de QUIC, os sites normalmente devem continuar a funcionar.

Perguntas Frequentes

O QUIC é inseguro?

O QUIC não é inerentemente inseguro. O problema é a capacidade de controlo na firewall. Se o filtro web, a verificação de malware ou a inspeção TLS forem importantes, o QUIC pode contornar ou dificultar estes controlos.

É suficiente bloquear UDP 443?

Tecnicamente, uma regra de Drop para UDP 443 pode bloquear o QUIC. Em muitos casos, Block QUIC protocol na regra de firewall adequada é mais limpo, porque a configuração está relacionada com a Web Policy e o scanning. Uma regra de Drop própria deve ser posicionada, limitada e registada de forma muito consciente.

O HTTPS é automaticamente desencriptado quando o QUIC é bloqueado?

Não. O bloqueio de QUIC apenas garante que os navegadores normalmente regressem a HTTPS sobre TCP. Para a desencriptação de HTTPS, são necessárias regras adicionais de inspeção SSL/TLS e um certificado CA distribuído.

Deve-se bloquear o QUIC em todas as redes?

Não necessariamente. Para redes de clientes geridas, geralmente faz sentido. Para WLANs de convidados, redes de teste ou acessos à internet muito simples, pode-se decidir de outra forma. O importante é que a decisão esteja conscientemente alinhada com a estratégia de filtro web, logging e inspeção.

Porque é que um site ainda funciona após o bloqueio?

Isto geralmente é desejado. Os navegadores regressam frequentemente de forma automática de QUIC para HTTPS normal sobre TCP. O site continua a funcionar, mas a firewall consegue classificar melhor o tráfego no caminho normal de filtro web e scanning.