Saltar para o conteudo
Avanet

Sophos Firewall e o protocolo QUIC

Sophos Firewall

Neste artigo explicamos o que é o protocolo QUIC e porque, por motivos de segurança, pelo menos neste momento, deve ser desativado.

O que é exatamente o protocolo QUIC?

QUIC significa “Quick UDP Internet Connections” e foi desenvolvido pela Google para tornar a Internet mais rápida.

Peguemos num protocolo clássico, como HTTP (Hyper Text Transfer Protocol). Atualmente já existe numa segunda versão, HTTP/2. O protocolo de transporte em que HTTP assenta é TCP. É comprovado e fiável, mas não é propriamente rápido. O estabelecimento da ligação demora tempo e, se a página também estiver cifrada com SSL, ou seja HTTPS, demora ainda mais. Foi aí que a Google entrou, criando com QUIC um protocolo que não é apenas seguro, mas também permite ligações rápidas.

QUIC não usa TCP, mas UDP, que é mais rápido, embora também seja conhecido por ser menos fiável. Por causa da sua velocidade, este protocolo é frequentemente usado em video ou audio streaming. Com QUIC, a Google conseguiu compensar a menor fiabilidade do UDP e desenvolver um protocolo rápido, estável e seguro.

O webserver onde este site corre já suporta QUIC. Por predefinição, o protocolo usado é HTTP/2. No entanto, se estiver a usar Google Chrome, é usado QUIC. Na captura de ecrã seguinte vê-se como funciona: muito menos tempos de ida e volta de pacotes (Round Trip Time > RTT).

QUIC: estabelecimento de ligação sem round trip dos pacotes
Fonte da imagem: Chromium Blog

Mas o QUIC consegue fazer mais, por exemplo manter a ligação ao webserver. É provável que conheça o comportamento em que abre uma página em casa e, mais tarde, quando a quer voltar a ver via 4G ou pelo WLAN no escritório, a página é recarregada. Isto acontece porque o seu endereço IP mudou e a ligação ao webserver foi interrompida. Com QUIC isto não acontece da mesma forma, porque é usada uma identificação do browser e a ligação pode simplesmente ser restabelecida.

QUIC - neste momento não controlável pela Sophos

A Google desenvolveu com QUIC algo muito interessante e, com cerca de 60% de quota de mercado do browser Google Chrome (fonte: statista), tem também o poder de disseminar este protocolo.

O problema é que QUIC contorna o WebProxy, o Sophos Sandstorm, mas também o Malware Scanning e o Content Filtering. A razão é que atualmente apenas HTTP e HTTPS podem ser analisados pelo Webfilter. Tal como no HTTPS-Scanning, o proprietário da firewall tem de agir ativamente para não assumir riscos.

Desativar QUIC

1. opção: através do Google Chrome

A primeira opção é desativar o protocolo QUIC diretamente no browser Google Chrome. Para isso, introduza chrome://flags/ na barra de endereço e desative QUIC.

Desativar QUIC no Google Chrome

2. opção: através de Application Control

Se preferir bloquear QUIC através da firewall, pode fazê-lo com Application Control. Basta criar um novo filtro, adicionar o protocolo QUIC e, por fim, selecionar o filtro criado em Application Control.

Adicionar protocolo QUIC ao filtro
Selecionar filtro QUIC em Application Control

3. opção: bloquear UDP na firewall

Na terceira opção, pode simplesmente bloquear UDP nas portas 443 e 80 na firewall. Assim, HTTP/HTTPS passa a ser usado automaticamente.

Bloquear QUIC na Sophos Firewall