Hoppa till innehållet
Avanet

Blockera QUIC och HTTP/3 korrekt med Sophos Firewall

QUIC är ett modernt transportprotokoll som idag är särskilt relevant i samband med HTTP/3. Många webbläsare och webbtjänster använder QUIC för att snabbare och stabilare etablera webbanslutningar. För administratörer är dock en annan punkt avgörande: QUIC körs över UDP, oftast över UDP 443, och beter sig därför annorlunda än klassisk HTTPS över TCP.

På Sophos Firewall är detta viktigt eftersom webbfiltrering, malware-skanning, TLS-inspektion och applikationskontroll endast kan bedömas pålitligt om trafiken går genom regeln i förväntad form. I många miljöer förblir Block QUIC protocol därför en meningsfull inställning i klient-internetregler.

Vilken webbskyddsartikel passar?

QUIC är oftast inte det egentliga målet, utan en störfaktor i webbskydds-, TLS-inspektions- eller felsökningsscenarier. Beroende på uppgift passar en annan ingång:

Denna artikel svarar främst på frågan när och hur man blockerar QUIC respektive HTTP/3 i den passande brandväggsregeln och sedan validerar korrekt.

Vad QUIC betyder för brandväggen

Klassisk HTTPS körs oftast över TCP 443. Brandväggen kan beroende på regel, webbpolicy, DPI-motor, webbproxy och SSL/TLS-inspektion avgöra om trafik bara tillåts, kategoriseras, dekrypteras, skannas eller blockeras.

QUIC flyttar denna webbtrafik till UDP. För användare är det ofta snabbare. För brandväggen betyder det dock:

  • Webbtrafik ser inte längre ut som klassisk HTTPS över TCP.
  • UDP 443 kan kringgå webbfilter- och skanningsförväntningar.
  • TLS-inspektion fungerar inte som vid normal HTTPS över TCP.
  • Felsökning blir svårare när webbläsare automatiskt växlar mellan TCP och QUIC.
  • Policy Tester, Log Viewer och Packet Capture måste medvetet jämföras med protokoll och port.

Alternativet Block QUIC protocol blockerar utgående UDP-paket till port 80 och 443 för trafik som matchar den aktuella brandväggsregeln. Det är den avgörande punkten: om en klient går ut på internet via en annan regel har inställningen i standardregeln ingen effekt på den trafiken. Efter blockeringen faller webbläsare normalt tillbaka på HTTPS över TCP.

HTTPS dekrypteras inte automatiskt av detta. QUIC-blockeringen flyttar bara trafiken till en mer kontrollerbar TCP-väg. Om web policy, malware scan, application control eller TLS-inspektion sedan griper beror på resten av regel- och inspektionskonfigurationen.

När man bör blockera QUIC

I många produktiva klientnätverk är det meningsfullt att blockera QUIC om ett eller flera av dessa uttalanden stämmer:

  • Webbfiltrering ska fungera pålitligt.
  • Malware-skanning för webbnedladdningar är viktigt.
  • TLS-inspektion används för utvalda kategorier eller användargrupper.
  • Applikationskontroll ska bättre känna igen webbapplikationer.
  • Webbtillgångar ska kunna spåras i Log Viewer.
  • Helpdesk och säkerhetsteam ska kunna genomföra reproducerbara tester.

För ett gäst-WLAN utan djupare inspektion kan QUIC vara mindre kritiskt. För hanterade klientnätverk, servrar med utgående internetåtkomst eller miljöer med efterlevnadskrav bör man medvetet besluta om QUIC och inte bara låta webbläsaren bestämma.

Kontrollera inställning i brandväggsregeln

Den vanliga platsen är den utgående brandväggsregeln, till exempel LAN_to_WAN_Clients.

Menypath:

Rules and policies > Firewall rules

Förfarande:

  1. Öppna den berörda klient-internetregeln.
  2. Gå till avsnittet Security features > Web filtering.
  3. Aktivera Log firewall traffic så att tester syns i Log Viewer.
  4. Kontrollera webbpolicy eller malware-skanning.
  5. Låt Block QUIC protocol vara aktiverat eller aktivera medvetet.
  6. Aktivera Scan HTTP and decrypted HTTPS endast om det också är klart hur HTTPS dekrypteras.
  7. I DPI Mode, kontrollera att Use web proxy instead of DPI engine inte råkar vara aktivt.
  8. I Web Proxy Mode, kontrollera om Decrypt HTTPS during web proxy filtering och CA-distributionen passar målet.
  9. Spara regeln.
  10. Kontrollera testklienten och Log Viewer.

Sophos aktiverar Block QUIC protocol som standard när en webbpolicy väljs i en regel eller när HTTP och dekrypterad HTTPS skannas. Ändå bör man medvetet kontrollera inställningen vid viktiga internetregler, särskilt efter migrationer, gamla regeluppsättningar, kopierade regler eller automatiskt omsorterade regelverk.

Sophos Firewall-regel med alternativet Block QUIC protocol aktiverat
Alternativet Block QUIC protocol finns i brandväggsregeln under Security features > Web filtering och gäller bara trafik som matchar denna regel.

Mer om de enskilda alternativen för en brandväggsregel finns i Förstå och konfigurera Sophos Firewall-regler korrekt.

Inaktivera inte bara QUIC via webbläsaren

Tidigare var det vanligt att inaktivera QUIC direkt i webbläsaren eller via Chrome Flags. Det kan hjälpa för tester, men är inget hållbart säkerhetskoncept:

  • Webbläsarinställningar ändras.
  • Inte bara Chrome kan använda QUIC eller HTTP/3.
  • Användare eller uppdateringar kan återställa inställningar.
  • BYOD-, gäst- och ohanterade enheter kan knappast kontrolleras med detta.
  • Säkerhetspolicyer bör vara centralt spårbara på brandväggen.

För produktiva miljöer är brandväggsregeln den bättre platsen. Webbläsarbaserade tester kan vara användbara som komplement när man vill avgränsa ett fel.

Alternativ: Applikationskontroll eller UDP-regel

Förutom Block QUIC protocol finns det andra sätt att begränsa QUIC-trafik.

  • Block QUIC protocol i brandväggsregeln: Standardfall för webbfiltrering och skanning Gäller endast för trafik som matchar denna regel
  • Applikationskontroll: Kompletterande kontroll via app-igenkänning Kräver passande applikationskontrollpolicy och loggar
  • Egen drop-regel för UDP 80/443: Mycket tydlig teknisk blockering Måste placeras korrekt och begränsas till klientnätverk
  • Webbläsarkonfiguration: Korttest eller hanterad specialmiljö Inte robust nog som enda brandväggspolicy

Om en egen drop-regel används bör den placeras ovanför allmänna klient-internetregler och loggas ordentligt. Annars är det senare inte tydligt om QUIC medvetet blockerades eller om trafiken fastnade någon annanstans.

Application Control kan dessutom göra QUIC synligt, men är inget frikort för okontrollerad webbtrafik. Vissa web micro apps kan identifieras mer tillförlitligt när brandväggen kan utvärdera URL-kontexten från dekrypterad trafik. Om TLS-inspektion inte är aktiv eller trafiken på grund av QUIC inte hamnar i den förväntade vägen bör Application-Control-loggar alltid läsas tillsammans med firewall-, web- och SSL/TLS-inspektionsloggar.

Sophos Firewall applikationskontrollfilter med QUIC
Applikationskontroll kan dessutom känna igen och blockera QUIC, men ersätter inte kontrollen av brandväggsregeln.
Sophos Firewall brandväggsregel med applikationskontrollfilter för QUIC
Applikationskontrollpolicyer måste vara aktiva i den passande brandväggsregeln för att påverka klienttrafiken.

Samband med TLS-inspektion

Block QUIC protocol är ingen ersättning för TLS-inspektion. Inställningen säkerställer bara att webbläsare vid passande trafik inte fortsätter över QUIC, utan normalt faller tillbaka på HTTPS över TCP.

Först därefter uppstår den egentliga TLS-frågan:

  • Finns det en passande SSL/TLS-inspektionsregel?
  • Är CA-certifikatet distribuerat på klienterna?
  • Dekrypteras trafiken eller dekrypteras den medvetet inte?
  • Är Scan HTTP and decrypted HTTPS aktiv i brandväggsregeln?
  • Finns det undantag för applikationer med certifikatspinning?

Om HTTPS-innehåll ska granskas behövs en planerad TLS-utbyggnad. Detaljerna finns i Inför Sophos Firewall TLS-inspektion korrekt.

Regelns driftläge är viktigt. I DPI Mode gäller SSL/TLS Inspection Rules under Rules and policies > SSL/TLS inspection rules. I Web Proxy Mode styrs HTTPS-Decryption via web proxy-inställningarna och alternativet Decrypt HTTPS during web proxy filtering. Om dessa två modeller blandas ihop ser QUIC snabbt ut som huvudproblemet, trots att inspektionsarkitekturen egentligen är oklar.

Test och validering

Efter en ändring bör man kontrollera om klienten verkligen faller tillbaka på HTTPS över TCP och om den förväntade brandväggsregeln matchar.

Praktisk testprocedur:

  1. Återställ användningsräknaren för den berörda brandväggsregeln.
  2. Starta om webbläsaren helt på testklienten så att befintliga anslutningar och HTTP/3-tillstånd inte förvränger testet.
  3. Öppna en webbplats som tidigare använde QUIC.
  4. Filtrera i Log Viewer efter Source IP, Rule ID, protokoll och Destination Port.
  5. Kontrollera om UDP 443 blockeras eller inte längre används.
  6. Kontrollera om HTTPS över TCP 443 visas i den förväntade regeln.
  7. Om webbfilter eller TLS-inspektion är aktiv, kontrollera motsvarande loggmoduler.
  8. Vid oklarhet, använd Packet Capture på klient- eller brandväggsgränssnittet.

För regeltester passar instruktionen Testa Sophos Firewall-regel med Log Viewer och Packet Capture.

Typiska fel

  • QUIC-block endast aktiverat i en gammal eller felaktig regel: Den aktuella klienttrafiken går genom en annan regel
  • Regel står under en mer allmän tillåtelse-regel: QUIC tillåts tidigare
  • Loggning är inaktiverad: I Log Viewer är det inte synligt vad som händer
  • Befintlig webbläsarsession återanvänds: Starta om webbläsaren eller använd en testprofil innan loggar utvärderas
  • Endast Chrome anpassad lokalt: Andra webbläsare eller enheter använder fortfarande QUIC
  • TLS-inspektion förväntas men är inte konfigurerad: HTTPS-innehåll dekrypteras inte trots QUIC-block
  • Scan HTTP and decrypted HTTPS missförstås: Alternativet skannar endast redan dekrypterad HTTPS
  • DPI Mode och Web Proxy Mode blandas ihop: Den sökta inställningen kan då finnas på en annan plats
  • UDP 443 blockeras globalt: Specialapplikationer kan oväntat påverkas

Felsökning

Om webbfiltrering eller skanning inte fungerar som förväntat bör man kontrollera denna ordning:

  1. Vilken brandväggsregel matchar klienttrafiken verkligen?
  2. Är Block QUIC protocol aktiv i just denna regel?
  3. Använder klienten UDP 443 eller TCP 443?
  4. Är Log firewall traffic aktiverat?
  5. Greppar en mer specifik regel ovanför?
  6. Finns det en applikationskontrollpolicy som behandlar QUIC annorlunda?
  7. Finns det en SSL/TLS-inspektionsregel om HTTPS-innehåll ska granskas?
  8. Används DPI Mode eller Web Proxy Mode?
  9. Visar Packet Capture utgående UDP 443-paket trots förväntad blockering?

Om regeln inte matchar är inte QUIC huvudproblemet, utan regelordning, källzon, källnätverk, destination, tjänst eller undantag. För detta hjälper Brandväggsregel matchar inte: Kontrollera orsaker.

Driftschecklista

  • Berörd klient-internetregel tydligt identifierad.
  • Webbpolicy, malware-skanning eller TLS-inspektion i just denna regel kontrollerad.
  • Block QUIC protocol medvetet aktiverat eller motiverat inaktiverat.
  • DPI Mode eller Web Proxy Mode medvetet valt.
  • Regelordning och mer allmänna tillåtelse-regler kontrollerade.
  • Log firewall traffic aktiv.
  • Test med webbläsare och verklig målsida genomförd.
  • Log Viewer kontrollerad för UDP 443, TCP 443, regel-ID och webbhändelser.
  • Vid TLS-inspektion, kontrollera dessutom SSL/TLS-inspektionsloggar.
  • Undantag eller egna UDP-regler dokumenterade.
  • Helpdesk vet att webbplatser normalt bör fungera vidare efter QUIC-block.

Vanliga frågor

Är QUIC osäkert?

QUIC är inte generellt osäkert. Problemet är kontrollbarheten på brandväggen. Om webbfiltrering, malware-skanning eller TLS-inspektion är viktiga kan QUIC kringgå eller försvåra dessa kontroller.

Räcker det att blockera UDP 443?

Tekniskt kan en drop-regel för UDP 443 blockera QUIC. I många fall är Block QUIC protocol i den passande brandväggsregeln dock renare, eftersom inställningen där hänger ihop med webbpolicy och skanning. En egen drop-regel måste placeras mycket medvetet, begränsas och loggas.

Dekrypteras HTTPS automatiskt när QUIC blockeras?

Nej. QUIC-block säkerställer bara att webbläsare normalt faller tillbaka på HTTPS över TCP. För HTTPS-dekryptering behövs dessutom SSL/TLS-inspektionsregler och ett distribuerat CA-certifikat.

Bör man blockera QUIC i varje nätverk?

Inte nödvändigtvis. För hanterade klientnätverk är det oftast meningsfullt. För gäst-WLAN, testnätverk eller mycket enkla internetanslutningar kan man besluta annorlunda. Viktigt är att beslutet medvetet passar webbfilter-, loggnings- och inspektionsstrategin.

Varför fungerar en webbplats fortfarande efter blockering?

Det är oftast önskat. Webbläsare faller ofta automatiskt från QUIC till vanlig HTTPS över TCP. Sidan fungerar vidare, men brandväggen kan bättre placera trafiken i den normala webbfilter- och skanningsvägen.