Hoppa till innehållet
Avanet

Sophos Firewall och QUIC-protokollet

Sophos Firewall

I den här artikeln förklarar vi vad QUIC-protokollet är och varför du av säkerhetsskäl, åtminstone tills vidare, bör inaktivera det.

Vad är QUIC-protokollet?

QUIC står för “Quick UDP Internet Connections” och utvecklades av Google för att göra internet snabbare.

Ta ett etablerat protokoll som HTTP (Hyper Text Transfer Protocol). Det finns numera även i en andra version, HTTP/2. Transportprotokollet som HTTP bygger på är TCP. TCP är beprövat och tillförlitligt, men inte särskilt snabbt vid uppkoppling. Om sidan dessutom är krypterad med SSL, alltså HTTPS, tar det ännu längre. Här satte Google in QUIC: ett protokoll som både är säkert och möjliggör snabba anslutningar.

QUIC använder inte TCP utan UDP, som är snabbare men normalt mindre tillförlitligt. Protokollet används därför gärna för video- och audiostreaming. Med QUIC har Google lyckats kompensera för UDP:s svagheter och skapa ett snabbt, stabilt och säkert protokoll.

Webbservern som den här webbplatsen körs på stöder redan QUIC. Som standard används HTTP/2 som protokoll. Om du däremot surfar med Google Chrome används QUIC. I följande skärmbild ser du hur det fungerar: markant färre paketomloppstider (Round Trip Time, RTT).

QUIC: anslutningsetablering utan paketomloppstid
Bildkälla: Chromium Blog

QUIC kan dessutom hålla anslutningen till webbservern aktiv. Du känner säkert igen beteendet: du öppnar en webbplats hemma och vill senare titta på den igen via 4G på resande fot eller via kontorets WLAN, men sidan laddas om. Det beror på att IP-adressen har ändrats och anslutningen till webbservern därför brutits. Med QUIC händer inte detta på samma sätt, eftersom en webbläsaridentifiering används och anslutningen kan återställas.

QUIC - för närvarande inte kontrollerbart med Sophos

Google har utvecklat något användbart med QUIC, och med Chrome-webbläsarens stora marknadsandel finns också kraften att sprida protokollet.

Problemet är att QUIC kringgår WebProxy, Sophos Sandstorm samt malware scanning och content filtering. Orsaken är att webbfiltret i dagsläget bara kan scanna HTTP och HTTPS. Precis som med HTTPS scanning måste firewallägaren därför agera för att undvika risk.

Inaktivera QUIC

Alternativ 1: via Google Chrome

Det första alternativet är att inaktivera QUIC direkt i Google Chrome. Skriv chrome://flags/ i adressfältet och inaktivera QUIC.

Inaktivera QUIC i Google Chrome

Alternativ 2: via Application Control

Om du hellre vill blockera QUIC via firewallen kan du styra detta med Application Control. Skapa ett nytt filter, lägg till QUIC-protokollet och välj sedan filtret under Application Control.

Lägg till QUIC-protokoll i filtret
Välj QUIC-filter under Application Control

Alternativ 3: blockera UDP på firewallen

Det tredje alternativet är att helt enkelt blockera UDP på portarna 443 och 80 i firewallen. Då används automatiskt HTTP/HTTPS igen.

Inaktivera QUIC i Google Chrome