Wie geht man an der Firewall mit QUIC HTTP3 um?
Hallo zusammen,
ein immer größerer Anteil der Browserverbindungen läuft über QUIC bzw. HTTP/3. Meine Firewall (Fortigate) blockt diese Verbindungen momentan (standartmäßig im Application-Control-Filter). Welche Risiken ergeben sich, wenn man QUIC erlaubt? Soweit ich das verstanden habe, besteht das Problem darin, dass QUIC TLS-verschlüsselte Verbindungen aufbaut, in die man dann nicht reinschauen kann. Da ich aber momentan keine SSL-Inspection aktiviert habe dürfte das Erlauben von QUIC in dieser Konfiguration kein zusätzliches Risiko darstellen?
Kann man aber sagen, wenn man aber die TSL/SSL-Verbindungen an der Firewall unterbricht, um diese zu überprüfen, sollte man QUIC blocken / deaktivieren um "normale" Verbindungen zu erzwingen?
Grüße
lcer
ein immer größerer Anteil der Browserverbindungen läuft über QUIC bzw. HTTP/3. Meine Firewall (Fortigate) blockt diese Verbindungen momentan (standartmäßig im Application-Control-Filter). Welche Risiken ergeben sich, wenn man QUIC erlaubt? Soweit ich das verstanden habe, besteht das Problem darin, dass QUIC TLS-verschlüsselte Verbindungen aufbaut, in die man dann nicht reinschauen kann. Da ich aber momentan keine SSL-Inspection aktiviert habe dürfte das Erlauben von QUIC in dieser Konfiguration kein zusätzliches Risiko darstellen?
Kann man aber sagen, wenn man aber die TSL/SSL-Verbindungen an der Firewall unterbricht, um diese zu überprüfen, sollte man QUIC blocken / deaktivieren um "normale" Verbindungen zu erzwingen?
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7077254689
Url: https://administrator.de/forum/wie-geht-man-an-der-firewall-mit-quic-http3-um-7077254689.html
Ausgedruckt am: 25.12.2024 um 15:12 Uhr
4 Kommentare
Neuester Kommentar
Hi.
Die gleichen wie wenn du andere verschlüsselte TLS Verbindungen zulässt die sich nicht inspizieren lassen.
Gruß
Die gleichen wie wenn du andere verschlüsselte TLS Verbindungen zulässt die sich nicht inspizieren lassen.
Soweit ich das verstanden habe, besteht das Problem darin, dass QUIC TLS-verschlüsselte Verbindungen aufbaut, in die man dann nicht reinschauen kann.
Das Problem an QUIC ist das selbst die Header verschlüsselt werden und so kein Aufbrechen mehr möglich wird weil jede Manipulation diesbezüglich bei QUIC der Client-Anwendung sofort auffällt da die Header signiert werden.Da ich aber momentan keine SSL-Inspection aktiviert habe dürfte das Erlauben von QUIC in dieser Konfiguration kein zusätzliches Risiko darstellen?
Ja, wenn du eh kein DPI machst fliegst du damit genauso blind wie mit Standard SSL Verbindungen.Kann man aber sagen, wenn man aber die TSL/SSL-Verbindungen an der Firewall unterbricht, um diese zu überprüfen, sollte man QUIC blocken / deaktivieren um "normale" Verbindungen zu erzwingen?
Da man QUIC zur Zeit noch nicht aufbrechen kann, ja kann man machen. Man muss halt für sich abwägen, Sicherheit versus "Flupdizität" der Seiten. In Firmennetzen ist sicher ersteres zu bevorzugen.Gruß
Moin,
falls FortiOS > 7.2 zum Einsatz kommen sollte teste doch mal folgendes.
https://docs.fortinet.com/document/fortigate/7.2.0/new-features/440398/i ...
Wie ja bereits geschrieben aber nur sinnvoll wenn die anderen Verbindungen auch aufgebrochen werden.
Viele Grüße
falls FortiOS > 7.2 zum Einsatz kommen sollte teste doch mal folgendes.
https://docs.fortinet.com/document/fortigate/7.2.0/new-features/440398/i ...
Wie ja bereits geschrieben aber nur sinnvoll wenn die anderen Verbindungen auch aufgebrochen werden.
Viele Grüße