lcer00
Goto Top

Wie geht man an der Firewall mit QUIC HTTP3 um?

Hallo zusammen,

ein immer größerer Anteil der Browserverbindungen läuft über QUIC bzw. HTTP/3. Meine Firewall (Fortigate) blockt diese Verbindungen momentan (standartmäßig im Application-Control-Filter). Welche Risiken ergeben sich, wenn man QUIC erlaubt? Soweit ich das verstanden habe, besteht das Problem darin, dass QUIC TLS-verschlüsselte Verbindungen aufbaut, in die man dann nicht reinschauen kann. Da ich aber momentan keine SSL-Inspection aktiviert habe dürfte das Erlauben von QUIC in dieser Konfiguration kein zusätzliches Risiko darstellen?

Kann man aber sagen, wenn man aber die TSL/SSL-Verbindungen an der Firewall unterbricht, um diese zu überprüfen, sollte man QUIC blocken / deaktivieren um "normale" Verbindungen zu erzwingen?

Grüße

lcer

Content-ID: 7077254689

Url: https://administrator.de/forum/wie-geht-man-an-der-firewall-mit-quic-http3-um-7077254689.html

Ausgedruckt am: 25.12.2024 um 15:12 Uhr

7010350221
7010350221 09.05.2023 aktualisiert um 17:40:38 Uhr
Goto Top
Hi.
Zitat von @lcer00:
Welche Risiken ergeben sich, wenn man QUIC erlaubt?
Die gleichen wie wenn du andere verschlüsselte TLS Verbindungen zulässt die sich nicht inspizieren lassen.
Soweit ich das verstanden habe, besteht das Problem darin, dass QUIC TLS-verschlüsselte Verbindungen aufbaut, in die man dann nicht reinschauen kann.
Das Problem an QUIC ist das selbst die Header verschlüsselt werden und so kein Aufbrechen mehr möglich wird weil jede Manipulation diesbezüglich bei QUIC der Client-Anwendung sofort auffällt da die Header signiert werden.
Da ich aber momentan keine SSL-Inspection aktiviert habe dürfte das Erlauben von QUIC in dieser Konfiguration kein zusätzliches Risiko darstellen?
Ja, wenn du eh kein DPI machst fliegst du damit genauso blind wie mit Standard SSL Verbindungen.
Kann man aber sagen, wenn man aber die TSL/SSL-Verbindungen an der Firewall unterbricht, um diese zu überprüfen, sollte man QUIC blocken / deaktivieren um "normale" Verbindungen zu erzwingen?
Da man QUIC zur Zeit noch nicht aufbrechen kann, ja kann man machen. Man muss halt für sich abwägen, Sicherheit versus "Flupdizität" der Seiten. In Firmennetzen ist sicher ersteres zu bevorzugen.

Gruß
Dani
Lösung Dani 09.05.2023 um 17:21:35 Uhr
Goto Top
Moin,
kann Kollege @7010350221 vollumfänglich zu stimmen.

Da ich aber momentan keine SSL-Inspection aktiviert
Die Frage die sich mir stellt: Warum nicht?


Gruß,
Dani
lcer00
lcer00 09.05.2023 um 19:22:08 Uhr
Goto Top
Hallo,
Zitat von @Dani:

Moin,
kann Kollege @7010350221 vollumfänglich zu stimmen.

Da ich aber momentan keine SSL-Inspection aktiviert
Die Frage die sich mir stellt: Warum nicht?
Kommt nächste Woche…

Grüße

lcer
Csui8n1
Csui8n1 09.05.2023 um 19:37:28 Uhr
Goto Top
Moin,
falls FortiOS > 7.2 zum Einsatz kommen sollte teste doch mal folgendes.

https://docs.fortinet.com/document/fortigate/7.2.0/new-features/440398/i ...

Wie ja bereits geschrieben aber nur sinnvoll wenn die anderen Verbindungen auch aufgebrochen werden.

Viele Grüße