4
Wie geht man an der Firewall mit QUIC HTTP3 um?
Hallo zusammen,
ein immer größerer Anteil der Browserverbindungen läuft über QUIC bzw. HTTP/3. Meine Firewall (Fortigate) blockt diese Verbindungen momentan (standartmäßig im Application-Control-Filter). Welche Risiken ergeben sich, wenn man QUIC erlaubt? Soweit ich das verstanden habe, besteht das Problem darin, dass QUIC TLS-verschlüsselte Verbindungen aufbaut, in die man dann nicht reinschauen kann. Da ich aber momentan keine SSL-Inspection aktiviert habe dürfte das Erlauben von QUIC in dieser Konfiguration kein zusätzliches Risiko darstellen?
Kann man aber sagen, wenn man aber die TSL/SSL-Verbindungen an der Firewall unterbricht, um diese zu überprüfen, sollte man QUIC blocken / deaktivieren um "normale" Verbindungen zu erzwingen?
Grüße
lcer
ein immer größerer Anteil der Browserverbindungen läuft über QUIC bzw. HTTP/3. Meine Firewall (Fortigate) blockt diese Verbindungen momentan (standartmäßig im Application-Control-Filter). Welche Risiken ergeben sich, wenn man QUIC erlaubt? Soweit ich das verstanden habe, besteht das Problem darin, dass QUIC TLS-verschlüsselte Verbindungen aufbaut, in die man dann nicht reinschauen kann. Da ich aber momentan keine SSL-Inspection aktiviert habe dürfte das Erlauben von QUIC in dieser Konfiguration kein zusätzliches Risiko darstellen?
Kann man aber sagen, wenn man aber die TSL/SSL-Verbindungen an der Firewall unterbricht, um diese zu überprüfen, sollte man QUIC blocken / deaktivieren um "normale" Verbindungen zu erzwingen?
Grüße
lcer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7077254689
Url: https://administrator.de/contentid/7077254689
Ausgedruckt am: 24.11.2024 um 12:11 Uhr
4 Kommentare
Neuester Kommentar
Hi.
Die gleichen wie wenn du andere verschlüsselte TLS Verbindungen zulässt die sich nicht inspizieren lassen.
Gruß
Die gleichen wie wenn du andere verschlüsselte TLS Verbindungen zulässt die sich nicht inspizieren lassen.
Soweit ich das verstanden habe, besteht das Problem darin, dass QUIC TLS-verschlüsselte Verbindungen aufbaut, in die man dann nicht reinschauen kann.
Das Problem an QUIC ist das selbst die Header verschlüsselt werden und so kein Aufbrechen mehr möglich wird weil jede Manipulation diesbezüglich bei QUIC der Client-Anwendung sofort auffällt da die Header signiert werden.Da ich aber momentan keine SSL-Inspection aktiviert habe dürfte das Erlauben von QUIC in dieser Konfiguration kein zusätzliches Risiko darstellen?
Ja, wenn du eh kein DPI machst fliegst du damit genauso blind wie mit Standard SSL Verbindungen.Kann man aber sagen, wenn man aber die TSL/SSL-Verbindungen an der Firewall unterbricht, um diese zu überprüfen, sollte man QUIC blocken / deaktivieren um "normale" Verbindungen zu erzwingen?
Da man QUIC zur Zeit noch nicht aufbrechen kann, ja kann man machen. Man muss halt für sich abwägen, Sicherheit versus "Flupdizität" der Seiten. In Firmennetzen ist sicher ersteres zu bevorzugen.Gruß
Moin,
kann Kollege @7010350221 vollumfänglich zu stimmen.
Gruß,
Dani
kann Kollege @7010350221 vollumfänglich zu stimmen.
Da ich aber momentan keine SSL-Inspection aktiviert
Die Frage die sich mir stellt: Warum nicht?Gruß,
Dani
Hallo,
Grüße
lcer
Zitat von @Dani:
Moin,
kann Kollege @7010350221 vollumfänglich zu stimmen.
Kommt nächste Woche…Moin,
kann Kollege @7010350221 vollumfänglich zu stimmen.
Da ich aber momentan keine SSL-Inspection aktiviert
Die Frage die sich mir stellt: Warum nicht?Grüße
lcer
Moin,
falls FortiOS > 7.2 zum Einsatz kommen sollte teste doch mal folgendes.
https://docs.fortinet.com/document/fortigate/7.2.0/new-features/440398/i ...
Wie ja bereits geschrieben aber nur sinnvoll wenn die anderen Verbindungen auch aufgebrochen werden.
Viele Grüße
falls FortiOS > 7.2 zum Einsatz kommen sollte teste doch mal folgendes.
https://docs.fortinet.com/document/fortigate/7.2.0/new-features/440398/i ...
Wie ja bereits geschrieben aber nur sinnvoll wenn die anderen Verbindungen auch aufgebrochen werden.
Viele Grüße
