blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

Deaktivieren/Blockieren von Google QUIC (Quick UDP Internet Connections)

von · Veröffentlicht · Aktualisiert

QUIC (Quick UDP Internet Connections) ist ein Transport Layer Netzwerk-Protokoll von Google. Seit 2015 bieten einige Webseiten (z.B. Google, YouTube, etc.) Verbindungen über das QUIC Protokoll. Google Chrome unterstützt das Protokoll seit Version 50. QUIC verwendet UDP Port 80 und 443 und ermöglicht dadurch Clients, transparente Proxies zu umgehen. Dadurch werden UTM Features wie z.B. Webfilter in Google Chrome ausgehebelt, funktionieren aber in anderen Browsern wie Internet Explorer oder Mozilla Firefox tadellos.

Aus Sicherheitsgründen sollte QUIC daher deaktiviert werden, wenn die UTM Features der Fortigate verwendet werden.

Dazu gibt es zwei administrative Möglichkeiten.

Blockieren von QUIC mittels Service Objekten

Das Blockieren mit Service Objekten ist der einfachste Weg und erfordert keinen aktiven FortiGuard Contract. Es benötigt zwei Firewall Service Objekte für die beiden Ports und eine entsprechende Firewall Policy, die die beiden Services blockiert.

config firewall service custom
   edit QUIC_UDP_80
      set category "Web Access"
      set udp-portrange 80
   next
   edit QUIC_UDP_443
      set category "Web Access"
      set udp-portrange 443
   next
end
config firewall policy
   edit <n>
      set srcintf <LAN-Interface>
      set dstintf <WAN-Interface>
      set srcaddr <LAN>
      set dstaddr ALL
      set schedule always
      set service QUIC_UDP_80 QUIC_UDP_443
      set action deny
   next
end
Blockieren von QUIC mittels Application Control

Application Control benötigt einen aktiven FortiGuard Contract und ein aktiviertes Application Control Profil, indem ein Application Override für die QUIC Application Signature und ein Block konfiguriert wird. Das entsprechende Application Contol Profil muss im Anschluss den Firewall Policies zugewiesen werden, für die QUIC blockiert werden soll.

config application list
   edit <Application-Sensor-Name>
      config entries
         edit <n>
            set application 40169
            set action block
         next
      end
   next
end
config firewall policy
   edit <n>
      set application-list <Application-Sensor-Name>
   next
end

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.