Deaktivieren/Blockieren von Google QUIC (Quick UDP Internet Connections)
QUIC (Quick UDP Internet Connections) ist ein Transport Layer Netzwerk-Protokoll von Google. Seit 2015 bieten einige Webseiten (z.B. Google, YouTube, etc.) Verbindungen über das QUIC Protokoll. Google Chrome unterstützt das Protokoll seit Version 50. QUIC verwendet UDP Port 80 und 443 und ermöglicht dadurch Clients, transparente Proxies zu umgehen. Dadurch werden UTM Features wie z.B. Webfilter in Google Chrome ausgehebelt, funktionieren aber in anderen Browsern wie Internet Explorer oder Mozilla Firefox tadellos.
Aus Sicherheitsgründen sollte QUIC daher deaktiviert werden, wenn die UTM Features der Fortigate verwendet werden.
Dazu gibt es zwei administrative Möglichkeiten.
Blockieren von QUIC mittels Service Objekten
Das Blockieren mit Service Objekten ist der einfachste Weg und erfordert keinen aktiven FortiGuard Contract. Es benötigt zwei Firewall Service Objekte für die beiden Ports und eine entsprechende Firewall Policy, die die beiden Services blockiert.
config firewall service custom edit QUIC_UDP_80 set category "Web Access" set udp-portrange 80 next edit QUIC_UDP_443 set category "Web Access" set udp-portrange 443 next end config firewall policy edit <n> set srcintf <LAN-Interface> set dstintf <WAN-Interface> set srcaddr <LAN> set dstaddr ALL set schedule always set service QUIC_UDP_80 QUIC_UDP_443 set action deny next end
Blockieren von QUIC mittels Application Control
Application Control benötigt einen aktiven FortiGuard Contract und ein aktiviertes Application Control Profil, indem ein Application Override für die QUIC Application Signature und ein Block konfiguriert wird. Das entsprechende Application Contol Profil muss im Anschluss den Firewall Policies zugewiesen werden, für die QUIC blockiert werden soll.
config application list edit <Application-Sensor-Name> config entries edit <n> set application 40169 set action block next end next end config firewall policy edit <n> set application-list <Application-Sensor-Name> next end