QUICプロトコルのブロック方法

Printer Friendly Page

QUICプロトコルのブロック方法
※この記事は以下の記事の日本語訳です。
How to Block QUIC Protocol
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Block-QUIC-Protocol/ta-p/120207

 

QUICとは?

 

QUIC (Quick UDP Internet Connections、「クイック」と発音) とはGoogleが開発している実験的なトランスポート レイヤー ネットワーク プロトコルです。User Datagram Protocol (UDP)上の2つのエンドポイント間の多重化接続の集合体に対応していて、TLS/SSLと同等のセキュリティ保護を提供するだけでなく、接続と転送のレイテンシ削減やネットワーク輻輳を避けるために各方向で帯域幅推定を行う。主な目標は現在TCPを使用するウェブアプリケーションの接続指向を最適化することである。Googleの開発チームによって、Chromeブラウザーに実験的な実装がされている。

 

QUICがブロックされないとどうなる?

 

ChromeブラウザーはQUICプロトコルが既定設定で有効化されています。ユーザーがChromeブラウザーでGoogleアプリケーションにアクセスすると、Googleサーバーへのセッションは、TLS/SSLではなくQUICプロトコルを使用します。QUICプロトコルは開発初期段階の実験的なプロトコルで、独占所有権のある暗号化方法を使用しています。もし、QUICアプリケーションIDがセキュリティポリシーでホワイトリストに登録されている場合、そしてもしユーザーがChromeブラウザーでGoogleアプリケーションにアクセスすると、全てのそれらのセッションはQUICアプリケーションとして、Palo Alto Networks ファイアウォールのApp-IDエンジンで識別されます。Googleアプリケーションの可視化とコントロールが、QUICアプリケーションIDをホワイトリストに登録することによって失われます。

 

推奨設定:

 

Palo Alto NetworksはセキュリティポリシーでQUICアプリケーションをブロックすることを推奨します。ファイヤーウォールでQUICトラフィックをブロックすることで、ChromeブラウザーはTLS/SSLにフォールバックするからです。このことにより、ユーザーがブラウザー上で使用する機能を何も失うことはありません。ファイヤーウォールは、SSL複合化を有効にしていても、しなくても、Googleアプリケーションに対するより良い可視化とコントロールを取り戻すことができます。

 

QUICアプリケーションをセキュリティポリシーで禁止する設定例:

Screen Shot 2016-10-19 at 8.04.10 PM.png

 

最新のChromeブラウザーバージョンでは、Googleは彼らの実験的なQUICプロトコルを更新しました。それにより、"quic" アプリケーションIDが誤って、"unknown-udp"と識別されます。Palo Alto Networks社は Googleが加えた変更を、追加でカバーする"quic" アプリケーションID をリリースしています。Googleが彼らのプロトコルに変更を加えた場合、我々は、追記でQUIC UDPトラフィック (UDP/443 and UDP/80) をブロックする設定をセキュリティポリシーに加えることを推奨します。 

 

Screen Shot 2016-10-28 at 12.50.23 PM.png

 

Screen Shot 2016-10-28 at 12.54.41 PM.png

 

著者: vsathiamoo