QUICプロトコルのブロック方法

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

QUICプロトコルのブロック方法
※この記事は以下の記事の日本語訳です。
How to Block QUIC Protocol
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Block-QUIC-Protocol/ta-p/120207

 

QUICとは?

 

QUIC (Quick UDP Internet Connections、「クイック」と発音) とはGoogleが開発している実験的なトランスポート レイヤー ネットワーク プロトコルです。User Datagram Protocol (UDP)上の2つのエンドポイント間の多重化接続の集合体に対応していて、TLS/SSLと同等のセキュリティ保護を提供するだけでなく、接続と転送のレイテンシ削減やネットワーク輻輳を避けるために各方向で帯域幅推定を行う。主な目標は現在TCPを使用するウェブアプリケーションの接続指向を最適化することである。Googleの開発チームによって、Chromeブラウザーに実験的な実装がされている。

 

QUICがブロックされないとどうなる?

 

ChromeブラウザーはQUICプロトコルが既定設定で有効化されています。ユーザーがChromeブラウザーでGoogleアプリケーションにアクセスすると、Googleサーバーへのセッションは、TLS/SSLではなくQUICプロトコルを使用します。QUICプロトコルは開発初期段階の実験的なプロトコルで、独占所有権のある暗号化方法を使用しています。もし、QUICアプリケーションIDがセキュリティポリシーでホワイトリストに登録されている場合、そしてもしユーザーがChromeブラウザーでGoogleアプリケーションにアクセスすると、全てのそれらのセッションはQUICアプリケーションとして、Palo Alto Networks ファイアウォールのApp-IDエンジンで識別されます。Googleアプリケーションの可視化とコントロールが、QUICアプリケーションIDをホワイトリストに登録することによって失われます。

 

推奨設定:

 

Palo Alto NetworksはセキュリティポリシーでQUICアプリケーションをブロックすることを推奨します。ファイヤーウォールでQUICトラフィックをブロックすることで、ChromeブラウザーはTLS/SSLにフォールバックするからです。このことにより、ユーザーがブラウザー上で使用する機能を何も失うことはありません。ファイヤーウォールは、SSL複合化を有効にしていても、しなくても、Googleアプリケーションに対するより良い可視化とコントロールを取り戻すことができます。

 

QUICアプリケーションをセキュリティポリシーで禁止する設定例:

Screen Shot 2016-10-19 at 8.04.10 PM.png

 

最新のChromeブラウザーバージョンでは、Googleは彼らの実験的なQUICプロトコルを更新しました。それにより、"quic" アプリケーションIDが誤って、"unknown-udp"と識別されます。Palo Alto Networks社は Googleが加えた変更を、追加でカバーする"quic" アプリケーションID をリリースしています。Googleが彼らのプロトコルに変更を加えた場合、我々は、追記でQUIC UDPトラフィック (UDP/443 and UDP/80) をブロックする設定をセキュリティポリシーに加えることを推奨します。 

 

Screen Shot 2016-10-28 at 12.50.23 PM.png

 

Screen Shot 2016-10-28 at 12.54.41 PM.png

 

著者: vsathiamoo