Google QUIC protocol

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
didi79
Elite Poster
Elite Poster
Berichten: 1064
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 112 keer
Bedankt: 111 keer
Recent bedankt: 3 keer

Wat is vandaag het standpunt over al dan niet doorlaten (op firewall, uitgaand) van het QUIC protocol?

Enkele jaren geleden was het standpunt van de meeste firewall vendors om dit niet toe te laten. De trafiek is moeilijk te inspecteren.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8318
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 531 keer
Recent bedankt: 9 keer

Recentere firewall-software kan HTTP/3 QUIC inspecteren. FortiOS vanaf 7.2 bijvoorbeeld.

Je kan het iig niet eeuwig blijven blokkeren gezien Google het meer en meer begint te pushen. Hou er ook rekening mee dat er nog "innovaties" onderweg zijn en dat je straks niets anders meer dan MITM gaat kunnen doen om TLS nog te kunnen inspecteren (of endpoint security, als je dat vertrouwt).
didi79
Elite Poster
Elite Poster
Berichten: 1064
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 112 keer
Bedankt: 111 keer
Recent bedankt: 3 keer

CCatalyst schreef: 01 maa 2023, 15:08 Hou er ook rekening mee dat er nog "innovaties" onderweg zijn en dat je straks niets anders meer dan MITM gaat kunnen doen om TLS nog te kunnen inspecteren (of endpoint security, als je dat vertrouwt).
En zelfs dat wordt ondermijnd: pak nu Microsoft. Om hun services (bijv. Teams) te gebruiken zeggen ze expliciet dat je de https trafiek beter niet inspecteert (ssl decryption).
Daarmee valt eigenlijk een laagje van je layered security weg.
ITnetadmin
userbase crew
userbase crew
Berichten: 8991
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 202 keer
Bedankt: 692 keer
Recent bedankt: 3 keer

Klopt.
De meeste protocols zijn al encrypted, en meer en meer andere traffic begint zich te camoufleren als andere protocols.

Een probleem is bv dns-over-https, ofte DoH; veel software zoals bv Firefox begint dat in te bouwen, met als gevolg dat je niet meer zeker kan zijn dat je OS-ingestelde DNS settings ook de mandatory settings zijn.
En blokkeren kan je dat nauwelijks of niet, want de DNS traffic camoufleert zich als encrypted https traffic, over de 443 poort.
Bedrijven gaan uiteraard MITM kunnen spelen door hun eigen CA keys in de trusted cert store van hun PCs te steken, maar als je dat niet doet of kan worden firewalls minder en minder nuttig.

Iedereen die de sector in de gaten houdt, zag dit al jaren aankomen.
Meer en meer protocols begonnen zich als https/443 te camoufleren, omdat dit een van de zeldzame protocols is dat zelden geblokkeerd wordt op publieke netwerken.
Kijk bv naar Teamviewer, dat zich al jaren als https voordoet, en zodoende de voorkeursoftware werd op de KUL, waar Logmein etc jarenlang geblokkeerd werd als "verboden". Toen ze een tijdje geleden probeerden alsnog teamviewer te blocken, was het al zo ingeburgerd dat na massaal protest van oa proffen de blockage na enkele dagen gewoon ongedaan werd gemaakt.
didi79
Elite Poster
Elite Poster
Berichten: 1064
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 112 keer
Bedankt: 111 keer
Recent bedankt: 3 keer

ofwel: in een wereld die alsmaar meer security nodig heeft, nemen de grote bedrijven er een loopje mee... because they can.
ITnetadmin
userbase crew
userbase crew
Berichten: 8991
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 202 keer
Bedankt: 692 keer
Recent bedankt: 3 keer

Security = controle.

Voor elk argument waarbij bedrijven hun netwerk moeten kunnen beveiligen, is er een tegenargument waarbij de noodzaak voor sneaky protocols etc belangrijk is voor de (pers)vrijheid in sommige landen.
Dat is ook de reden waarom protocols als bv DoH uitgevonden zijn, om censuur te omzeilen.
Alleen is elke tool die dient om censuur te omzeilen, ook eentje die je eigen netwerk in gevaar kan brengen.

En bedrijven, oa IoT producenten, bouwen hun toestellen en protocols zodat ze nergens last van krijgen, maw ze bouwen ze zodat ze door de meeste firewalls door kunnen.
didi79
Elite Poster
Elite Poster
Berichten: 1064
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 112 keer
Bedankt: 111 keer
Recent bedankt: 3 keer

Ok, dus voor traffic waar we nog enigzins controle over willen, weren we QUIC zolang het nog kan.

Maar voor traffic die mij niet interesseert en die ik niet hoef te beveiligen (bijv. public wifi): zijn er goeie redenen om QUIC daar ook te blokkeren?
UBremoved9108
Elite Poster
Elite Poster
Berichten: 806
Lid geworden op: 27 sep 2007, 23:31
Uitgedeelde bedankjes: 31 keer
Bedankt: 29 keer

didi79 schreef: 01 maa 2023, 15:43 En zelfs dat wordt ondermijnd: pak nu Microsoft. Om hun services (bijv. Teams) te gebruiken zeggen ze expliciet dat je de https trafiek beter niet inspecteert (ssl decryption).
Daarmee valt eigenlijk een laagje van je layered security weg.
Op de meeste firewalls kan je instellen 'do not inspect know/trusted services and do not rewrite certificates' > fw pakt dan een lijst binnen van 'trusted' dingen en laat die gewoon door. Ik weet het: je moet dan maar vertrouwen op een partij waar 'iemand' van zegt dat die 'trusted' is.
Maar het is tegenwoordig zo: windows activeert niet met ssl decryptie, MEM doet moeilijk bij SSL decryptie enzoverder. Ook Firefox negeert de Windows trusted certificate store by default...
Het is moeilijk tegenwoordig.
Ooit een firewall vendor horen vertellen dat je beter en meer met application control moet werken dan met SSL inspectie... > Ma toch: mijn ssl decryptie/inspectie vangt wekelijks toch wel wat vind ik.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8318
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 531 keer
Recent bedankt: 9 keer

cyberbozzo schreef: 05 maa 2023, 22:14 Ooit een firewall vendor horen vertellen dat je beter en meer met application control moet werken dan met SSL inspectie... > Ma toch: mijn ssl decryptie/inspectie vangt wekelijks toch wel wat vind ik.
De klassieke aanpak van netwerkbeveiliging raakt stilaan achterhaald. Straks wordt alles vanaf de clientzijde geencrypteerd en de nieuwe aanpak is SASE, Zero Trust, XDR. De vendors en hun sales departments varen er weer wel bij...

Mogelijks gaat men ook de pijlen gaan richten op MITM door certificate pinning te gaan vereisen in bepaalde apps.
vverbeke
Elite Poster
Elite Poster
Berichten: 935
Lid geworden op: 19 mei 2009, 11:31
Uitgedeelde bedankjes: 60 keer
Bedankt: 94 keer

Die firewall inspectie op geëncrypteerd verkeer met MITM is nu al een hoop gedoe. Veel apps werken met ingebakken certificaten en houden geen rekeningen met de firewall certificaten die je naar uw cliënts pusht. Resultaat: als je hierop MITM inzet weigert de app connectie te maken, dan mag je weer uitzonderingen gaan voorzien enzoverder. Cliënt side beveiliging en zero-trust worden steeds belangrijker.
@home: VDSL 100/35 • @work: fiber 200/200 + fiber 300/50 + cable 240/30
DarkV
Elite Poster
Elite Poster
Berichten: 3772
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 113 keer
Bedankt: 155 keer
Recent bedankt: 1 keer

ITnetadmin schreef: 01 maa 2023, 18:30 Bedrijven gaan uiteraard MITM kunnen spelen door hun eigen CA keys in de trusted cert store van hun PCs te steken
Iets waar je als werknemer toch ook niet echt gelukkig van kan worden; even je bank raadplegen, een privé mailtje doen, ... doe je dan toch ook niet echt meer in vertrouwen ? Je kan argumenteren dat dit privé dingen zijn die je niet moet doen op het werk maar iedereen zal dit al wel eens gedaan hebben. Ik betwijfel zelfs of het opnemen van de eigen CA keys niet zonder risico's is.
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6042
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 831 keer
Bedankt: 515 keer
Recent bedankt: 9 keer

De MITM inspectie doen ze bij ons ook, maar sommige zaken zijn uitgesloten, zoals banken, mutualiteiten, ziekenhuizen,... Alles in die sfeer.

Privé mail is geblocked, daarvoor dient je privé toestel.


Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
DarkV
Elite Poster
Elite Poster
Berichten: 3772
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 113 keer
Bedankt: 155 keer
Recent bedankt: 1 keer

devilkin schreef: 11 maa 2023, 17:20 maar sommige zaken zijn uitgesloten, zoals banken, mutualiteiten, ziekenhuizen,...
Maar dat weet jij nooit met 100% zekerheid.

Trouwens vind je het OK als je baas in theorie je paswoorden kan achterhalen voor business related taken ?
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6042
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 831 keer
Bedankt: 515 keer
Recent bedankt: 9 keer

Prive zaken doe je dan ook met een prive toestel. Misschien ben ik oldfashioned hierin... Voor de exclusions wordt er gebruik gemaakt van lijsten, die op hoog niveau en door een aantal instanties moeten goedgekeurd worden. Zaken die PII data omvatten gaan niet geinspecteerd worden, geloof me vrij.

Voorts ga je er hier blijkbaar vanuit dat alles wat iemand doet gelogged wordt.
De URLs worden gecontroleerd, de content by default niet. Als er vermoeden is van misbruik kan daar verandering in komen, maar is dit zeer gericht op die gebruiker. De processen om zoiets in gang te zetten zijn ook niet van de lichtste. Daar komt een goedkeuring bij van een niet-laag geplaatst persoon in de organisatie.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
ITnetadmin
userbase crew
userbase crew
Berichten: 8991
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 202 keer
Bedankt: 692 keer
Recent bedankt: 3 keer

DarkV schreef: 11 maa 2023, 17:09
ITnetadmin schreef: 01 maa 2023, 18:30 Bedrijven gaan uiteraard MITM kunnen spelen door hun eigen CA keys in de trusted cert store van hun PCs te steken
Iets waar je als werknemer toch ook niet echt gelukkig van kan worden; even je bank raadplegen, een privé mailtje doen, ... doe je dan toch ook niet echt meer in vertrouwen ? Je kan argumenteren dat dit privé dingen zijn die je niet moet doen op het werk maar iedereen zal dit al wel eens gedaan hebben. Ik betwijfel zelfs of het opnemen van de eigen CA keys niet zonder risico's is.
Om te beginnen, zijn mails SMTP, en dus nooit encrypted; tenzij je dus op een webmail ingelogd bent, zijn mails zo goed als altijd open en bloot te lezen.
Maar als werknemer via je eigen devices je bank raadplegen of op je webmail inloggen, dat is anders, want die devices hebben de CA van de firewall niet aanvaard, waardoor die geen MITM kan spelen zonder dat je browser dat doorheeft.
Ben je als werknemer op een werktoestel bezig, dan moet je ervan uitgaan dat het bedrijf aan alle data aankan, ook zogezegde encrypted data.

Overigens, die MITM dingen zijn zoiezo een miserie bij apps, want vaak heeft de app designer zijn eigen CA ingebouwd, en aanvaard de app niks anders.
Dat kan een issue vormen bij legitieme bedrijfsapps waar de firewall toch MITM wil doen, maar dat niet kan omdat de app erop flipt.

devilkin schreef: 12 maa 2023, 20:33 Voor de exclusions wordt er gebruik gemaakt van lijsten, die op hoog niveau en door een aantal instanties moeten goedgekeurd worden. Zaken die PII data omvatten gaan niet geinspecteerd worden, geloof me vrij.
Daar mag je hopelijk vanuit gaan bij een groot bedrijf.
Maar een kleinere organisatie die toch aan zo'n filtering wil doen, daar riskeer je dat hun exclusion lists lang niet toereikend zijn, als ze ze al hebben.
Zoiezo is het best ervan uit te gaan dat je bedrijf aan alles kan dat op hun toestellen gebeurt.
Niet noodzakelijk altijd gelogd, maar het technisch potentieel is er wel altijd.
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6042
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 831 keer
Bedankt: 515 keer
Recent bedankt: 9 keer

ITnetadmin schreef: 13 maa 2023, 05:08 Om te beginnen, zijn mails SMTP, en dus nooit encrypted; tenzij je dus op een webmail ingelogd bent, zijn mails zo goed als altijd open en bloot te lezen.
Al enige tijd achterhaald - veel (bijna alle?) communicatie tussen client -> server gebruikt ofwel smtps of starttls om de connectie te upgraden. Tussen servers onderling is dit ook meer en meer het geval.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
DarkV
Elite Poster
Elite Poster
Berichten: 3772
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 113 keer
Bedankt: 155 keer
Recent bedankt: 1 keer

devilkin schreef: 12 maa 2023, 20:33 Voorts ga je er hier blijkbaar vanuit dat alles wat iemand doet gelogged wordt.
Ik zeg nergens dat het gelogged wordt maar wel KAN gelogged worden... je hebt gewoon carte-blanche gegeven en in een security context vind ik dat een heel raar gegeven ook al is het dan om de veiligheid te controleren.
ITnetadmin schreef: 13 maa 2023, 05:08 Om te beginnen, zijn mails SMTP, en dus nooit encrypted; tenzij je dus op een webmail ingelogd bent
Ik ging er wel vanuit dat je een webmail client gebruikt en niet gans je privé mail gaat beheren via SMTP/POP3 (trouwens zoals verder al aangegeven ondersteunen de meeste providers dat al geruime tijd niet meer).
ITnetadmin schreef: 13 maa 2023, 05:08Overigens, die MITM dingen zijn zoiezo een miserie bij apps, want vaak heeft de app designer zijn eigen CA ingebouwd, en aanvaard de app niks anders.
Terecht ook... een app die dat eigenlijk niet doet is nalatig en stelt zich kwetsbaar op.
ITnetadmin schreef: 13 maa 2023, 05:08Daar mag je hopelijk vanuit gaan bij een groot bedrijf.
Maar een kleinere organisatie die toch aan zo'n filtering wil doen, daar riskeer je dat hun exclusion lists lang niet toereikend zijn, als ze ze al hebben.
Zoiezo is het best ervan uit te gaan dat je bedrijf aan alles kan dat op hun toestellen gebeurt.
Niet noodzakelijk altijd gelogd, maar het technisch potentieel is er wel altijd.
Het gaat er inderdaad gewoon om dat het technische mogelijk is... camera's gingen ook enkel gebruikt worden voor terroristen :nono:
ITnetadmin
userbase crew
userbase crew
Berichten: 8991
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 202 keer
Bedankt: 692 keer
Recent bedankt: 3 keer

DarkV schreef: 13 maa 2023, 20:45 Het gaat er inderdaad gewoon om dat het technische mogelijk is... camera's gingen ook enkel gebruikt worden voor terroristen :nono:
Dat is idd een belangrijk gegeven.
Als het technisch mogelijk is, kan het *altijd* gebeuren, en je kan niet bewijzen dat ze het niet doen.
Plaats reactie

Terug naar “Netwerken en Security”