Google QUIC protocol

[didi79]

Wat is vandaag het standpunt over al dan niet doorlaten (op firewall, uitgaand) van het QUIC protocol?

Enkele jaren geleden was het standpunt van de meeste firewall vendors om dit niet toe te laten. De trafiek is moeilijk te inspecteren.

[CCatalyst]

Recentere firewall-software kan HTTP/3 QUIC inspecteren. FortiOS vanaf 7.2 bijvoorbeeld.

Je kan het iig niet eeuwig blijven blokkeren gezien Google het meer en meer begint te pushen. Hou er ook rekening mee dat er nog "innovaties" onderweg zijn en dat je straks niets anders meer dan MITM gaat kunnen doen om TLS nog te kunnen inspecteren (of endpoint security, als je dat vertrouwt).

[didi79]

Hou er ook rekening mee dat er nog "innovaties" onderweg zijn en dat je straks niets anders meer dan MITM gaat kunnen doen om TLS nog te kunnen inspecteren (of endpoint security, als je dat vertrouwt).

En zelfs dat wordt ondermijnd: pak nu Microsoft. Om hun services (bijv. Teams) te gebruiken zeggen ze expliciet dat je de https trafiek beter niet inspecteert (ssl decryption).
Daarmee valt eigenlijk een laagje van je layered security weg.

[ITnetadmin]

Klopt.
De meeste protocols zijn al encrypted, en meer en meer andere traffic begint zich te camoufleren als andere protocols.

Een probleem is bv dns-over-https, ofte DoH; veel software zoals bv Firefox begint dat in te bouwen, met als gevolg dat je niet meer zeker kan zijn dat je OS-ingestelde DNS settings ook de mandatory settings zijn.
En blokkeren kan je dat nauwelijks of niet, want de DNS traffic camoufleert zich als encrypted https traffic, over de 443 poort.
Bedrijven gaan uiteraard MITM kunnen spelen door hun eigen CA keys in de trusted cert store van hun PCs te steken, maar als je dat niet doet of kan worden firewalls minder en minder nuttig.

Iedereen die de sector in de gaten houdt, zag dit al jaren aankomen.
Meer en meer protocols begonnen zich als https/443 te camoufleren, omdat dit een van de zeldzame protocols is dat zelden geblokkeerd wordt op publieke netwerken.
Kijk bv naar Teamviewer, dat zich al jaren als https voordoet, en zodoende de voorkeursoftware werd op de KUL, waar Logmein etc jarenlang geblokkeerd werd als "verboden". Toen ze een tijdje geleden probeerden alsnog teamviewer te blocken, was het al zo ingeburgerd dat na massaal protest van oa proffen de blockage na enkele dagen gewoon ongedaan werd gemaakt.

[didi79]

ofwel: in een wereld die alsmaar meer security nodig heeft, nemen de grote bedrijven er een loopje mee... because they can.

[ITnetadmin]

Security = controle.

Voor elk argument waarbij bedrijven hun netwerk moeten kunnen beveiligen, is er een tegenargument waarbij de noodzaak voor sneaky protocols etc belangrijk is voor de (pers)vrijheid in sommige landen.
Dat is ook de reden waarom protocols als bv DoH uitgevonden zijn, om censuur te omzeilen.
Alleen is elke tool die dient om censuur te omzeilen, ook eentje die je eigen netwerk in gevaar kan brengen.

En bedrijven, oa IoT producenten, bouwen hun toestellen en protocols zodat ze nergens last van krijgen, maw ze bouwen ze zodat ze door de meeste firewalls door kunnen.

[didi79]

Ok, dus voor traffic waar we nog enigzins controle over willen, weren we QUIC zolang het nog kan.

Maar voor traffic die mij niet interesseert en die ik niet hoef te beveiligen (bijv. public wifi): zijn er goeie redenen om QUIC daar ook te blokkeren?

[UBremoved9108]

En zelfs dat wordt ondermijnd: pak nu Microsoft. Om hun services (bijv. Teams) te gebruiken zeggen ze expliciet dat je de https trafiek beter niet inspecteert (ssl decryption).
Daarmee valt eigenlijk een laagje van je layered security weg.

Op de meeste firewalls kan je instellen 'do not inspect know/trusted services and do not rewrite certificates' > fw pakt dan een lijst binnen van 'trusted' dingen en laat die gewoon door. Ik weet het: je moet dan maar vertrouwen op een partij waar 'iemand' van zegt dat die 'trusted' is.
Maar het is tegenwoordig zo: windows activeert niet met ssl decryptie, MEM doet moeilijk bij SSL decryptie enzoverder. Ook Firefox negeert de Windows trusted certificate store by default...
Het is moeilijk tegenwoordig.
Ooit een firewall vendor horen vertellen dat je beter en meer met application control moet werken dan met SSL inspectie... > Ma toch: mijn ssl decryptie/inspectie vangt wekelijks toch wel wat vind ik.

[CCatalyst]

Ooit een firewall vendor horen vertellen dat je beter en meer met application control moet werken dan met SSL inspectie... > Ma toch: mijn ssl decryptie/inspectie vangt wekelijks toch wel wat vind ik.

De klassieke aanpak van netwerkbeveiliging raakt stilaan achterhaald. Straks wordt alles vanaf de clientzijde geencrypteerd en de nieuwe aanpak is SASE, Zero Trust, XDR. De vendors en hun sales departments varen er weer wel bij...

Mogelijks gaat men ook de pijlen gaan richten op MITM door certificate pinning te gaan vereisen in bepaalde apps.

[vverbeke]

Die firewall inspectie op geëncrypteerd verkeer met MITM is nu al een hoop gedoe. Veel apps werken met ingebakken certificaten en houden geen rekeningen met de firewall certificaten die je naar uw cliënts pusht. Resultaat: als je hierop MITM inzet weigert de app connectie te maken, dan mag je weer uitzonderingen gaan voorzien enzoverder. Cliënt side beveiliging en zero-trust worden steeds belangrijker.

[DarkV]

Bedrijven gaan uiteraard MITM kunnen spelen door hun eigen CA keys in de trusted cert store van hun PCs te steken

Iets waar je als werknemer toch ook niet echt gelukkig van kan worden; even je bank raadplegen, een privé mailtje doen, ... doe je dan toch ook niet echt meer in vertrouwen ? Je kan argumenteren dat dit privé dingen zijn die je niet moet doen op het werk maar iedereen zal dit al wel eens gedaan hebben. Ik betwijfel zelfs of het opnemen van de eigen CA keys niet zonder risico's is.

[devilkin]

De MITM inspectie doen ze bij ons ook, maar sommige zaken zijn uitgesloten, zoals banken, mutualiteiten, ziekenhuizen,... Alles in die sfeer.

Privé mail is geblocked, daarvoor dient je privé toestel.

[DarkV]

maar sommige zaken zijn uitgesloten, zoals banken, mutualiteiten, ziekenhuizen,...

Maar dat weet jij nooit met 100% zekerheid.

Trouwens vind je het OK als je baas in theorie je paswoorden kan achterhalen voor business related taken ?

[devilkin]

Prive zaken doe je dan ook met een prive toestel. Misschien ben ik oldfashioned hierin... Voor de exclusions wordt er gebruik gemaakt van lijsten, die op hoog niveau en door een aantal instanties moeten goedgekeurd worden. Zaken die PII data omvatten gaan niet geinspecteerd worden, geloof me vrij.

Voorts ga je er hier blijkbaar vanuit dat alles wat iemand doet gelogged wordt.
De URLs worden gecontroleerd, de content by default niet. Als er vermoeden is van misbruik kan daar verandering in komen, maar is dit zeer gericht op die gebruiker. De processen om zoiets in gang te zetten zijn ook niet van de lichtste. Daar komt een goedkeuring bij van een niet-laag geplaatst persoon in de organisatie.

[ITnetadmin]

Bedrijven gaan uiteraard MITM kunnen spelen door hun eigen CA keys in de trusted cert store van hun PCs te steken

Iets waar je als werknemer toch ook niet echt gelukkig van kan worden; even je bank raadplegen, een privé mailtje doen, ... doe je dan toch ook niet echt meer in vertrouwen ? Je kan argumenteren dat dit privé dingen zijn die je niet moet doen op het werk maar iedereen zal dit al wel eens gedaan hebben. Ik betwijfel zelfs of het opnemen van de eigen CA keys niet zonder risico's is.

Om te beginnen, zijn mails SMTP, en dus nooit encrypted; tenzij je dus op een webmail ingelogd bent, zijn mails zo goed als altijd open en bloot te lezen.
Maar als werknemer via je eigen devices je bank raadplegen of op je webmail inloggen, dat is anders, want die devices hebben de CA van de firewall niet aanvaard, waardoor die geen MITM kan spelen zonder dat je browser dat doorheeft.
Ben je als werknemer op een werktoestel bezig, dan moet je ervan uitgaan dat het bedrijf aan alle data aankan, ook zogezegde encrypted data.

Overigens, die MITM dingen zijn zoiezo een miserie bij apps, want vaak heeft de app designer zijn eigen CA ingebouwd, en aanvaard de app niks anders.
Dat kan een issue vormen bij legitieme bedrijfsapps waar de firewall toch MITM wil doen, maar dat niet kan omdat de app erop flipt.

Voor de exclusions wordt er gebruik gemaakt van lijsten, die op hoog niveau en door een aantal instanties moeten goedgekeurd worden. Zaken die PII data omvatten gaan niet geinspecteerd worden, geloof me vrij.

Daar mag je hopelijk vanuit gaan bij een groot bedrijf.
Maar een kleinere organisatie die toch aan zo'n filtering wil doen, daar riskeer je dat hun exclusion lists lang niet toereikend zijn, als ze ze al hebben.
Zoiezo is het best ervan uit te gaan dat je bedrijf aan alles kan dat op hun toestellen gebeurt.
Niet noodzakelijk altijd gelogd, maar het technisch potentieel is er wel altijd.

[devilkin]

Om te beginnen, zijn mails SMTP, en dus nooit encrypted; tenzij je dus op een webmail ingelogd bent, zijn mails zo goed als altijd open en bloot te lezen.

Al enige tijd achterhaald - veel (bijna alle?) communicatie tussen client -> server gebruikt ofwel smtps of starttls om de connectie te upgraden. Tussen servers onderling is dit ook meer en meer het geval.

[DarkV]

Voorts ga je er hier blijkbaar vanuit dat alles wat iemand doet gelogged wordt.

Ik zeg nergens dat het gelogged wordt maar wel KAN gelogged worden... je hebt gewoon carte-blanche gegeven en in een security context vind ik dat een heel raar gegeven ook al is het dan om de veiligheid te controleren.

Om te beginnen, zijn mails SMTP, en dus nooit encrypted; tenzij je dus op een webmail ingelogd bent

Ik ging er wel vanuit dat je een webmail client gebruikt en niet gans je privé mail gaat beheren via SMTP/POP3 (trouwens zoals verder al aangegeven ondersteunen de meeste providers dat al geruime tijd niet meer).

Overigens, die MITM dingen zijn zoiezo een miserie bij apps, want vaak heeft de app designer zijn eigen CA ingebouwd, en aanvaard de app niks anders.

Terecht ook... een app die dat eigenlijk niet doet is nalatig en stelt zich kwetsbaar op.

Daar mag je hopelijk vanuit gaan bij een groot bedrijf.
Maar een kleinere organisatie die toch aan zo'n filtering wil doen, daar riskeer je dat hun exclusion lists lang niet toereikend zijn, als ze ze al hebben.
Zoiezo is het best ervan uit te gaan dat je bedrijf aan alles kan dat op hun toestellen gebeurt.
Niet noodzakelijk altijd gelogd, maar het technisch potentieel is er wel altijd.

Het gaat er inderdaad gewoon om dat het technische mogelijk is... camera's gingen ook enkel gebruikt worden voor terroristen

[ITnetadmin]

Het gaat er inderdaad gewoon om dat het technische mogelijk is... camera's gingen ook enkel gebruikt worden voor terroristen

Dat is idd een belangrijk gegeven.
Als het technisch mogelijk is, kan het *altijd* gebeuren, en je kan niet bewijzen dat ze het niet doen.