ブラウザ(chrome)でgoogleにアクセスした際のファイアーウォールのログで動作を見てみる
~HTTP , HTTPS , QUICの動作
~
■確認方法
chromeでgoogleにアクセスした際に、HTTP , HTTPS , QUICの接続状況を確認
1. 以下の4パータンのサービス毎にポリシ条件を指定
-HTTP
-HTTPS
-UDP(443) ※ QUIC ※
-HTTPS & UDP(443)
(コマンド)set policy id 1 from Trust to Untrust Any Any <Service> permit log traffic
2. PCからchromeでgoogleにアクセスを行い、SSGのトラフィックログとPCでキャプチャを行い接続を確認する。
※DNS用のポリシは設定済み
※permitポリシに一致しないトラフィックはdeny用ポリシでログを確認できるようにする
■構成
■確認結果
・ UDP(443):SSGのサービズタイムアウトが1秒(デフォルト値)となっているため
接続中に1秒以上のパケット間隔となると、戻りトラフィックが破棄されそう。
・途中経路で、UDP(443)が通信不可となっていなる場合は、QUICで接続することができない。
-なので、QUICを使う場合、UDP(443)を現状のFWで穴あけが必要あり
・通信の内容が暗号化されているため
- ヘッダ情報やURLを元に条件フィルタを行ったり
- WAF/IDP/IPS等のシグネチャ検知やアカウントハッキング検知 など
SSLオフロードを行った後に、問題なく実施が可能なのかは不明。
→SSL復号の処理を肩代わりした機器は、QUICの使用上の動作もサーバから肩代わりして代行してくれる?
■確認ログ
①ポリシで HTTPとした場合
・HTTP通信では、googleへは接続できない。
・httpでアクセス後に httpsでアクセスを試みている。
→https のアクセスは denyポリシで破棄されている。
コマンド: set policy id 110 from Trust to Untrust Any Any HTTP permit log traffic
アクセス用アドレス:http://www.google.co.jp/
◇HTTPS通信 通信可能
◇SSG ログ
②ポリシで HTTPSとした場合
→QUICでは接続できないが HTTPS通信で接続が問題なくできた
コマンド: set policy id 110 from Trust to Untrust Any Any HTTPS permit log traffic
アクセス用アドレス:https://www.google.co.jp/
◇HTTPS通信 通信可能
◇QUIC通信 戻りトラフィックは無し
◇SSG ログ
③ポリシで UDP(443) QUICとした場合
・UDP(443)のみを透過条件とする場合は、googleに接続でできない。
TLS (TCP:443)での接続が出来ないためかな。
コマンド: set policy id 110 from Trust to Untrust Any Any UDP(443) permit log traffic
ssg5-isdn-> get service
Individual Services:
Name Proto Port Group Timeout(min|10sec*) Flag
UDP443 17 443 other 1 User-defined
アクセス用アドレス:https://www.google.co.jp/
◇QUIC通信 通信可能
◇SSG ログ
④ポリシで HTTPSとUDP(443) QUICとした場合
→QUICで接続が問題なくできた
コマンド: set policy id 110 from Trust to Untrust Any Any UDP(443) permit log traffic
コマンド: set policy id 120 from Trust to Untrust Any Any HTTPS permit log traffic
アクセス用アドレス:https://www.google.co.jp/
◇TLSでの通信
◇QUIC通信 TLS通信後に通信が発生している
◇SSG ログ