HOWTO: Apple Private-Relay auf der WatchGuard blockieren

Das iCloud Private-Relay ermöglicht Benutzern sich über die Firewall hinweg anonym im Internet zu bewegen.

Apple nutzt dafür das QUIC (Quick UDP Internet Connections) und basiert, wie der Name verrät auf UDP und dem Port 443. QUIC soll die etablierte Kombination aus HTTP + TLS + TCP ablösen, um die Übertragung und damit den Aufbau von Webseiten zu beschleunigen.

Es gibt Unternehmen oder Behörden, die bestimmte Richtlinien haben und den gesamten Netzwerkverkehr überprüfen müssen. In diesem Blog-Artikel wird beschrieben, wie man die Nutzung von dem Apple Private-Relay unterbinden kann.

Um die Nutzung des Apple Private-Relays zu blockieren, muss eine Regel angelegt werden, die den Traffic nach extern mit UDP und den Port 443 verbietet. Des Weiteren müssen die FQDNS: mask.icloud.com und mask-h2.icloud.com in die Domain Name Rules der HTTPS-Proxy Action mit einem „deny“ hinzugefügt werden.

Sollten noch weitere Zonen vorhanden sein, müssen diese auch als Source eingetragen werden.

Mögliche Probleme:

Wenn die Clients weiterhin das Private-Relay auf ihrem Gerät aktiviert haben, kann es zu unerwünschten Problemen beim Surfen kommen. Bei unseren Tests waren die Webaufrufe verlangsamt.

Weitere Informationen zu dem Thema QUIC und Apple Private-Relay kann man sich unter folgenden Links anschauen:

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:


<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>