[ITNOG] filtrare DoH

Daniele Duca duca@staff.spin.it
Lun 13 Maggio 2019 20:06:33 CEST


On 13/05/19 09:47, Damiano Verzulli wrote:

> ----------------------------------------------------
>
> Q: How to block #DNS #DoH from an enterprise point of view?
>
> A: *Decrypt all outbound SSL/TLS* [...and...] filter out 
> http-req-headers = application/dns-message.
>
> We implemented this on our Palo FW.
>
> Note: Each DoH message is 4K
>
> ----------------------------------------------------
>
> Non mi e' chiaro come sia possibile "Decrypt all outbound SSL/TLS" 
> senza interventi "invasivi" e "indolori" per l'utenza finale (nel mio 
> caso: un Ateneo).
>
>
Se hai un dominio windows gestito bene ed un UTM che fa SSL inspection 
(non faccio nomi) e' fattibile; distribuisci una CA generata dall' UTM a 
tutti i client, cosi' lui puo' "trasparentemente" terminare le 
connessioni su se stesso e agire praticamente da transparent proxy. 
Oltre ad uno scenario del genere non mi risulta esistano modi per farlo 
in modo "indolore".. e anche cosi', far funzionare questa roba non e' 
proprio immediato.

 > Ho quasi paura a chiedere qui dentro come mai un ateneo o qualcuno 
che non ha requisiti di sicurezza tali da dover controllare i client 
potrebbe voler impedire la risoluzione DNS di qualcosa.

Scenari orwelliani a parte, temo che prima o poi anche i malware 
cominceranno ad usare questo tipo di risoluzioni, rendendo molto meno 
utili le DNSBL che contengono domini (DGA e non) utilizzati come C2

Daniele

-------------- parte successiva --------------
Un allegato HTML  stato rimosso...
URL: <http://lists.itnog.it/pipermail/itnog/attachments/20190513/ebd67737/attachment.html>


Maggiori informazioni sulla lista itnog