[ITNOG] filtrare DoH

[Damiano Verzulli]

On 13/05/19 17:55, Giorgio Bonfiglio wrote:
> Ho quasi paura a chiedere qui dentro come mai un ateneo o qualcuno che
> non ha requisiti di sicurezza tali da dover controllare i client potrebbe
> voler impedire la risoluzione DNS di qualcosa.

Nessun problema, Giorgio.

Provo a risponderti (sinteticamente. Se servono altri dettagli, non esitare
a chiedere)

Come primo aspetto, tieni conto che il "poter osservare" query DNS non
necessariamente e' qualcosa che puo' interessare ai fini "di impedire la
relativa risoluzione". Nel mio caso, infatti, e' semplicemente un problema
di "logging". In altri termini: il client fa tutte le query DNS che vuole,
senza filtro alcuno. Ma le query vengono LOGgate.

Chiaramente questo e' banale con i protocolli standard. Diventa impossibile
(nel mio contesto...) quando si usa DoH. Il fatto che qualcuno, in modo
abbastanza "semplice", accennasse alla possibilita' di "vedere" le query
DoH mi ha lasciato perplesso. E per questo.... ho alzato la mano.


Sul perche' possa avere senso LOGgare le query DNS (in un contesto come il
mio), la prima motivazione e' piuttosto semplice: come persona che si
occupa di garantire un minimo di funzionalità dell'infrastruttura LAN/WAN
di un medio Ateneo (aka: se qualcosa non va, tendenzialmente al
sottoscritto arrivano --prima o poi-- degli improperi), ....e considerando
che *NON* ho controllo alcuno sulle circa 3.000 PdL (aka: il personale
tutto -docenti e ricercatori in primis, ma non solo- fa quello che vuole, a
360°, sul proprio PC, senza "vincolo alcuno"), uno dei modi che ho
sperimentato per proteggere INTERNET dalla mia rete (si: ho scritto bene.
Si tratta di proteggere Internet dai client "cattivi" interni alla mia
rete; non il contrario) e' quello di analizzare le query DNS. Nulla di
straordinariamente complesso. Ma se LOGghi le query e fai uno straccio di
analisi... trovi qualche query di DGA e, da li, risali a client compromessi
(di cui difficilmente ti saresti accorto diversamente).

I LOG, inoltre, in combinazione con politiche di firewalling che consentono
l'inoltro di query ai soli DNS "ufficiali", ti permette di diagnosticare
facilmente anomalie che l'utente finale (e, magari, l'help-desk) scambia
per "La rete non va!", con qualcosa del tipo: "Ti sei beccato un malware di
tipo DNS-changer. Rimetti a posto i DNS e vedrai che tutto torna a funzionare".

Mi rendo conto che potrebbe non sembrare (il mio) l'approccio migliore del
mondo. Ma per il momento.... "funziona" e, francamente, mi sembra anche
poco invasivo per il client. L'uso estensivo di DoH e' destinato ad
alterare drasticamente questo scenario e... al momento, non credo di
poterci far nulla :-)

Mi fermo qua. Forse sto andando fuori tema. Se servono altri dettagli, non
esitare a chiedere :-)

Bye,
DV


-- 
Damiano Verzulli
e-mail: damiano@verzulli.it
---
possible?ok:while(!possible){open_mindedness++}
---
"Technical people tend to fall into two categories: Specialists 
and Generalists. The Specialist learns more and more about a 
narrower and narrower field, until he eventually, in the limit, 
knows everything about nothing. The Generalist learns less and 
less about a wider and wider field, until eventually he knows 
nothing about everything." - William Stucke - AfrISPA
  http://elists.isoc.org/mailman/private/pubsoft/2007-December/001935.html


-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  195 bytes
Descrizione: OpenPGP digital signature
URL:         <http://lists.itnog.it/pipermail/itnog/attachments/20190513/49a79826/attachment.sig>