[ITNOG] filtrare DoH

[Damiano Verzulli]

On 13/05/19 20:06, Daniele Duca wrote:
>
> On 13/05/19 09:47, Damiano Verzulli wrote:
>
>> [...]
>> Non mi e' chiaro come sia possibile "Decrypt all outbound SSL/TLS" senza
>> interventi "invasivi" e "indolori" per l'utenza finale (nel mio caso: un
>> Ateneo).
>
> [...] distribuisci una CA generata dall' UTM a tutti i client, [....] e
> agire praticamente da transparent proxy. [...] far funzionare questa roba
> non e' proprio immediato.
>
Chiaro.

Direi --pero'-- che sei concorde con me nel definire lo scenario qui sopra
sia "doloroso" (per l'admin) che "invasivo" (per l'end user). :-)


> ... temo che prima o poi anche i malware cominceranno ad usare questo
> tipo di risoluzioni, rendendo molto meno utili le DNSBL che contengono
> domini (DGA e non) utilizzati come C2
>
Hai fatto centro. E' **ESATTAMENTE** il motivo che mi ha portato ad inviare
la prima mail: fin quando ci saranno DGA risolti normalmente.... avro' uno
strumento in piu' per "detectarli". Con DoH... non sara' piu' possibile (in
modo "indolore").

Un saluto,
DV

-- 

Damiano Verzulli
e-mail: damiano@verzulli.it
---
possible?ok:while(!possible){open_mindedness++}
---
"Technical people tend to fall into two categories: Specialists 
and Generalists. The Specialist learns more and more about a 
narrower and narrower field, until he eventually, in the limit, 
knows everything about nothing. The Generalist learns less and 
less about a wider and wider field, until eventually he knows 
nothing about everything." - William Stucke - AfrISPA
  http://elists.isoc.org/mailman/private/pubsoft/2007-December/001935.html


-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  195 bytes
Descrizione: OpenPGP digital signature
URL:         <http://lists.itnog.it/pipermail/itnog/attachments/20190513/7fa14dc5/attachment.sig>