<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<p>On 13/05/19 09:47, Damiano Verzulli wrote:<br>
</p>
<blockquote type="cite"
cite="mid:a6dcbdc8-e786-7441-c6bf-b36b5328b49a@verzulli.it">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
----------------------------------------------------
<p>Q: How to block #DNS #DoH from an enterprise point of view?</p>
<p>A: <font color="#ff0000"><b>Decrypt all outbound SSL/TLS</b></font>
[...and...] filter out http-req-headers =
application/dns-message. <br>
</p>
<p>We implemented this on our Palo FW. <br>
</p>
<p>Note: Each DoH message is 4K</p>
<p>----------------------------------------------------</p>
<p>Non mi e' chiaro come sia possibile "Decrypt all outbound
SSL/TLS" senza interventi "invasivi" e "indolori" per l'utenza
finale (nel mio caso: un Ateneo).</p>
<br>
</blockquote>
<p>Se hai un dominio windows gestito bene ed un UTM che fa SSL
inspection (non faccio nomi) e' fattibile; distribuisci una CA
generata dall' UTM a tutti i client, cosi' lui puo'
"trasparentemente" terminare le connessioni su se stesso e agire
praticamente da transparent proxy. Oltre ad uno scenario del
genere non mi risulta esistano modi per farlo in modo "indolore"..
e anche cosi', far funzionare questa roba non e' proprio
immediato.<br>
</p>
<p>> Ho quasi paura a chiedere qui dentro come mai un ateneo o
qualcuno che non ha requisiti di sicurezza tali da dover
controllare i client potrebbe voler impedire la risoluzione DNS di
qualcosa. <br>
</p>
<p>Scenari orwelliani a parte, temo che prima o poi anche i malware
cominceranno ad usare questo tipo di risoluzioni, rendendo molto
meno utili le DNSBL che contengono domini (DGA e non) utilizzati
come C2</p>
<p>Daniele<br>
</p>
</body>
</html>