[lacnog] Utilización de DoH como canal encubierto para controlar Malware

[Fernando Gont]

On 9/9/20 05:25, Arturo Servin wrote:
> 
> 
> On Mon, Sep 7, 2020 at 8:49 PM Fernando Gont <fgont en si6networks.com 
> <mailto:fgont en si6networks.com>> wrote:
> 
> 
> 
>     También hay cuestiones de caracter operacional. Ejemplo: Supongamos que
>     un ISP tiene conexion a un IXP en el cual hay un cache de un proveedor
>     de contenidos. En la normalidad de los casos, el trafico de dicho
>     proveedor de contenidos se serviria desde el cache local. Sin embargo,
>     si la resolucion de DNS se hiciera mendiante un servidor externo
>     (incluyendo 8.8.8.8, por mas que no se use DoH), eso podria resultar en
>     que no se termine utilizando el cache, generando trafico internacional
>     para el operador -- con lo que esto significa. Por lo cual no me
>     sorprenderia que en consecuencia, el operador intentara filtrar DoH (no
>     por querer "espiar", sino por querer servir los contenidos de forma
>     local, en vez de usar un enlace internacional para ello).
> 
> 
> 
> Este es un problema con DoH o sin DoH. Para evitarlo el DNS resolver 
> debe usar (rfc7871 si no me equivoco) la extension de subredes.

Lo cual termina siendo una ironia, ya que se apunta a un incremento en 
privacidad, pero el cliente termina adicionando mas información al 
query. -- exponiendo esta información a sistemas que directamente no la 
hubieran visto (por ej en casos de escenarios con multiples nivles de 
cache).


-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492