//Grazie per lo spunto di riflessione ne aggiungo un altro....SSH supporta nativamente il double hop, che da un punto di vista di regole di firewall e di inspection e' una bella furbata, perche' ti eviti tanti problemi, incluso un reverse shell dall'end point.
Spero che chiunque abbia fatto questo post prima di questa domanda esistenziale abbia pensato a DNS security per evitare DNS tunneling per data exfiltration, perche' 99% delle volte poi e' quello una delle metodologie piu' frequenti. Per esperienza rimango sempre colpito da discorsi che spaccano il capello sulla deep inspection, per poi vedere una leggerezza sul generale, esempio se ci son i certificati su IPS, DNS aperto ovunque per tunneling e senza black holing, etc, etc. Se vuoi fare deep inspection, la devi fare ovunque su tutto, on-prem e cloud, con i problemi che ne vengono con end to end, cloud tapping mal di testa e il prox Tls 1.3 che fara' venire i vermi a tanti. SSH double hopping e' una buona pratica di igiene anche per le regole di firewalling ma purtroppo e' un opzione sottovalutata, come del resto il port knocking e altre cose che male non farebbero, ma che il mercato non fa trending perche' il man non lo si legge e vendor X non lo sa....
