Mullvad ย้ายเซิร์ฟเวอร์ DNS แบบเข้ารหัสให้รันบน RAM
(mullvad.net)- Mullvad ได้ย้ายบริการ Encrypted DNS แยกต่างหากให้ทำงานบน RAM เช่นกัน หลังจากลบร่องรอยบนดิสก์ออกจากโครงสร้างพื้นฐาน VPN
- ช่วยเข้ารหัส คำขอ DNS บนอุปกรณ์ที่ไม่ได้เชื่อมต่อ VPN ทำให้บุคคลที่สามแอบดูเนื้อหาการค้นหาระหว่างอุปกรณ์กับเซิร์ฟเวอร์ Mullvad DNS ได้ยากขึ้น
- บริการนี้ใช้งานได้ฟรีแม้ไม่ใช่ลูกค้าแบบชำระเงิน และเหมาะสำหรับผู้ใช้ที่ต้องการ DNS ที่ผ่านการตรวจสอบและมี การบล็อกเนื้อหาแบบเลือกได้
- มีเซิร์ฟเวอร์ทั่วโลกและคู่มือการตั้งค่าให้ แต่ไม่แนะนำให้ใช้ร่วมกับ VPN เพราะจะช้ากว่าการใช้ DNS resolver ของเซิร์ฟเวอร์ VPN ที่เชื่อมต่ออยู่เสมอ
- เซิร์ฟเวอร์ Encrypted DNS ใช้ Linux kernel และ การตั้งค่าด้านความปลอดภัย·ความเป็นส่วนตัว แบบเดียวกับโครงสร้างพื้นฐาน VPN สะท้อนแนวทางเดินหน้าสู่โครงสร้างพื้นฐานแบบไร้สถานะที่รันบน RAM
Encrypted DNS ก็เปลี่ยนมารันบน RAM
- Mullvad เพิ่งเสร็จสิ้นการย้ายระบบเพื่อลบร่องรอยจากดิสก์ที่ใช้งานในโครงสร้างพื้นฐาน VPN
- จากการเปลี่ยนแปลงครั้งนี้ บริการ Encrypted DNS ก็ถูกปรับให้รันบน RAM ด้วย
- นี่เป็นขั้นถัดไปของ Mullvad ในการเดินหน้าใช้ โครงสร้างพื้นฐานแบบไร้สถานะ ที่ทำงานบน RAM
วิธีเข้ารหัสคำขอ DNS
- Encrypted DNS เป็นที่รู้จักในชื่อ DNS over TLS และ DNS over HTTPS
- เมื่อไม่ได้เชื่อมต่อกับบริการ VPN ระบบจะเข้ารหัสคำขอ DNS ระหว่างอุปกรณ์กับเซิร์ฟเวอร์ Mullvad DNS
- วิธีนี้ใช้เพื่อป้องกันไม่ให้บุคคลที่สามแอบดูคำขอ DNS ได้
กลุ่มผู้ใช้เป้าหมายและข้อจำกัดในการใช้งานจริง
- บริการนี้มีไว้ใช้เป็นหลักในกรณีที่ไม่ได้เชื่อมต่อกับเซิร์ฟเวอร์ Mullvad VPN
- ใช้งานได้ ฟรีทั้งหมด ไม่ว่าจะเป็นลูกค้าแบบชำระเงินหรือไม่ก็ตาม
- ใครก็ตามที่ต้องการบริการ Encrypted DNS ที่เชื่อถือได้และผ่านการตรวจสอบ พร้อม การบล็อกเนื้อหาแบบเลือกได้ ก็สามารถใช้งานได้
- ให้บริการผ่านเซิร์ฟเวอร์ที่ตั้งอยู่ทั่วโลก และตั้งค่าได้ด้วย คู่มือการตั้งค่า บนเว็บไซต์ Mullvad
- แม้จะใช้ร่วมกับบริการ VPN ได้ แต่จะช้ากว่าการใช้ DNS resolver ของเซิร์ฟเวอร์ VPN ที่เชื่อมต่ออยู่เสมอ จึงไม่แนะนำ
การตั้งค่าความปลอดภัยให้สอดคล้องกับโครงสร้างพื้นฐาน VPN
- เซิร์ฟเวอร์ Encrypted DNS ทั้งหมดตั้งค่าด้วย Linux kernel แบบเดียวกับโครงสร้างพื้นฐาน VPN
- ระดับความปลอดภัยและความเป็นส่วนตัวก็ถูกปรับให้เทียบเท่ากับโครงสร้างพื้นฐาน VPN
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
DNS แบบเข้ารหัสของ Mullvad เปิดให้ทุกคนใช้ได้ ไม่ว่าจะเป็นผู้ใช้ VPN แบบชำระเงินหรือไม่ก็ตาม
นอกจากนี้ยังรองรับ การบล็อกเนื้อหา แบบเลือกได้ผ่านรายการบล็อกด้วย ดังนั้นแค่ตั้งค่าเซิร์ฟเวอร์ DNS ผ่าน TLS/HTTPS ที่ต้องการก็พอ
[1] https://github.com/mullvad/dns-blocklists
.mobileconfig) จะไม่ทำงานหากใช้ Little Snitch หรือ Lulu เพื่อบล็อกทราฟฟิกเครือข่ายที่ไม่ต้องการนี่เป็นข้อจำกัดของ macOS ที่ Apple ยังไม่ได้แก้ไข
ถ้าจะเข้าถึงเว็บไซต์ใดเว็บไซต์หนึ่ง ก็ต้องใช้ DNS เพื่อหา IP อยู่ดี และ ISP หรือผู้ให้บริการ VPN ก็เห็นได้ว่าฉันกำลังเชื่อมต่อไปยัง IP นั้น ไม่ว่าจะเป็นการค้นหาเมื่อกี้หรือเป็นข้อมูลที่รู้อยู่แล้ว
ถ้าไม่ใช่โมเดลที่ว่าแม้ใช้ VPN แล้ว DNS ยังรั่วไปยังผู้ให้บริการรายอื่นที่เก็บล็อก ก็ยังไม่ค่อยเข้าใจว่าทำไมถึงจำเป็น
สงสัยว่านี่เป็น เซิร์ฟเวอร์จริง หรือ VM
VM บางประเภทสามารถถูกหยุดชั่วคราว ทำสแนปช็อต โคลน หรือทำสำเนาแบบเรียลไทม์รวมถึงเนื้อหาในหน่วยความจำได้ เช่นเพื่อปฏิบัติตามคำขอทางกฎหมาย และบนโฮสต์แบบ bare metal ก็สามารถเข้าถึงภายใน VM หรือคอนเทนเนอร์ได้
สงสัยว่ามีการเปิดเผยผังโครงสร้างทางกายภาพไว้หรือไม่
ถ้ามีสถาปนิกของ Mullvad อยู่ด้วย ก็หวังว่าจะช่วยไม่ให้เรื่องนี้ไหลไปสู่สมมติฐานเชิงทฤษฎีและชั้นเต่าซ้อนเต่าไม่รู้จบ
https://www.system-transparency.org
มีเครื่องมือที่ใช้ eBPF เพื่อดึงสตรีมข้อมูลเมื่อมีคำขอ ตามพารามิเตอร์บางอย่างได้
เครื่องมืออย่าง Sysdig/Falco ก็อาจทำได้เช่นกัน และคงมีประโยชน์ถ้ารู้ว่าพวกเขาคอมไพล์เคอร์เนลเองเพื่อปิด eBPF หรือทำการ hardening เคอร์เนลเพิ่มเติมเพื่อลบหรือปิดฟีเจอร์ดีบักเมื่อมีคำขอหรือไม่
แบบนั้นก็จะไม่มีสิ่งให้หยุดชั่วคราว
ในฐานะคนนอกที่ไม่ประสีประสา อยากรู้ว่า RAM ในปี 2023 เข้ารหัสเนื้อหาทั้งหมดหรือไม่
สงสัยว่าสามารถปิดเครื่องแล้วทำให้คีย์เข้ารหัสบางอย่างที่อยู่ในหน่วยความจำที่เล็กกว่าและระเหยง่ายกว่าหายไป เพื่อให้เนื้อหาใน RAM ถูกลืมอย่างน่าเชื่อถือได้หรือไม่
ยังสงสัยด้วยว่ามีการทำอะไรเพื่อลดผลกระทบจากการโจมตี cold boot ต่อ RAM บ้าง ฮาร์ดแวร์เปลี่ยนไปอย่างไร และคีย์เข้ารหัสเนื้อหา RAM ถูกเก็บไว้ในที่อย่าง TPM หรือไม่
แน่นอนว่าถ้าเซิร์ฟเวอร์ถูกบุกรุกทางกายภาพก็อาจเกิดเรื่องเลวร้ายได้ แต่เพราะไม่มีพื้นที่ให้เก็บมัลแวร์ถาวร และไม่สามารถทิ้งล็อกไว้ในสตอเรจภายในเครื่องได้ไม่ว่าจะโดยพลาดหรือจงใจ จึงยากขึ้นที่จะยึดครองเซิร์ฟเวอร์อย่างต่อเนื่อง
การเข้ารหัสเนื้อหา RAM อาจเพิ่มการป้องกันได้ แต่ถ้านำไปใช้ถูกต้อง สิ่งที่เหลืออยู่ใน RAM ในทางปฏิบัติน่าจะน่าสนใจกว่าสิ่งที่มองเห็นได้บนสายเครือข่ายเพียงเล็กน้อยเท่านั้น
อย่างมากก็คงเห็นข้อมูลคำขอที่กำลังใช้งานอยู่ในปริมาณเล็กมาก แต่นี่เป็นเพียงการคาดเดา
https://www.amd.com/system/files/documents/amd-memory-guard-...
https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
มี แฟล็กรีบูต EFI ที่แก้ให้บังคับล้าง RAM ในการบูตครั้งถัดไปได้ แต่โดยทั่วไปจะถูกปิดไว้
[1] https://en.wikipedia.org/wiki/Cold_boot_attack บน Windows ยังใช้ได้อยู่เพราะ BitLocker
[2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
ลองสอบถาม Mullvad แล้ว พวกเขายืนยันว่า ใช้เฉพาะ bare metal และไม่ได้ใช้ virtualization หรือ containerization เลย
https://ibb.co/XLDQGGt
ใช้ DoH DNS ของ Cloudflare (https://1.1.1.1) แล้ว tunnel มันผ่าน Mullvad VPN
แบบนี้ Mullvad จะเห็นแค่ IP ที่ฉันไปเยือน ส่วน Cloudflare จะเห็นแค่คำขอ DNS ที่มาจาก IP ของ VPN และ ISP จะไม่เห็นอะไรเลย
DoH DNS ของ Mullvad ก็ดูดี แต่คิดว่าจะไม่ใช้ เพราะอาจมี ความเป็นส่วนตัวน้อยกว่า วิธีข้างต้น
อยากเห็นสถิติจริง ๆ แต่จากสัญชาตญาณของคนที่เคยรันแอปพลิเคชันข้อมูลที่อ่าน/เขียนหนัก ๆ ด้วย SSD และ ECC RAM ทั้งคู่ก็เสียบ่อยพอสมควร จนในแง่ ความทนทานต่อความล้มเหลว การเปลี่ยนครั้งนี้ให้ความรู้สึกแทบจะเป็นการอัปเกรดแบบข้าง ๆ มากกว่า
แต่ความพยายามที่จะรีดประสิทธิภาพล้วน ๆ เพิ่มขึ้นแม้สักไม่กี่เปอร์เซ็นต์ก็น่าปรบมือให้ น่าจะเป็นโปรเจกต์ Redis ที่น่าสนุก
น่าจะบูตผ่านเครือข่ายจากอิมเมจแบบอ่านอย่างเดียว
พวกเขาทำแบบนี้กับเซิร์ฟเวอร์ VPN อยู่แล้ว และตอนนี้กำลังใช้กลยุทธ์เดียวกันกับเซิร์ฟเวอร์ DNS
อยากรู้ว่ามี datasheet อะไรที่แสดงอัตราความเสียหายไหม
ผมพอใจมากกับทุกอย่างที่ Mullvad ทำมา แต่ก็เสียดายเมื่อพวกเขาประกาศว่าจะเลิก port forwarding ซึ่งเป็นส่วนสำคัญสำหรับบางส่วนเฉพาะของคอนฟิกผม
เข้าใจเหตุผลนะ แต่ถ้าวันหนึ่งกลับมาให้บริการอีก ผมก็ยินดีกลับไปเป็นลูกค้าอีกครั้ง
สำหรับ Mullvad ข้อดีของการปิดมันมีมากกว่าข้อเสีย
มีใครรู้ไหมว่าความปลอดภัยของ Mullvad VPN เมื่อเทียบกับ Proton VPN เป็นอย่างไร?
พวกเขามีประวัติที่ต้านทานคำขอจากหน่วยงานบังคับใช้กฎหมายได้ เพราะไม่มีอะไรให้ส่งมอบจริง ๆ
ทุกอย่างรันอยู่ใน RAM และหายไปทันทีที่เซิร์ฟเวอร์ปิด ไม่เก็บอะไรไว้จริง ๆ
คุณยังส่งเงินสดทางไปรษณีย์หรือซื้อบัญชี Mullvad ด้วยคริปโทเคอร์เรนซีได้ด้วย ไม่จำเป็นต้องสร้างบัญชีด้วยอีเมลหรืออะไรทำนองนั้น
ตามกฎหมายสวิตเซอร์แลนด์ ผู้ใช้รายดังกล่าวจะได้รับการแจ้งเตือนและมีโอกาสโต้แย้งในศาลก่อนที่ข้อมูลจะถูกใช้ในกระบวนการอาญา”
สิ่งที่ VPN ทำคือช่วยเลี่ยงการบล็อกตามภูมิภาค และอาจช่วยกันไม่ให้ได้รับหนังสือแจ้ง DMCA ตอนดาวน์โหลดคอนเทนต์ละเมิดลิขสิทธิ์ได้ประมาณนั้น
ผู้ให้บริการ VPN อย่าง OVPN (ovpn.com) ก็ใช้วิธีนี้อยู่เหมือนกัน