2 คะแนน โดย GN⁺ 2023-11-11 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Mullvad ได้ย้ายบริการ Encrypted DNS แยกต่างหากให้ทำงานบน RAM เช่นกัน หลังจากลบร่องรอยบนดิสก์ออกจากโครงสร้างพื้นฐาน VPN
  • ช่วยเข้ารหัส คำขอ DNS บนอุปกรณ์ที่ไม่ได้เชื่อมต่อ VPN ทำให้บุคคลที่สามแอบดูเนื้อหาการค้นหาระหว่างอุปกรณ์กับเซิร์ฟเวอร์ Mullvad DNS ได้ยากขึ้น
  • บริการนี้ใช้งานได้ฟรีแม้ไม่ใช่ลูกค้าแบบชำระเงิน และเหมาะสำหรับผู้ใช้ที่ต้องการ DNS ที่ผ่านการตรวจสอบและมี การบล็อกเนื้อหาแบบเลือกได้
  • มีเซิร์ฟเวอร์ทั่วโลกและคู่มือการตั้งค่าให้ แต่ไม่แนะนำให้ใช้ร่วมกับ VPN เพราะจะช้ากว่าการใช้ DNS resolver ของเซิร์ฟเวอร์ VPN ที่เชื่อมต่ออยู่เสมอ
  • เซิร์ฟเวอร์ Encrypted DNS ใช้ Linux kernel และ การตั้งค่าด้านความปลอดภัย·ความเป็นส่วนตัว แบบเดียวกับโครงสร้างพื้นฐาน VPN สะท้อนแนวทางเดินหน้าสู่โครงสร้างพื้นฐานแบบไร้สถานะที่รันบน RAM

Encrypted DNS ก็เปลี่ยนมารันบน RAM

  • Mullvad เพิ่งเสร็จสิ้นการย้ายระบบเพื่อลบร่องรอยจากดิสก์ที่ใช้งานในโครงสร้างพื้นฐาน VPN
  • จากการเปลี่ยนแปลงครั้งนี้ บริการ Encrypted DNS ก็ถูกปรับให้รันบน RAM ด้วย
  • นี่เป็นขั้นถัดไปของ Mullvad ในการเดินหน้าใช้ โครงสร้างพื้นฐานแบบไร้สถานะ ที่ทำงานบน RAM

วิธีเข้ารหัสคำขอ DNS

  • Encrypted DNS เป็นที่รู้จักในชื่อ DNS over TLS และ DNS over HTTPS
  • เมื่อไม่ได้เชื่อมต่อกับบริการ VPN ระบบจะเข้ารหัสคำขอ DNS ระหว่างอุปกรณ์กับเซิร์ฟเวอร์ Mullvad DNS
  • วิธีนี้ใช้เพื่อป้องกันไม่ให้บุคคลที่สามแอบดูคำขอ DNS ได้

กลุ่มผู้ใช้เป้าหมายและข้อจำกัดในการใช้งานจริง

  • บริการนี้มีไว้ใช้เป็นหลักในกรณีที่ไม่ได้เชื่อมต่อกับเซิร์ฟเวอร์ Mullvad VPN
  • ใช้งานได้ ฟรีทั้งหมด ไม่ว่าจะเป็นลูกค้าแบบชำระเงินหรือไม่ก็ตาม
  • ใครก็ตามที่ต้องการบริการ Encrypted DNS ที่เชื่อถือได้และผ่านการตรวจสอบ พร้อม การบล็อกเนื้อหาแบบเลือกได้ ก็สามารถใช้งานได้
  • ให้บริการผ่านเซิร์ฟเวอร์ที่ตั้งอยู่ทั่วโลก และตั้งค่าได้ด้วย คู่มือการตั้งค่า บนเว็บไซต์ Mullvad
  • แม้จะใช้ร่วมกับบริการ VPN ได้ แต่จะช้ากว่าการใช้ DNS resolver ของเซิร์ฟเวอร์ VPN ที่เชื่อมต่ออยู่เสมอ จึงไม่แนะนำ

การตั้งค่าความปลอดภัยให้สอดคล้องกับโครงสร้างพื้นฐาน VPN

  • เซิร์ฟเวอร์ Encrypted DNS ทั้งหมดตั้งค่าด้วย Linux kernel แบบเดียวกับโครงสร้างพื้นฐาน VPN
  • ระดับความปลอดภัยและความเป็นส่วนตัวก็ถูกปรับให้เทียบเท่ากับโครงสร้างพื้นฐาน VPN

1 ความคิดเห็น

 
GN⁺ 2023-11-11
ความคิดเห็นบน Hacker News
  • DNS แบบเข้ารหัสของ Mullvad เปิดให้ทุกคนใช้ได้ ไม่ว่าจะเป็นผู้ใช้ VPN แบบชำระเงินหรือไม่ก็ตาม
    นอกจากนี้ยังรองรับ การบล็อกเนื้อหา แบบเลือกได้ผ่านรายการบล็อกด้วย ดังนั้นแค่ตั้งค่าเซิร์ฟเวอร์ DNS ผ่าน TLS/HTTPS ที่ต้องการก็พอ
    [1] https://github.com/mullvad/dns-blocklists

    • หมายเหตุ: โปรไฟล์ DNS แบบเข้ารหัสแบบสแตนด์อโลนสำหรับ macOS (ไฟล์ .mobileconfig) จะไม่ทำงานหากใช้ Little Snitch หรือ Lulu เพื่อบล็อกทราฟฟิกเครือข่ายที่ไม่ต้องการ
      นี่เป็นข้อจำกัดของ macOS ที่ Apple ยังไม่ได้แก้ไข
    • ยังไม่ค่อยเข้าใจ โมเดลภัยคุกคาม ของ DNS แบบเข้ารหัส
      ถ้าจะเข้าถึงเว็บไซต์ใดเว็บไซต์หนึ่ง ก็ต้องใช้ DNS เพื่อหา IP อยู่ดี และ ISP หรือผู้ให้บริการ VPN ก็เห็นได้ว่าฉันกำลังเชื่อมต่อไปยัง IP นั้น ไม่ว่าจะเป็นการค้นหาเมื่อกี้หรือเป็นข้อมูลที่รู้อยู่แล้ว
      ถ้าไม่ใช่โมเดลที่ว่าแม้ใช้ VPN แล้ว DNS ยังรั่วไปยังผู้ให้บริการรายอื่นที่เก็บล็อก ก็ยังไม่ค่อยเข้าใจว่าทำไมถึงจำเป็น
  • สงสัยว่านี่เป็น เซิร์ฟเวอร์จริง หรือ VM
    VM บางประเภทสามารถถูกหยุดชั่วคราว ทำสแนปช็อต โคลน หรือทำสำเนาแบบเรียลไทม์รวมถึงเนื้อหาในหน่วยความจำได้ เช่นเพื่อปฏิบัติตามคำขอทางกฎหมาย และบนโฮสต์แบบ bare metal ก็สามารถเข้าถึงภายใน VM หรือคอนเทนเนอร์ได้
    สงสัยว่ามีการเปิดเผยผังโครงสร้างทางกายภาพไว้หรือไม่
    ถ้ามีสถาปนิกของ Mullvad อยู่ด้วย ก็หวังว่าจะช่วยไม่ให้เรื่องนี้ไหลไปสู่สมมติฐานเชิงทฤษฎีและชั้นเต่าซ้อนเต่าไม่รู้จบ

    • Mullvad ผลักดัน System Transparency อย่างมาก และนี่เป็นระบบความปลอดภัยที่ออกแบบมาโดยเฉพาะสำหรับ bare metal ดังนั้นดูค่อนข้างปลอดภัยที่จะมองว่าเป็นแบบ bare metal
      https://www.system-transparency.org
    • แม้แต่เซิร์ฟเวอร์จริงก็สามารถถูก แช่แข็ง แล้วดึงข้อมูลจาก RAM ออกมาได้ตามตัวอักษร
    • ลองคิดต่อแล้ว VM ก็ไม่ได้จำเป็นเสมอไป
      มีเครื่องมือที่ใช้ eBPF เพื่อดึงสตรีมข้อมูลเมื่อมีคำขอ ตามพารามิเตอร์บางอย่างได้
      เครื่องมืออย่าง Sysdig/Falco ก็อาจทำได้เช่นกัน และคงมีประโยชน์ถ้ารู้ว่าพวกเขาคอมไพล์เคอร์เนลเองเพื่อปิด eBPF หรือทำการ hardening เคอร์เนลเพิ่มเติมเพื่อลบหรือปิดฟีเจอร์ดีบักเมื่อมีคำขอหรือไม่
    • แก้ได้โดยแจกจ่ายซอฟต์แวร์ที่ตัดฟีเจอร์หยุด VM ชั่วคราวออกไป หรือทำให้เซิร์ฟเวอร์ bare metal ถอดดิสก์ออกแล้วให้ บูตผ่าน PXE เท่านั้น
      แบบนั้นก็จะไม่มีสิ่งให้หยุดชั่วคราว
    • ถ้าถามคำถามแบบนี้อยู่ ก็น่าจะต้อง โฮสต์ VPN เอง แล้วล่ะ
  • ในฐานะคนนอกที่ไม่ประสีประสา อยากรู้ว่า RAM ในปี 2023 เข้ารหัสเนื้อหาทั้งหมดหรือไม่
    สงสัยว่าสามารถปิดเครื่องแล้วทำให้คีย์เข้ารหัสบางอย่างที่อยู่ในหน่วยความจำที่เล็กกว่าและระเหยง่ายกว่าหายไป เพื่อให้เนื้อหาใน RAM ถูกลืมอย่างน่าเชื่อถือได้หรือไม่
    ยังสงสัยด้วยว่ามีการทำอะไรเพื่อลดผลกระทบจากการโจมตี cold boot ต่อ RAM บ้าง ฮาร์ดแวร์เปลี่ยนไปอย่างไร และคีย์เข้ารหัสเนื้อหา RAM ถูกเก็บไว้ในที่อย่าง TPM หรือไม่

    • ในกรณีนี้ แก่นของการรันจาก RAM น่าจะอยู่ที่การ ไม่มีสตอเรจแบบไม่ลบเลือน
      แน่นอนว่าถ้าเซิร์ฟเวอร์ถูกบุกรุกทางกายภาพก็อาจเกิดเรื่องเลวร้ายได้ แต่เพราะไม่มีพื้นที่ให้เก็บมัลแวร์ถาวร และไม่สามารถทิ้งล็อกไว้ในสตอเรจภายในเครื่องได้ไม่ว่าจะโดยพลาดหรือจงใจ จึงยากขึ้นที่จะยึดครองเซิร์ฟเวอร์อย่างต่อเนื่อง
      การเข้ารหัสเนื้อหา RAM อาจเพิ่มการป้องกันได้ แต่ถ้านำไปใช้ถูกต้อง สิ่งที่เหลืออยู่ใน RAM ในทางปฏิบัติน่าจะน่าสนใจกว่าสิ่งที่มองเห็นได้บนสายเครือข่ายเพียงเล็กน้อยเท่านั้น
      อย่างมากก็คงเห็นข้อมูลคำขอที่กำลังใช้งานอยู่ในปริมาณเล็กมาก แต่นี่เป็นเพียงการคาดเดา
    • AMD มีการเข้ารหัส RAM ใน CPU เซิร์ฟเวอร์ Threadripper และ Ryzen PRO สำหรับเวิร์กสเตชัน/แล็ปท็อป ต้องเปิดใน BIOS
      https://www.amd.com/system/files/documents/amd-memory-guard-...
      https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • ไม่ อย่างน้อยก็ไม่เสถียรพอ เพราะวิธีที่คีย์ถูกเก็บไว้ใน RAM ด้วย เช่นตอนอยู่ในโหมดสแตนด์บายหรือแค่ปิดฝาแล็ปท็อป
      มี แฟล็กรีบูต EFI ที่แก้ให้บังคับล้าง RAM ในการบูตครั้งถัดไปได้ แต่โดยทั่วไปจะถูกปิดไว้
      [1] https://en.wikipedia.org/wiki/Cold_boot_attack บน Windows ยังใช้ได้อยู่เพราะ BitLocker
      [2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
    • นั่นไม่ใช่สิ่งที่ Intel TME ทำอยู่หรือ?
  • ลองสอบถาม Mullvad แล้ว พวกเขายืนยันว่า ใช้เฉพาะ bare metal และไม่ได้ใช้ virtualization หรือ containerization เลย
    https://ibb.co/XLDQGGt

  • ใช้ DoH DNS ของ Cloudflare (https://1.1.1.1) แล้ว tunnel มันผ่าน Mullvad VPN
    แบบนี้ Mullvad จะเห็นแค่ IP ที่ฉันไปเยือน ส่วน Cloudflare จะเห็นแค่คำขอ DNS ที่มาจาก IP ของ VPN และ ISP จะไม่เห็นอะไรเลย
    DoH DNS ของ Mullvad ก็ดูดี แต่คิดว่าจะไม่ใช้ เพราะอาจมี ความเป็นส่วนตัวน้อยกว่า วิธีข้างต้น

    • น่าเสียดาย ถ้า Mullvad ต้องการ ก็สามารถเห็น SNI ของการเชื่อมต่อ TLS ทั้งหมดได้ ECH ยังไม่ได้อยู่ในขั้นที่ใช้งานกันจริงอย่างเหมาะสม
    • ดูเหมือนว่าไม่แนะนำให้ใช้ DNS อื่นเมื่อใช้ Mullvad เพราะจะทำให้ ระบุตัวตนได้ง่ายขึ้น
  • อยากเห็นสถิติจริง ๆ แต่จากสัญชาตญาณของคนที่เคยรันแอปพลิเคชันข้อมูลที่อ่าน/เขียนหนัก ๆ ด้วย SSD และ ECC RAM ทั้งคู่ก็เสียบ่อยพอสมควร จนในแง่ ความทนทานต่อความล้มเหลว การเปลี่ยนครั้งนี้ให้ความรู้สึกแทบจะเป็นการอัปเกรดแบบข้าง ๆ มากกว่า
    แต่ความพยายามที่จะรีดประสิทธิภาพล้วน ๆ เพิ่มขึ้นแม้สักไม่กี่เปอร์เซ็นต์ก็น่าปรบมือให้ น่าจะเป็นโปรเจกต์ Redis ที่น่าสนุก

    • ประเด็นหลักไม่ใช่เรื่องนั้น Mullvad สัญญาว่าจะไม่เก็บ log และวิธีที่ดีที่สุดในการแสดงให้เห็นก็คือ ไม่มีสตอเรจถาวรอยู่บนเซิร์ฟเวอร์เลย
      น่าจะบูตผ่านเครือข่ายจากอิมเมจแบบอ่านอย่างเดียว
      พวกเขาทำแบบนี้กับเซิร์ฟเวอร์ VPN อยู่แล้ว และตอนนี้กำลังใช้กลยุทธ์เดียวกันกับเซิร์ฟเวอร์ DNS
    • เคยเห็น ECC เสียบ่อยขนาดนั้นเลยหรือ? ฝั่งเราแบนด์วิดท์ไม่ได้มหาศาลมาก แต่ ECC RAM เสถียรจนน่าเหลือเชื่อ
      อยากรู้ว่ามี datasheet อะไรที่แสดงอัตราความเสียหายไหม
  • ผมพอใจมากกับทุกอย่างที่ Mullvad ทำมา แต่ก็เสียดายเมื่อพวกเขาประกาศว่าจะเลิก port forwarding ซึ่งเป็นส่วนสำคัญสำหรับบางส่วนเฉพาะของคอนฟิกผม
    เข้าใจเหตุผลนะ แต่ถ้าวันหนึ่งกลับมาให้บริการอีก ผมก็ยินดีกลับไปเป็นลูกค้าอีกครั้ง

    • ผมเข้าใจว่า VPN port forwarding โดยพื้นฐานก็แทบไม่ต่างจากป้าย “ยินดีต้อนรับผู้ปฏิบัติการบอตเน็ต
      สำหรับ Mullvad ข้อดีของการปิดมันมีมากกว่าข้อเสีย
  • มีใครรู้ไหมว่าความปลอดภัยของ Mullvad VPN เมื่อเทียบกับ Proton VPN เป็นอย่างไร?

    • ถ้าต้องการความเป็นส่วนตัว Mullvad แทบจะเป็นตัวเลือกอันดับแรก
      พวกเขามีประวัติที่ต้านทานคำขอจากหน่วยงานบังคับใช้กฎหมายได้ เพราะไม่มีอะไรให้ส่งมอบจริง ๆ
      ทุกอย่างรันอยู่ใน RAM และหายไปทันทีที่เซิร์ฟเวอร์ปิด ไม่เก็บอะไรไว้จริง ๆ
      คุณยังส่งเงินสดทางไปรษณีย์หรือซื้อบัญชี Mullvad ด้วยคริปโทเคอร์เรนซีได้ด้วย ไม่จำเป็นต้องสร้างบัญชีด้วยอีเมลหรืออะไรทำนองนั้น
    • “ในเดือนเมษายน 2019 ในคดีที่มีพฤติการณ์อาชญากรรมชัดเจน ตามคำสั่งของฝ่ายตุลาการสวิตเซอร์แลนด์ เราได้เปิดใช้ การบันทึก IP สำหรับบัญชีผู้ใช้บางรายที่เกี่ยวข้องกับกิจกรรมผิดกฎหมายซึ่งละเมิดกฎหมายสวิตเซอร์แลนด์
      ตามกฎหมายสวิตเซอร์แลนด์ ผู้ใช้รายดังกล่าวจะได้รับการแจ้งเตือนและมีโอกาสโต้แย้งในศาลก่อนที่ข้อมูลจะถูกใช้ในกระบวนการอาญา”
    • VPN ไม่ได้ให้ ความปลอดภัย
      สิ่งที่ VPN ทำคือช่วยเลี่ยงการบล็อกตามภูมิภาค และอาจช่วยกันไม่ให้ได้รับหนังสือแจ้ง DMCA ตอนดาวน์โหลดคอนเทนต์ละเมิดลิขสิทธิ์ได้ประมาณนั้น
  • ผู้ให้บริการ VPN อย่าง OVPN (ovpn.com) ก็ใช้วิธีนี้อยู่เหมือนกัน