ย้ายเซิร์ฟเวอร์ DNS แบบเข้ารหัสให้ทำงานบน RAM

 (mullvad.net)
2 คะแนน โดย GN⁺ 2023-11-11 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ย้ายเซิร์ฟเวอร์ DNS แบบเข้ารหัสของ Mullvad VPN ให้ทำงานบน RAM

  • Mullvad VPN ประกาศว่าได้เสร็จสิ้นการย้ายระบบเพื่อลบร่องรอยการใช้ดิสก์ออกจากโครงสร้างพื้นฐาน VPN ของตน
  • ล่าสุดยังประกาศเพิ่มเติมว่าได้เปลี่ยนมาให้บริการ DNS แบบเข้ารหัสทำงานบน RAM
  • DNS แบบเข้ารหัสช่วยปกป้อง DNS query จากการสอดส่องของบุคคลที่สามเมื่อไม่ได้เชื่อมต่อกับบริการ VPN

ให้บริการ DNS แบบเข้ารหัสฟรี

  • บริการ DNS แบบเข้ารหัสเป็นบริการที่ใช้งานได้ในขณะที่ไม่ได้เชื่อมต่อกับเซิร์ฟเวอร์ VPN และทุกคนสามารถใช้งานได้โดยไม่มีค่าใช้จ่าย
  • บริการนี้ให้บริการผ่านเซิร์ฟเวอร์ทั่วโลก และเป็นบริการ DNS แบบเข้ารหัสที่เชื่อถือได้ ผ่านการตรวจสอบแล้ว พร้อมฟีเจอร์บล็อกเนื้อหาแบบเลือกได้
  • แม้จะสามารถใช้ร่วมกับบริการ VPN ได้ แต่ไม่แนะนำ เพราะอาจช้ากว่าการใช้ DNS resolver ของเซิร์ฟเวอร์ VPN

ความปลอดภัยและความเป็นส่วนตัวของเซิร์ฟเวอร์ DNS แบบเข้ารหัส

  • เซิร์ฟเวอร์ DNS แบบเข้ารหัสทั้งหมดถูกตั้งค่าด้วย Linux kernel เดียวกับที่ใช้ในโครงสร้างพื้นฐาน VPN และให้ระดับความปลอดภัยและความเป็นส่วนตัวเทียบเท่ากัน
  • การตั้งค่าเซิร์ฟเวอร์ DNS ลักษณะนี้เป็นขั้นตอนถัดไปของการทำให้โครงสร้างพื้นฐานแบบ stateless ทำงานบน RAM

ความเห็นของ GN⁺

ประกาศล่าสุดของ Mullvad VPN ตอกย้ำความสำคัญของมาตรการความปลอดภัยที่ก้าวหน้าทางเทคนิค การให้บริการ DNS แบบเข้ารหัสทำงานบน RAM แทนดิสก์ช่วยเสริมการปกป้อง DNS query ของผู้ใช้ และอาจเพิ่มความเชื่อมั่นของผู้ใช้ต่อความปลอดภัยของข้อมูลและความเป็นส่วนตัวได้อย่างมาก การเปิดให้บริการนี้ฟรียังเป็นประโยชน์อย่างยิ่งต่อผู้ใช้ และเป็นตัวอย่างที่แสดงถึงความมุ่งมั่นของ Mullvad VPN ต่อความโปร่งใสและความเปิดกว้าง ซึ่งน่าจะเป็นเรื่องที่น่าสนใจสำหรับผู้ที่ใส่ใจเรื่องความเป็นส่วนตัว

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-11-11
ความคิดเห็นบน Hacker News
    • บริการ DNS แบบเข้ารหัสของ Mullvad เปิดให้ใช้ได้แม้กับผู้ใช้ที่ไม่ได้ซื้อบริการ VPN
    • นอกจากนี้ยังมีฟังก์ชันบล็อกลิสต์ที่รองรับการบล็อกเนื้อหาแบบเลือกได้ โดยตั้งค่าเซิร์ฟเวอร์ DNS ผ่าน TLS/HTTPS ตามต้องการ
    • [1] ลิงก์ GitHub ของบล็อกลิสต์ Mullvad DNS
    • สงสัยว่าเซิร์ฟเวอร์ของ Mullvad เป็นเซิร์ฟเวอร์จริงหรือเป็น virtual machine
    • virtual machine บางประเภทสามารถหยุดค้าง/สแนปช็อต/โคลน หรือทำ replication แบบสดได้ รวมถึงเนื้อหาในหน่วยความจำด้วย
    • ผู้ให้บริการ VPS บางรายทำสิ่งเหล่านี้ตามคำขอทางกฎหมาย
    • ถามว่ามีไดอะแกรมเกี่ยวกับการตั้งค่าเซิร์ฟเวอร์จริงหรือไม่ และสถาปนิกของ Mullvad จะช่วยให้เลี่ยงการตั้งสมมุติฐานในทางทฤษฎีได้หรือไม่
    • สงสัยว่า ณ ปี 2023 RAM เข้ารหัสข้อมูลทั้งหมดหรือไม่ และสามารถลืมเนื้อหาที่อยู่ใน RAM ได้หรือไม่
    • อยากรู้ว่ามีมาตรการใดบ้างเพื่อป้องกัน cold boot attack ต่อ RAM และฮาร์ดแวร์มีการเปลี่ยนแปลงอะไรบ้าง
    • รวมถึงถามว่าคีย์ที่ใช้เข้ารหัสเนื้อหาใน RAM ถูกเก็บไว้ใน TPM หรือไม่
    • ใช้ DoH DNS ของ Cloudflare (1.1.1.1) แล้วทำ tunneling ผ่าน VPN ของ Mullvad
    • ถ้าใช้วิธีนี้ Mullvad จะเห็นเพียง IP ที่เข้าเยี่ยมชม, Cloudflare จะเห็นแค่คำขอ DNS ที่มาจาก IP ของ VPN และ ISP จะไม่เห็นอะไรเลย
    • DoH DNS ของ Mullvad ก็ดี แต่ในแง่ความเป็นส่วนตัวอาจด้อยกว่าวิธีข้างต้น จึงคงไม่ใช้
    • พอใจมากจนกระทั่ง Mullvad ประกาศยุติ port forwarding
    • port forwarding สำคัญกับบางส่วนของการตั้งค่า แม้จะเข้าใจเหตุผล แต่ถ้านำกลับมาใช้อีกก็ยินดีกลับไปเป็นลูกค้าอีกครั้ง
    • Mullvad ประกาศว่าบริการ DNS แบบเข้ารหัสของตนได้เปลี่ยนมาให้รันบน RAM
    • แต่ไม่มีคำอธิบายว่าการที่บริการทำงานอยู่ที่อื่นซึ่งไม่ใช่ RAM หมายถึงอะไร หรือคำว่า "รันบน RAM" หมายถึงอะไรอย่างเจาะจง
    • ไบนารีที่รันได้ทั้งหมดจะถูกโหลดเข้า RAM ตามขั้นตอนมาตรฐานของระบบปฏิบัติการอยู่แล้ว
    • ผู้ให้บริการ VPN อย่าง OVPN (ovpn.com) ก็มีบริการลักษณะนี้เช่นกัน
    • แม้จะไม่มีสถิติจริง แต่จากประสบการณ์ในการรันแอปพลิเคชันข้อมูลที่อ่าน/เขียนหนักบน SSD และ ECC RAM รู้สึกว่าทั้งสองอย่างเสียบ่อยพอสมควร
    • ในแง่ความทนทาน การย้ายครั้งนี้อาจไม่ได้ดีขึ้นมากนัก แต่ก็ขอชื่นชมความพยายามในการรีดประสิทธิภาพให้สูงสุด
    • นี่น่าจะเป็นโปรเจกต์ Redis ที่น่าสนุก
    • สงสัยว่าความปลอดภัยของ Mullvad VPN เป็นอย่างไรเมื่อเทียบกับ Proton VPN
    • [ความคิดเห็นถูกลบ]