2 điểm bởi GN⁺ 2023-11-11 | 1 bình luận | Chia sẻ qua WhatsApp
  • Mullvad đã chuyển cả dịch vụ DNS mã hóa riêng sang vận hành trên RAM, sau khi loại bỏ dấu vết trên đĩa khỏi hạ tầng VPN
  • Mã hóa truy vấn DNS trên các thiết bị không kết nối VPN, khiến bên thứ ba khó theo dõi nội dung tra cứu giữa thiết bị và máy chủ DNS của Mullvad
  • Dịch vụ này có thể dùng miễn phí kể cả khi không phải khách hàng trả phí, dành cho những ai muốn dùng DNS đã được kiểm toán cùng chặn nội dung tùy chọn
  • Cung cấp máy chủ toàn cầu và hướng dẫn cấu hình, nhưng không được khuyến nghị khi dùng cùng VPN vì luôn chậm hơn bộ phân giải DNS của máy chủ VPN đang kết nối
  • Máy chủ Encrypted DNS cũng dùng cùng nhân Linux và các thiết lập bảo mật và quyền riêng tư như hạ tầng VPN, tiếp tục định hướng vận hành hạ tầng không trạng thái trên RAM

Encrypted DNS cũng chuyển sang nền tảng RAM

  • Mullvad gần đây đã hoàn tất quá trình di trú để loại bỏ dấu vết trên đĩa đang được sử dụng trong hạ tầng VPN
  • Với lần chuyển đổi này, dịch vụ Encrypted DNS cũng được thay đổi để chạy trên RAM
  • Đây là bước tiếp theo trong nỗ lực của Mullvad nhằm vận hành hạ tầng không trạng thái trên RAM

Cách mã hóa truy vấn DNS

  • Encrypted DNS còn được biết đến với tên DNS over TLSDNS over HTTPS
  • Khi không kết nối tới dịch vụ VPN, nó mã hóa các truy vấn DNS giữa thiết bị và máy chủ DNS của Mullvad
  • Cách này được dùng để ngăn bên thứ ba nghe lén các truy vấn DNS

Đối tượng sử dụng và các giới hạn thực tế

  • Dịch vụ này chủ yếu được dùng khi không kết nối tới máy chủ Mullvad VPN
  • Có thể sử dụng hoàn toàn miễn phí bất kể có phải khách hàng trả phí hay không
  • Bất kỳ ai muốn dùng dịch vụ Encrypted DNS đáng tin cậy, đã được kiểm toán và chặn nội dung tùy chọn đều có thể sử dụng
  • Dịch vụ được cung cấp từ các máy chủ đặt trên toàn thế giới và có thể cấu hình bằng hướng dẫn thiết lập trên website của Mullvad
  • Có thể dùng cùng dịch vụ VPN, nhưng không được khuyến nghị vì luôn chậm hơn so với việc dùng bộ phân giải DNS của máy chủ VPN đang kết nối

Cấu hình bảo mật đồng bộ với hạ tầng VPN

  • Tất cả máy chủ Encrypted DNS đều được cấu hình với cùng nhân Linux như hạ tầng VPN
  • Mức độ bảo mật và quyền riêng tư cũng được căn chỉnh giống hệt hạ tầng VPN

1 bình luận

 
GN⁺ 2023-11-11
Ý kiến trên Hacker News
  • DNS mã hóa của Mullvad có thể được bất kỳ ai sử dụng, bất kể có dùng VPN trả phí hay không
    Ngoài ra còn hỗ trợ chặn nội dung tùy chọn thông qua danh sách chặn, nên chỉ cần thiết lập máy chủ DNS TLS/HTTPS mong muốn là được
    [1] https://github.com/mullvad/dns-blocklists

    • Lưu ý rằng profile DNS mã hóa độc lập cho macOS (tệp .mobileconfig) sẽ không hoạt động nếu bạn dùng Little Snitch hoặc Lulu để chặn lưu lượng mạng không mong muốn
      Đây là một hạn chế của macOS mà Apple vẫn chưa sửa
    • Tôi không rõ mô hình đe dọa của DNS mã hóa là gì
      Để truy cập một trang web nào đó thì phải lấy IP qua DNS, và ISP hoặc nhà cung cấp VPN có thể thấy việc tôi kết nối tới IP đó, dù họ vừa tra cứu hay đã biết từ trước
      Trừ khi mô hình là dùng VPN nhưng DNS lại bị rò rỉ sang một bên nào đó có ghi log, tôi không hiểu rõ vì sao cần thứ này
  • Tôi tò mò đây là máy chủ vật lý hay VM
    Một số loại VM có thể bị tạm dừng, snapshot, sao chép, sao chép thời gian thực, bao gồm cả nội dung bộ nhớ, chẳng hạn để đáp ứng yêu cầu hợp pháp; còn trên host bare metal thì có thể truy cập vào bên trong VM hoặc container
    Không biết có sơ đồ cấu hình vật lý nào được công bố không
    Nếu có kiến trúc sư của Mullvad ở đây, mong họ giúp tránh sa vào các giả định lý thuyết và một chồng “rùa đội rùa” vô tận

    • Mullvad thúc đẩy System Transparency khá nhiều, và đây là hệ thống bảo mật được thiết kế riêng cho bare metal, nên có vẻ khá an toàn khi cho rằng nó dựa trên bare metal
      https://www.system-transparency.org
    • Máy chủ vật lý cũng có thể bị đóng băng theo đúng nghĩa đen để trích xuất dữ liệu từ RAM
    • Nghĩ thêm thì VM không hẳn là điều cần thiết
      Có các công cụ dùng eBPF để trích xuất luồng dữ liệu khi có yêu cầu, dựa trên những tham số cụ thể
      Các công cụ như Sysdig/Falco cũng có thể làm được; sẽ hữu ích nếu biết họ có tự biên dịch kernel để vô hiệu hóa eBPF hay không, và có thực hiện thêm các biện pháp gia cố kernel để gỡ bỏ hoặc tắt tính năng debug khi có yêu cầu hay không
    • Có thể giải quyết bằng cách triển khai với phần mềm đã loại bỏ tính năng tạm dừng VM, hoặc rút ổ đĩa khỏi máy chủ bare metal và chỉ cho khởi động PXE
      Khi đó sẽ không còn đối tượng nào để tạm dừng nữa
    • Nếu đang đặt những câu hỏi kiểu này thì có lẽ bạn nên tự host VPN của mình
  • Với tư cách một người ngoài cuộc ngây thơ, tôi tò mò liệu RAM năm 2023 có mã hóa toàn bộ nội dung không?
    Tôi muốn biết liệu có thể tắt nguồn để một khóa mã hóa nào đó nằm trong loại bộ nhớ nhỏ hơn và dễ bay hơi hơn biến mất, từ đó khiến nội dung RAM bị quên đi một cách đáng tin cậy hay không
    Tôi cũng tò mò đã có những gì để giảm thiểu tấn công cold boot vào RAM, phần cứng đã thay đổi ra sao, và liệu khóa mã hóa nội dung RAM có được lưu ở nơi như TPM không

    • Trong trường hợp này, điểm cốt lõi của việc chạy trong RAM có vẻ là không có bộ lưu trữ bất biến
      Tất nhiên nếu máy chủ bị xâm phạm vật lý thì chuyện xấu vẫn có thể xảy ra, nhưng vì không có chỗ lưu mã độc lâu dài và cũng không thể để lại log trên lưu trữ cục bộ dù do nhầm lẫn hay cố ý, nên việc chiếm quyền máy chủ một cách dai dẳng sẽ khó hơn
      Mã hóa nội dung RAM có thể mang lại lớp bảo vệ bổ sung, nhưng nếu được triển khai đúng, những gì còn trong RAM nhiều khả năng chỉ thú vị hơn rất ít so với những gì có thể nhìn thấy trên đường truyền mạng
      Nhiều lắm có lẽ chỉ thấy được một lượng cực nhỏ dữ liệu yêu cầu đang hoạt động, nhưng đó chỉ là suy đoán
    • AMD cung cấp mã hóa RAM trên CPU máy chủ Threadripper và Ryzen PRO cho workstation/laptop. Cần bật trong BIOS
      https://www.amd.com/system/files/documents/amd-memory-guard-...
      https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • Không. Ít nhất là không đáng tin cậy. Lý do là cách khóa cũng được lưu trong RAM. Ví dụ như khi ở chế độ chờ hoặc chỉ đóng nắp laptop
      Cũng có cờ khởi động lại EFI có thể sửa để buộc xóa RAM ở lần khởi động tiếp theo, nhưng thường bị vô hiệu hóa
      [1] https://en.wikipedia.org/wiki/Cold_boot_attack Trên Windows, nhờ BitLocker mà cách này vẫn còn hoạt động
      [2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
    • Chẳng phải đó là việc Intel TME làm sao?
  • Tôi đã hỏi Mullvad và họ xác nhận rằng họ chỉ dùng bare metal, hoàn toàn không dùng ảo hóa hay container hóa
    https://ibb.co/XLDQGGt

  • Tôi dùng DoH DNS của Cloudflare (https://1.1.1.1) và tunnel nó qua Mullvad VPN
    Làm vậy thì Mullvad chỉ thấy các IP tôi truy cập, Cloudflare chỉ thấy các truy vấn DNS đến từ IP VPN, còn ISP thì không thấy gì
    DoH DNS của Mullvad cũng có vẻ tốt, nhưng có thể kém riêng tư hơn cách trên nên tôi không định dùng

    • Đáng tiếc là nếu Mullvad muốn, họ có thể thấy SNI của mọi kết nối TLS. ECH vẫn chưa ở giai đoạn được dùng đúng nghĩa
    • Có vẻ không được khuyến nghị dùng DNS khác trên Mullvad. Làm vậy sẽ khiến bạn dễ bị nhận diện hơn
  • Tôi muốn xem số liệu thống kê thực tế, nhưng theo trực giác từ việc từng vận hành các ứng dụng dữ liệu nặng đọc/ghi bằng SSD và ECC RAM, cả hai đều hỏng đủ thường xuyên, nên về mặt khả năng phục hồi thì thay đổi này gần như chỉ giống một bước đi ngang
    Tuy vậy, nỗ lực vắt thêm dù chỉ vài phần trăm hiệu năng thuần túy cũng đáng được hoan nghênh. Có vẻ sẽ là một dự án Redis thú vị

    • Trọng tâm không phải ở đó. Mullvad hứa không lưu log, và cách tốt nhất để thể hiện điều đó là không đặt bộ lưu trữ cố định trên máy chủ
      Có lẽ họ sẽ khởi động qua mạng bằng image chỉ đọc
      Họ đã làm như vậy với máy chủ VPN, và giờ đang áp dụng cùng chiến lược đó cho máy chủ DNS
    • Bạn đã thấy ECC hỏng thường xuyên đến mức đó sao? Phía chúng tôi không có băng thông quá lớn, nhưng ECC RAM ổn định đến mức khó tin
      Tôi tò mò không biết có datasheet nào cho thấy tỷ lệ hỏng hóc không
  • Tôi từng rất hài lòng với mọi thứ Mullvad làm, nhưng đã thấy tiếc khi họ thông báo ngừng port forwarding, một phần quan trọng trong một cấu hình đặc thù của tôi
    Tôi hiểu lý do, nhưng nếu một ngày nào đó họ cung cấp lại, tôi sẵn sàng quay lại làm khách hàng

    • Theo tôi hiểu, port forwarding cho VPN về cơ bản chẳng khác gì tấm biển “chào mừng nhà điều hành botnet
      Với Mullvad, lợi ích của việc tắt nó lớn hơn nhược điểm
  • Có ai biết bảo mật của Mullvad VPN so với Proton VPN thế nào không?

    • Khi muốn quyền riêng tư, Mullvad gần như là lựa chọn số 1
      Họ có lịch sử chống lại yêu cầu từ cơ quan thực thi pháp luật, vì thực tế họ chẳng có gì để giao nộp
      Mọi thứ chạy trên RAM và biến mất ngay khi máy chủ tắt, họ thực sự không lưu bất cứ thứ gì
      Bạn cũng có thể gửi tiền mặt qua bưu điện hoặc mua tài khoản Mullvad bằng tiền mã hóa. Thậm chí không cần tạo tài khoản bằng địa chỉ email hay gì tương tự
    • “Tháng 4 năm 2019, trong một vụ việc có hành vi phạm tội rõ ràng, theo lệnh của cơ quan tư pháp Thụy Sĩ, chúng tôi đã bật ghi log IP đối với một tài khoản người dùng cụ thể có liên quan đến hoạt động bất hợp pháp vi phạm luật Thụy Sĩ
      Theo luật Thụy Sĩ, người dùng đó được thông báo trước khi dữ liệu được sử dụng trong thủ tục hình sự và được trao cơ hội phản biện tại tòa”
    • VPN không cung cấp bảo mật
      Những gì VPN làm chỉ là vượt chặn theo địa lý, và có thể giúp bạn tránh thông báo DMCA khi tải nội dung vi phạm bản quyền
  • Nhà cung cấp VPN OVPN (ovpn.com) cũng đang làm theo cách này