- Mullvad, VPN altyapısındaki disk izlerini kaldırdıktan sonra ayrı Encrypted DNS hizmetini de RAM tabanlı çalışmaya taşıdı
- VPN’e bağlı olmayan cihazlarda DNS sorgularını şifreleyerek, cihaz ile Mullvad DNS sunucuları arasındaki sorgu içeriğinin üçüncü taraflarca gözetlenmesini zorlaştırıyor
- Bu hizmet, ücretli müşteri olmayanlar tarafından da ücretsiz kullanılabiliyor; denetlenmiş DNS ve isteğe bağlı içerik engelleme isteyen kullanıcılara yönelik
- Dünya genelinde sunucular ve kurulum kılavuzları sunuyor; ancak VPN ile birlikte kullanıldığında, bağlı olunan VPN sunucusunun DNS çözümleyicisinden her zaman daha yavaş olduğu için önerilmiyor
- Encrypted DNS sunucuları da VPN altyapısıyla aynı Linux çekirdeğini ve güvenlik·gizlilik ayarlarını kullanarak, durumsuz altyapıyı RAM’de işletme yönündeki yaklaşımı sürdürüyor
Encrypted DNS de RAM tabanlı çalışmaya geçiyor
- Mullvad kısa süre önce VPN altyapısında kullanılan disk izlerini kaldırmaya yönelik geçişi tamamladı
- Bu geçişle birlikte Encrypted DNS hizmeti de RAM’de çalışacak şekilde değişti
- Bu, Mullvad’ın durumsuz altyapıyı RAM’de işletme hedefindeki bir sonraki adım niteliğinde
DNS sorgularını şifreleme yöntemi
- Encrypted DNS, DNS over TLS ve DNS over HTTPS olarak da biliniyor
- VPN hizmetine bağlı olmadığınızda, cihaz ile Mullvad DNS sunucuları arasındaki DNS sorgularını şifreler
- Bu yöntem, üçüncü tarafların DNS sorgularını gözetlemesini engellemek için kullanılır
Kullanım kitlesi ve pratik sınırlamalar
- Bu hizmet esas olarak Mullvad VPN sunucusuna bağlı değilken kullanılmak üzere tasarlanmıştır
- Ücretli müşteri olup olmamanızdan bağımsız olarak tamamen ücretsiz kullanılabilir
- Güvenilir ve denetlenmiş bir Encrypted DNS hizmeti ile isteğe bağlı içerik engelleme isteyen herkes kullanabilir
- Dünya genelindeki sunucularda sunulur ve Mullvad web sitesindeki kurulum kılavuzu ile yapılandırılabilir
- VPN hizmetiyle birlikte de kullanılabilir, ancak bağlı olunan VPN sunucusunun DNS çözümleyicisini kullanmaktan her zaman daha yavaş olduğu için önerilmez
VPN altyapısıyla uyumlu güvenlik yapılandırması
- Tüm Encrypted DNS sunucuları, VPN altyapısıyla aynı Linux çekirdeği ile yapılandırılmıştır
- Güvenlik ve gizlilik düzeyi de VPN altyapısıyla aynı seviyeye getirilmiştir
1 yorum
Hacker News yorumları
Mullvad'ın şifreli DNS hizmeti, VPN'e ücretli abone olup olmamasından bağımsız olarak herkes tarafından kullanılabiliyor
Ayrıca engelleme listeleriyle isteğe bağlı içerik engelleme desteği de var; istediğiniz TLS/HTTPS DNS sunucusunu ayarlamanız yeterli
[1] https://github.com/mullvad/dns-blocklists
.mobileconfigdosyaları), istenmeyen ağ trafiğini engellemek için Little Snitch veya Lulu kullanıyorsanız çalışmıyorBu, Apple'ın düzeltmediği bir macOS kısıtlaması
Bir siteye bağlanmak için DNS üzerinden IP almanız gerekiyor; ISP veya VPN sağlayıcısı da o IP'ye bağlandığımı görebiliyor, ister az önce sorgulamış olayım ister zaten biliyor olsun
VPN kullanırken DNS'in, başka birinin log tuttuğu bir yere sızması gibi bir model değilse, bunun neden gerekli olduğunu pek anlamıyorum
Bunun fiziksel sunucu mu yoksa VM mi olduğunu merak ediyorum
Bazı VM türleri, yasal taleplere yanıt verme gibi durumlarda bellek içeriği dahil durdurma, anlık görüntü alma, kopyalama ve canlı replikasyon yapmaya imkân verir; bare-metal hostlarda ise VM veya konteyner içlerine erişilebilir
Fiziksel mimari şemasını yayımladılar mı merak ediyorum
Burada bir Mullvad mimarı varsa, teorik varsayımlara ve sonsuz kaplumbağalar yığınına düşmememize yardımcı olmasını isterim
https://www.system-transparency.org
eBPF kullanarak belirli parametrelere göre istek anında veri akışını çıkarabilen araçlar var
Sysdig/Falco gibi araçlar da mümkün olabilir; eBPF'yi devre dışı bırakmak için kerneli kendileri derliyorlar mı, istek üzerine hata ayıklama özelliklerini kaldıran veya kapatan ek kernel sıkılaştırmaları yapıyorlar mı bilmek de faydalı olurdu
O zaman askıya alınacak bir şey kalmaz
Saf bir dış gözlemci olarak merak ediyorum: 2023'te RAM tüm içeriğini şifreliyor mu?
Gücü kesip daha küçük ve daha uçucu bir bellekteki bir şifreleme anahtarının kaybolmasını sağlayarak RAM içeriğinin güvenilir biçimde unutulup unutulamayacağını merak ediyorum
RAM'e yönelik cold boot saldırılarını azaltmak için neler yapıldı, donanımda neler değişti ve RAM içeriği şifreleme anahtarının TPM gibi bir yerde tutulup tutulmadığı da merak ettiğim konular
Elbette sunucu fiziksel olarak ele geçirilirse kötü şeyler olabilir; ancak kötü amaçlı yazılımı kalıcı olarak saklayacak bir alan yok ve ister yanlışlıkla ister kasıtlı olsun yerel depolamaya log yazılamıyor, bu yüzden sunucuyu kalıcı olarak ele geçirmek daha zorlaşıyor
RAM içeriğini şifrelemek ek koruma sağlayabilir; ama düzgün uygulanmışsa RAM'de kalanların, pratikte ağ hattında görülebileceklerden yalnızca çok az daha ilginç olması muhtemel
En fazla çok küçük miktarda aktif istek verisi görülebilir gibi geliyor; ama bu sadece tahmin
https://www.amd.com/system/files/documents/amd-memory-guard-...
https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
Bir sonraki açılışta RAM'i zorla temizleyecek şekilde düzeltilebilen bir EFI yeniden başlatma bayrağı da var, ancak genelde devre dışı
[1] https://en.wikipedia.org/wiki/Cold_boot_attack Windows'ta BitLocker sayesinde hâlâ işe yarıyor
[2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
Mullvad'a sordum; yalnızca bare metal kullandıklarını, sanallaştırma veya konteynerleştirme hiç kullanmadıklarını doğruladılar
https://ibb.co/XLDQGGt
Cloudflare'ın DoH DNS'ini (https://1.1.1.1) kullanıyorum ve bunu Mullvad VPN üzerinden tünelliyorum
Böylece Mullvad yalnızca ziyaret ettiğim IP'leri görebiliyor, Cloudflare ise VPN IP'sinden gelen DNS isteklerini görüyor; ISP ise hiçbir şey göremiyor
Mullvad'ın DoH DNS'i de iyi görünüyor ama yukarıdaki yöntemden daha az gizlilik sağlayabileceği için kullanmayı düşünmüyorum
Gerçek istatistikleri görmek isterdim ama SSD ve ECC RAM ile okuma/yazma yoğun veri uygulamaları çalıştırmış biri olarak içgüdüm, ikisinin de yeterince sık arızalandığı yönünde; bu yüzden dayanıklılık açısından bu değişiklik bana neredeyse yatay geçiş gibi geliyor
Yine de saf performansı birkaç puan bile daha artırma çabası takdire değer. İlginç bir Redis projesi olacak gibi
Muhtemelen salt okunur bir imajla ağdan önyükleme yapacaklar
VPN sunucularında bunu zaten yaptılar, şimdi aynı stratejiyi DNS sunucularına da uyguluyorlar
Arıza oranını gösteren veri sayfası gibi bir şey var mı merak ediyorum
Mullvad'ın yaptığı her şeyden çok memnundum, ama yapılandırmamın özel bir kısmı için önemli olan port yönlendirmeyi durduracaklarını duyurunca üzüldüm
Sebebini anlıyorum ama bir gün yeniden sunarlarsa memnuniyetle tekrar müşteri olurum
Mullvad açısından kapatmanın avantajları dezavantajlarından daha büyük
Mullvad VPN'in güvenliğinin Proton VPN ile karşılaştırınca nasıl olduğunu bilen var mı?
Kolluk kuvvetlerinin taleplerine karşı koymuş bir geçmişi var; çünkü gerçekten verebilecekleri bir şey yok
Her şey RAM üzerinde çalışıyor ve sunucu kapanır kapanmaz yok oluyor; gerçekten hiçbir şey saklamıyorlar
Mullvad hesabını postayla nakit göndererek ya da kripto para ile de satın alabilirsin. E-posta adresi gibi bir şeyle hesap oluşturman da gerekmiyor
İsviçre yasalarına göre söz konusu kullanıcı, veriler ceza yargılamasında kullanılmadan önce bilgilendirilir ve mahkemede buna itiraz etme fırsatı verilir”
VPN'in yaptığı şey coğrafi engelleri aşmak ve korsan içerik indirirken DMCA bildirimlerini engelleyebilmekten ibaret sayılır
VPN sağlayıcısı OVPN (ovpn.com) de bu yöntemi uyguluyor