2 puan yazan GN⁺ 2023-11-11 | 1 yorum | WhatsApp'ta paylaş
  • Mullvad, VPN altyapısındaki disk izlerini kaldırdıktan sonra ayrı Encrypted DNS hizmetini de RAM tabanlı çalışmaya taşıdı
  • VPN’e bağlı olmayan cihazlarda DNS sorgularını şifreleyerek, cihaz ile Mullvad DNS sunucuları arasındaki sorgu içeriğinin üçüncü taraflarca gözetlenmesini zorlaştırıyor
  • Bu hizmet, ücretli müşteri olmayanlar tarafından da ücretsiz kullanılabiliyor; denetlenmiş DNS ve isteğe bağlı içerik engelleme isteyen kullanıcılara yönelik
  • Dünya genelinde sunucular ve kurulum kılavuzları sunuyor; ancak VPN ile birlikte kullanıldığında, bağlı olunan VPN sunucusunun DNS çözümleyicisinden her zaman daha yavaş olduğu için önerilmiyor
  • Encrypted DNS sunucuları da VPN altyapısıyla aynı Linux çekirdeğini ve güvenlik·gizlilik ayarlarını kullanarak, durumsuz altyapıyı RAM’de işletme yönündeki yaklaşımı sürdürüyor

Encrypted DNS de RAM tabanlı çalışmaya geçiyor

  • Mullvad kısa süre önce VPN altyapısında kullanılan disk izlerini kaldırmaya yönelik geçişi tamamladı
  • Bu geçişle birlikte Encrypted DNS hizmeti de RAM’de çalışacak şekilde değişti
  • Bu, Mullvad’ın durumsuz altyapıyı RAM’de işletme hedefindeki bir sonraki adım niteliğinde

DNS sorgularını şifreleme yöntemi

  • Encrypted DNS, DNS over TLS ve DNS over HTTPS olarak da biliniyor
  • VPN hizmetine bağlı olmadığınızda, cihaz ile Mullvad DNS sunucuları arasındaki DNS sorgularını şifreler
  • Bu yöntem, üçüncü tarafların DNS sorgularını gözetlemesini engellemek için kullanılır

Kullanım kitlesi ve pratik sınırlamalar

  • Bu hizmet esas olarak Mullvad VPN sunucusuna bağlı değilken kullanılmak üzere tasarlanmıştır
  • Ücretli müşteri olup olmamanızdan bağımsız olarak tamamen ücretsiz kullanılabilir
  • Güvenilir ve denetlenmiş bir Encrypted DNS hizmeti ile isteğe bağlı içerik engelleme isteyen herkes kullanabilir
  • Dünya genelindeki sunucularda sunulur ve Mullvad web sitesindeki kurulum kılavuzu ile yapılandırılabilir
  • VPN hizmetiyle birlikte de kullanılabilir, ancak bağlı olunan VPN sunucusunun DNS çözümleyicisini kullanmaktan her zaman daha yavaş olduğu için önerilmez

VPN altyapısıyla uyumlu güvenlik yapılandırması

  • Tüm Encrypted DNS sunucuları, VPN altyapısıyla aynı Linux çekirdeği ile yapılandırılmıştır
  • Güvenlik ve gizlilik düzeyi de VPN altyapısıyla aynı seviyeye getirilmiştir

1 yorum

 
GN⁺ 2023-11-11
Hacker News yorumları
  • Mullvad'ın şifreli DNS hizmeti, VPN'e ücretli abone olup olmamasından bağımsız olarak herkes tarafından kullanılabiliyor
    Ayrıca engelleme listeleriyle isteğe bağlı içerik engelleme desteği de var; istediğiniz TLS/HTTPS DNS sunucusunu ayarlamanız yeterli
    [1] https://github.com/mullvad/dns-blocklists

    • Not olarak, macOS için bağımsız şifreli DNS profilleri (.mobileconfig dosyaları), istenmeyen ağ trafiğini engellemek için Little Snitch veya Lulu kullanıyorsanız çalışmıyor
      Bu, Apple'ın düzeltmediği bir macOS kısıtlaması
    • Şifreli DNS'in tehdit modelini pek anlayamıyorum
      Bir siteye bağlanmak için DNS üzerinden IP almanız gerekiyor; ISP veya VPN sağlayıcısı da o IP'ye bağlandığımı görebiliyor, ister az önce sorgulamış olayım ister zaten biliyor olsun
      VPN kullanırken DNS'in, başka birinin log tuttuğu bir yere sızması gibi bir model değilse, bunun neden gerekli olduğunu pek anlamıyorum
  • Bunun fiziksel sunucu mu yoksa VM mi olduğunu merak ediyorum
    Bazı VM türleri, yasal taleplere yanıt verme gibi durumlarda bellek içeriği dahil durdurma, anlık görüntü alma, kopyalama ve canlı replikasyon yapmaya imkân verir; bare-metal hostlarda ise VM veya konteyner içlerine erişilebilir
    Fiziksel mimari şemasını yayımladılar mı merak ediyorum
    Burada bir Mullvad mimarı varsa, teorik varsayımlara ve sonsuz kaplumbağalar yığınına düşmememize yardımcı olmasını isterim

    • Mullvad System Transparency'yi epey öne çıkarıyor; bu da bare metal için özel olarak tasarlanmış bir güvenlik sistemi olduğundan, bare metal tabanlı olduğunu varsaymak epey güvenli görünüyor
      https://www.system-transparency.org
    • Fiziksel sunucular da kelimenin tam anlamıyla dondurularak RAM'den veri çıkarılabilir
    • Biraz daha düşününce VM şart değil
      eBPF kullanarak belirli parametrelere göre istek anında veri akışını çıkarabilen araçlar var
      Sysdig/Falco gibi araçlar da mümkün olabilir; eBPF'yi devre dışı bırakmak için kerneli kendileri derliyorlar mı, istek üzerine hata ayıklama özelliklerini kaldıran veya kapatan ek kernel sıkılaştırmaları yapıyorlar mı bilmek de faydalı olurdu
    • VM askıya alma özelliği kaldırılmış yazılımla dağıtılırsa ya da bare-metal sunucuda disk çıkarılıp yalnızca PXE boot yaptırılırsa bu çözülebilir
      O zaman askıya alınacak bir şey kalmaz
    • Bu soruları soruyorsanız muhtemelen VPN'i kendiniz barındırmanız gerekiyor
  • Saf bir dış gözlemci olarak merak ediyorum: 2023'te RAM tüm içeriğini şifreliyor mu?
    Gücü kesip daha küçük ve daha uçucu bir bellekteki bir şifreleme anahtarının kaybolmasını sağlayarak RAM içeriğinin güvenilir biçimde unutulup unutulamayacağını merak ediyorum
    RAM'e yönelik cold boot saldırılarını azaltmak için neler yapıldı, donanımda neler değişti ve RAM içeriği şifreleme anahtarının TPM gibi bir yerde tutulup tutulmadığı da merak ettiğim konular

    • Bu durumda RAM'den çalıştırmanın asıl noktası kalıcı depolama olmaması gibi görünüyor
      Elbette sunucu fiziksel olarak ele geçirilirse kötü şeyler olabilir; ancak kötü amaçlı yazılımı kalıcı olarak saklayacak bir alan yok ve ister yanlışlıkla ister kasıtlı olsun yerel depolamaya log yazılamıyor, bu yüzden sunucuyu kalıcı olarak ele geçirmek daha zorlaşıyor
      RAM içeriğini şifrelemek ek koruma sağlayabilir; ama düzgün uygulanmışsa RAM'de kalanların, pratikte ağ hattında görülebileceklerden yalnızca çok az daha ilginç olması muhtemel
      En fazla çok küçük miktarda aktif istek verisi görülebilir gibi geliyor; ama bu sadece tahmin
    • AMD, Threadripper sunucu CPU'larında ve iş istasyonu/dizüstü için Ryzen PRO modellerinde RAM şifreleme sunuyor. BIOS'tan açılması gerekiyor
      https://www.amd.com/system/files/documents/amd-memory-guard-...
      https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • Hayır. En azından güvenilir değil. Çünkü anahtar da RAM'de saklanıyor. Örneğin bekleme modunda ya da yalnızca dizüstü kapağı kapalıyken böyle
      Bir sonraki açılışta RAM'i zorla temizleyecek şekilde düzeltilebilen bir EFI yeniden başlatma bayrağı da var, ancak genelde devre dışı
      [1] https://en.wikipedia.org/wiki/Cold_boot_attack Windows'ta BitLocker sayesinde hâlâ işe yarıyor
      [2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
    • Bunu yapan şey Intel TME değil mi?
  • Mullvad'a sordum; yalnızca bare metal kullandıklarını, sanallaştırma veya konteynerleştirme hiç kullanmadıklarını doğruladılar
    https://ibb.co/XLDQGGt

  • Cloudflare'ın DoH DNS'ini (https://1.1.1.1) kullanıyorum ve bunu Mullvad VPN üzerinden tünelliyorum
    Böylece Mullvad yalnızca ziyaret ettiğim IP'leri görebiliyor, Cloudflare ise VPN IP'sinden gelen DNS isteklerini görüyor; ISP ise hiçbir şey göremiyor
    Mullvad'ın DoH DNS'i de iyi görünüyor ama yukarıdaki yöntemden daha az gizlilik sağlayabileceği için kullanmayı düşünmüyorum

    • Ne yazık ki Mullvad isterse tüm TLS bağlantılarının SNI bilgisini görebilir. ECH henüz gerçekten kullanılan bir aşamada değil
    • Mullvad üzerinde farklı bir DNS kullanmak önerilmiyor gibi. Bunu yapmak sizi daha tanımlanabilir kılar
  • Gerçek istatistikleri görmek isterdim ama SSD ve ECC RAM ile okuma/yazma yoğun veri uygulamaları çalıştırmış biri olarak içgüdüm, ikisinin de yeterince sık arızalandığı yönünde; bu yüzden dayanıklılık açısından bu değişiklik bana neredeyse yatay geçiş gibi geliyor
    Yine de saf performansı birkaç puan bile daha artırma çabası takdire değer. İlginç bir Redis projesi olacak gibi

    • Asıl mesele bu değil. Mullvad günlük tutmayacağına söz veriyor ve bunu göstermenin en iyi yolu, sunucuda kalıcı depolamanın hiç bulunmaması
      Muhtemelen salt okunur bir imajla ağdan önyükleme yapacaklar
      VPN sunucularında bunu zaten yaptılar, şimdi aynı stratejiyi DNS sunucularına da uyguluyorlar
    • ECC'nin o kadar sık arızalandığını gördün mü? Bizim tarafta bant genişliği devasa değil ama ECC RAM inanılmaz derecede kararlıydı
      Arıza oranını gösteren veri sayfası gibi bir şey var mı merak ediyorum
  • Mullvad'ın yaptığı her şeyden çok memnundum, ama yapılandırmamın özel bir kısmı için önemli olan port yönlendirmeyi durduracaklarını duyurunca üzüldüm
    Sebebini anlıyorum ama bir gün yeniden sunarlarsa memnuniyetle tekrar müşteri olurum

    • VPN port yönlendirmesinin temelde “botnet operatörleri hoş geldi” tabelasından farksız olduğunu düşünüyorum
      Mullvad açısından kapatmanın avantajları dezavantajlarından daha büyük
  • Mullvad VPN'in güvenliğinin Proton VPN ile karşılaştırınca nasıl olduğunu bilen var mı?

    • Gizlilik istediğinde Mullvad neredeyse ilk tercih
      Kolluk kuvvetlerinin taleplerine karşı koymuş bir geçmişi var; çünkü gerçekten verebilecekleri bir şey yok
      Her şey RAM üzerinde çalışıyor ve sunucu kapanır kapanmaz yok oluyor; gerçekten hiçbir şey saklamıyorlar
      Mullvad hesabını postayla nakit göndererek ya da kripto para ile de satın alabilirsin. E-posta adresi gibi bir şeyle hesap oluşturman da gerekmiyor
    • “Nisan 2019'da, açık bir suç faaliyeti vakasında İsviçre yargısının emri uyarınca, İsviçre yasalarını ihlal eden yasa dışı faaliyetlere karışan belirli bir kullanıcı hesabı için IP günlüğe kaydetmeyi etkinleştirdik
      İsviçre yasalarına göre söz konusu kullanıcı, veriler ceza yargılamasında kullanılmadan önce bilgilendirilir ve mahkemede buna itiraz etme fırsatı verilir”
    • VPN güvenlik sağlamaz
      VPN'in yaptığı şey coğrafi engelleri aşmak ve korsan içerik indirirken DMCA bildirimlerini engelleyebilmekten ibaret sayılır
  • VPN sağlayıcısı OVPN (ovpn.com) de bu yöntemi uyguluyor