- Mullvad ने VPN इंफ्रास्ट्रक्चर से डिस्क के निशान हटाने के बाद, अलग Encrypted DNS सेवा को भी RAM-आधारित संचालन में स्थानांतरित किया
- VPN से कनेक्ट न किए गए डिवाइसों पर DNS queries को एन्क्रिप्ट करके, डिवाइस और Mullvad DNS सर्वर के बीच की lookup जानकारी को तीसरे पक्ष के लिए देख पाना कठिन बनाता है
- यह सेवा भुगतान करने वाले ग्राहक न होने पर भी मुफ्त में इस्तेमाल की जा सकती है, और audited DNS तथा वैकल्पिक content blocking चाहने वाले उपयोगकर्ताओं के लिए है
- दुनिया भर के सर्वर और configuration guide उपलब्ध हैं, लेकिन VPN के साथ इस्तेमाल करने पर यह जुड़े हुए VPN सर्वर के DNS resolver से हमेशा धीमा होता है, इसलिए इसकी सिफारिश नहीं की जाती
- Encrypted DNS सर्वर भी VPN इंफ्रास्ट्रक्चर की तरह वही Linux kernel और security·privacy settings इस्तेमाल करते हैं, जिससे RAM में stateless infrastructure चलाने की दिशा जारी रहती है
Encrypted DNS भी RAM-आधारित में बदला
- Mullvad ने हाल ही में VPN इंफ्रास्ट्रक्चर में उपयोग हो रही डिस्क के निशान हटाने वाली migration पूरी की
- इस बदलाव के साथ Encrypted DNS सेवा भी RAM में चलने लगी
- यह Mullvad के stateless infrastructure को RAM में चलाने की दिशा का अगला चरण है
DNS queries को एन्क्रिप्ट करने का तरीका
- Encrypted DNS को DNS over TLS और DNS over HTTPS के नाम से भी जाना जाता है
- VPN सेवा से कनेक्ट न होने पर, यह डिवाइस और Mullvad DNS सर्वर के बीच DNS queries को एन्क्रिप्ट करता है
- यह तरीका तीसरे पक्ष द्वारा DNS queries की निगरानी रोकने में इस्तेमाल होता है
किसके लिए है और वास्तविक सीमाएँ
- यह सेवा मुख्य रूप से तब उपयोग के लिए है जब Mullvad VPN सर्वर से कनेक्ट न हों
- भुगतान करने वाले ग्राहक हों या न हों, इसे पूरी तरह मुफ्त इस्तेमाल किया जा सकता है
- भरोसेमंद और audited Encrypted DNS सेवा तथा वैकल्पिक content blocking चाहने वाला कोई भी इसका उपयोग कर सकता है
- यह दुनिया भर में स्थित सर्वरों से उपलब्ध है, और Mullvad वेबसाइट की configuration guide से सेट किया जा सकता है
- VPN सेवा के साथ भी इसका उपयोग संभव है, लेकिन जुड़े हुए VPN सर्वर के DNS resolver का उपयोग करने से यह हमेशा धीमा होता है, इसलिए इसकी सिफारिश नहीं की जाती
VPN इंफ्रास्ट्रक्चर के अनुरूप सुरक्षा कॉन्फ़िगरेशन
- सभी Encrypted DNS सर्वर VPN इंफ्रास्ट्रक्चर के समान Linux kernel पर कॉन्फ़िगर किए गए हैं
- security और privacy का स्तर भी VPN इंफ्रास्ट्रक्चर के समान रखा गया है
1 टिप्पणियां
Hacker News टिप्पणियाँ
Mullvad का encrypted DNS VPN का paid user हो या नहीं, कोई भी इस्तेमाल कर सकता है
इसके अलावा blocklist के ज़रिए selective content blocking भी सपोर्ट करता है, इसलिए बस अपनी पसंद का TLS/HTTPS DNS server सेट करना होता है
[1] https://github.com/mullvad/dns-blocklists
.mobileconfigfile) Little Snitch या Lulu इस्तेमाल करने पर काम नहीं करता, अगर आप unwanted network traffic रोक रहे होंयह macOS की एक limitation है जिसे Apple ने अभी तक ठीक नहीं किया है
किसी site पर जाने के लिए DNS से IP लेना ही पड़ता है, और ISP या VPN provider यह देख सकता है कि मैं उस IP से connect कर रहा हूँ, चाहे उसने अभी lookup देखा हो या पहले से जानता हो
अगर मामला यह नहीं है कि आप VPN इस्तेमाल कर रहे हैं लेकिन DNS किसी ऐसे service तक leak हो रहा है जो logs रखता है, तो यह क्यों ज़रूरी है, यह मुझे साफ़ नहीं है
जिज्ञासा है कि यह physical server है या VM
कुछ VM types में memory contents समेत suspend, snapshot, clone, और live replication किया जा सकता है, जैसे कि किसी वैध request compliance के लिए, और bare-metal host पर VM या container के अंदर भी पहुँचा जा सकता है
सोच रहा हूँ क्या इसका कोई physical topology diagram public है
अगर यहाँ कोई Mullvad architect है, तो उम्मीद है वह इस पर रोशनी डाल सके ताकि बात theoretical assumptions और अनंत turtles stack में न चली जाए
https://www.system-transparency.org
eBPF से ऐसे tools बनाए जा सकते हैं जो कुछ parameters के आधार पर request पर data streams extract करें
Sysdig/Falco जैसे tools भी यह कर सकते हैं; यह जानना उपयोगी होगा कि क्या वे eBPF disable करने के लिए kernel खुद compile करते हैं, या request-based debugging features हटाने या बंद करने जैसी अतिरिक्त kernel hardening करते हैं
तब pause करने के लिए कुछ बचेगा ही नहीं
एक भोले outsider के नज़रिए से पूछ रहा हूँ: क्या 2023 की RAM अपने पूरे contents encrypt करती है?
क्या power off करके और किसी छोटी, ज़्यादा volatile memory में मौजूद encryption key को मिटाकर RAM की contents को भरोसेमंद तरीके से भुलाया जा सकता है?
मैं जानना चाहता हूँ कि RAM cold boot attacks को mitigate करने के लिए क्या किया गया है, hardware में क्या बदला है, और क्या RAM content encryption keys TPM जैसी किसी जगह रखी जाती हैं
बेशक, अगर server physical compromise का शिकार हो जाए तो बुरा हो सकता है, लेकिन malware को persist करने की जगह नहीं रहती, और न ही गलती से या जानबूझकर local storage पर logs छोड़े जा सकते हैं, इसलिए server पर लगातार control बनाए रखना कठिन हो जाता है
RAM contents का encryption अतिरिक्त protection दे सकता है, लेकिन अगर इसे सही तरह implement किया गया हो, तो RAM में बची चीज़ें वास्तविक रूप से network wire पर दिखने वाली जानकारी से बस थोड़ी ही ज़्यादा दिलचस्प होंगी
ज़्यादा से ज़्यादा बहुत कम active request data दिखे, ऐसा लगता है, लेकिन यह सिर्फ अनुमान है
https://www.amd.com/system/files/documents/amd-memory-guard-...
https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
एक EFI reboot flag भी होता है जिससे अगली boot पर RAM को force wipe करने के लिए fix किया जा सकता है, लेकिन आमतौर पर यह disabled रहता है
[1] https://en.wikipedia.org/wiki/Cold_boot_attack Windows में BitLocker की वजह से यह अब भी काम करता है
[2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
Mullvad से पूछने पर उन्होंने पुष्टि की कि वे सिर्फ bare metal इस्तेमाल करते हैं, virtualization या containerization बिल्कुल नहीं
https://ibb.co/XLDQGGt
Cloudflare का DoH DNS(https://1.1.1.1) इस्तेमाल करें और उसे Mullvad VPN के ऊपर tunnel करें
इससे Mullvad सिर्फ वे IP देख पाएगा जिन पर मैं जाता हूँ, Cloudflare सिर्फ VPN IP से आने वाले DNS requests देखेगा, और ISP कुछ नहीं देख पाएगा
Mullvad का DoH DNS भी अच्छा लगता है, लेकिन मैं उसे इस्तेमाल नहीं करूँगा क्योंकि यह ऊपर वाले तरीके से कम private हो सकता है
मैं वास्तविक आँकड़े देखना चाहूँगा, लेकिन SSD और ECC RAM के साथ read/write-intensive data applications चलाने के अपने अनुभव के हिसाब से, दोनों ही काफ़ी नियमित रूप से फेल होते हैं, इसलिए resilience के लिहाज़ से यह बदलाव लगभग साइडग्रेड जैसा लगता है
फिर भी, शुद्ध performance से कुछ प्रतिशत और निकालने की कोशिश सराहनीय है। यह एक दिलचस्प Redis प्रोजेक्ट लग रहा है
शायद वे read-only image से network boot करेंगे
VPN servers पर वे यह पहले से कर रहे थे, और अब वही रणनीति DNS servers पर भी लागू कर रहे हैं
सोच रहा हूँ कि क्या failure rate दिखाने वाली कोई datasheet वगैरह है
Mullvad जो कुछ कर रहा था उससे मैं बहुत संतुष्ट था, लेकिन जब उसने मेरी configuration के एक खास हिस्से के लिए महत्वपूर्ण port forwarding बंद करने की घोषणा की, तो निराशा हुई
वजह समझ में आती है, लेकिन अगर वे कभी इसे फिर से शुरू करें तो मैं खुशी-खुशी फिर ग्राहक बनूँगा
Mullvad के नज़रिए से इसे बंद करने के फ़ायदे नुकसान से ज़्यादा हैं
क्या किसी को पता है कि Mullvad VPN की security की तुलना में Proton VPN कैसा है?
law enforcement requests को झेलने का उसका रिकॉर्ड है, क्योंकि उसके पास वास्तव में सौंपने के लिए कुछ होता ही नहीं
सब कुछ RAM में चलता है और server बंद होते ही गायब हो जाता है, और वे सचमुच कुछ भी store नहीं करते
आप डाक से cash भेजकर या cryptocurrency से भी Mullvad account खरीद सकते हैं। email address जैसी किसी चीज़ से account बनाने की भी ज़रूरत नहीं होती
स्विस क़ानून के अनुसार, उस user को सूचित किया जाता है और criminal proceedings में data इस्तेमाल होने से पहले अदालत में इसका जवाब देने का अवसर दिया जाता है”
VPN का काम बस geo-blocking को bypass करना है, और pirated content डाउनलोड करते समय शायद DMCA notices से बचाने तक सीमित है
VPN provider OVPN (ovpn.com) भी यह तरीका अपनाता रहा है