2 पॉइंट द्वारा GN⁺ 2023-11-11 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Mullvad ने VPN इंफ्रास्ट्रक्चर से डिस्क के निशान हटाने के बाद, अलग Encrypted DNS सेवा को भी RAM-आधारित संचालन में स्थानांतरित किया
  • VPN से कनेक्ट न किए गए डिवाइसों पर DNS queries को एन्क्रिप्ट करके, डिवाइस और Mullvad DNS सर्वर के बीच की lookup जानकारी को तीसरे पक्ष के लिए देख पाना कठिन बनाता है
  • यह सेवा भुगतान करने वाले ग्राहक न होने पर भी मुफ्त में इस्तेमाल की जा सकती है, और audited DNS तथा वैकल्पिक content blocking चाहने वाले उपयोगकर्ताओं के लिए है
  • दुनिया भर के सर्वर और configuration guide उपलब्ध हैं, लेकिन VPN के साथ इस्तेमाल करने पर यह जुड़े हुए VPN सर्वर के DNS resolver से हमेशा धीमा होता है, इसलिए इसकी सिफारिश नहीं की जाती
  • Encrypted DNS सर्वर भी VPN इंफ्रास्ट्रक्चर की तरह वही Linux kernel और security·privacy settings इस्तेमाल करते हैं, जिससे RAM में stateless infrastructure चलाने की दिशा जारी रहती है

Encrypted DNS भी RAM-आधारित में बदला

  • Mullvad ने हाल ही में VPN इंफ्रास्ट्रक्चर में उपयोग हो रही डिस्क के निशान हटाने वाली migration पूरी की
  • इस बदलाव के साथ Encrypted DNS सेवा भी RAM में चलने लगी
  • यह Mullvad के stateless infrastructure को RAM में चलाने की दिशा का अगला चरण है

DNS queries को एन्क्रिप्ट करने का तरीका

  • Encrypted DNS को DNS over TLS और DNS over HTTPS के नाम से भी जाना जाता है
  • VPN सेवा से कनेक्ट न होने पर, यह डिवाइस और Mullvad DNS सर्वर के बीच DNS queries को एन्क्रिप्ट करता है
  • यह तरीका तीसरे पक्ष द्वारा DNS queries की निगरानी रोकने में इस्तेमाल होता है

किसके लिए है और वास्तविक सीमाएँ

  • यह सेवा मुख्य रूप से तब उपयोग के लिए है जब Mullvad VPN सर्वर से कनेक्ट न हों
  • भुगतान करने वाले ग्राहक हों या न हों, इसे पूरी तरह मुफ्त इस्तेमाल किया जा सकता है
  • भरोसेमंद और audited Encrypted DNS सेवा तथा वैकल्पिक content blocking चाहने वाला कोई भी इसका उपयोग कर सकता है
  • यह दुनिया भर में स्थित सर्वरों से उपलब्ध है, और Mullvad वेबसाइट की configuration guide से सेट किया जा सकता है
  • VPN सेवा के साथ भी इसका उपयोग संभव है, लेकिन जुड़े हुए VPN सर्वर के DNS resolver का उपयोग करने से यह हमेशा धीमा होता है, इसलिए इसकी सिफारिश नहीं की जाती

VPN इंफ्रास्ट्रक्चर के अनुरूप सुरक्षा कॉन्फ़िगरेशन

  • सभी Encrypted DNS सर्वर VPN इंफ्रास्ट्रक्चर के समान Linux kernel पर कॉन्फ़िगर किए गए हैं
  • security और privacy का स्तर भी VPN इंफ्रास्ट्रक्चर के समान रखा गया है

1 टिप्पणियां

 
GN⁺ 2023-11-11
Hacker News टिप्पणियाँ
  • Mullvad का encrypted DNS VPN का paid user हो या नहीं, कोई भी इस्तेमाल कर सकता है
    इसके अलावा blocklist के ज़रिए selective content blocking भी सपोर्ट करता है, इसलिए बस अपनी पसंद का TLS/HTTPS DNS server सेट करना होता है
    [1] https://github.com/mullvad/dns-blocklists

    • जानकारी के लिए, macOS के लिए standalone encrypted DNS profile (.mobileconfig file) Little Snitch या Lulu इस्तेमाल करने पर काम नहीं करता, अगर आप unwanted network traffic रोक रहे हों
      यह macOS की एक limitation है जिसे Apple ने अभी तक ठीक नहीं किया है
    • मुझे encrypted DNS का threat model ठीक से समझ नहीं आता
      किसी site पर जाने के लिए DNS से IP लेना ही पड़ता है, और ISP या VPN provider यह देख सकता है कि मैं उस IP से connect कर रहा हूँ, चाहे उसने अभी lookup देखा हो या पहले से जानता हो
      अगर मामला यह नहीं है कि आप VPN इस्तेमाल कर रहे हैं लेकिन DNS किसी ऐसे service तक leak हो रहा है जो logs रखता है, तो यह क्यों ज़रूरी है, यह मुझे साफ़ नहीं है
  • जिज्ञासा है कि यह physical server है या VM
    कुछ VM types में memory contents समेत suspend, snapshot, clone, और live replication किया जा सकता है, जैसे कि किसी वैध request compliance के लिए, और bare-metal host पर VM या container के अंदर भी पहुँचा जा सकता है
    सोच रहा हूँ क्या इसका कोई physical topology diagram public है
    अगर यहाँ कोई Mullvad architect है, तो उम्मीद है वह इस पर रोशनी डाल सके ताकि बात theoretical assumptions और अनंत turtles stack में न चली जाए

    • Mullvad System Transparency को काफ़ी push करता है, और यह एक security system है जो खास तौर पर bare metal के लिए design किया गया है, इसलिए यह मानना काफ़ी सुरक्षित लगता है कि setup bare-metal based है
      https://www.system-transparency.org
    • physical server को भी literally freeze करके RAM से data निकाला जा सकता है
    • और सोचने पर लगता है कि VM ज़रूरी भी नहीं है
      eBPF से ऐसे tools बनाए जा सकते हैं जो कुछ parameters के आधार पर request पर data streams extract करें
      Sysdig/Falco जैसे tools भी यह कर सकते हैं; यह जानना उपयोगी होगा कि क्या वे eBPF disable करने के लिए kernel खुद compile करते हैं, या request-based debugging features हटाने या बंद करने जैसी अतिरिक्त kernel hardening करते हैं
    • अगर software को VM pause feature हटाकर deploy किया जाए, या bare-metal server से disk निकालकर उसे सिर्फ PXE boot कराया जाए, तो यह हल हो सकता है
      तब pause करने के लिए कुछ बचेगा ही नहीं
    • अगर आप ऐसे सवाल पूछ रहे हैं, तो शायद आपको VPN खुद host करना चाहिए
  • एक भोले outsider के नज़रिए से पूछ रहा हूँ: क्या 2023 की RAM अपने पूरे contents encrypt करती है?
    क्या power off करके और किसी छोटी, ज़्यादा volatile memory में मौजूद encryption key को मिटाकर RAM की contents को भरोसेमंद तरीके से भुलाया जा सकता है?
    मैं जानना चाहता हूँ कि RAM cold boot attacks को mitigate करने के लिए क्या किया गया है, hardware में क्या बदला है, और क्या RAM content encryption keys TPM जैसी किसी जगह रखी जाती हैं

    • इस मामले में RAM में चलाने का असली मतलब शायद यह है कि non-volatile storage नहीं है
      बेशक, अगर server physical compromise का शिकार हो जाए तो बुरा हो सकता है, लेकिन malware को persist करने की जगह नहीं रहती, और न ही गलती से या जानबूझकर local storage पर logs छोड़े जा सकते हैं, इसलिए server पर लगातार control बनाए रखना कठिन हो जाता है
      RAM contents का encryption अतिरिक्त protection दे सकता है, लेकिन अगर इसे सही तरह implement किया गया हो, तो RAM में बची चीज़ें वास्तविक रूप से network wire पर दिखने वाली जानकारी से बस थोड़ी ही ज़्यादा दिलचस्प होंगी
      ज़्यादा से ज़्यादा बहुत कम active request data दिखे, ऐसा लगता है, लेकिन यह सिर्फ अनुमान है
    • AMD Threadripper server CPU और workstation/laptop के Ryzen PRO में RAM encryption देता है. इसे BIOS में enable करना पड़ता है
      https://www.amd.com/system/files/documents/amd-memory-guard-...
      https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • नहीं. कम-से-कम भरोसेमंद तरीके से नहीं. वजह यह है कि keys भी RAM में store होने के तरीक़े से जुड़ी होती हैं. मसलन system sleep में हो सकता है या laptop का lid बस बंद हो
      एक EFI reboot flag भी होता है जिससे अगली boot पर RAM को force wipe करने के लिए fix किया जा सकता है, लेकिन आमतौर पर यह disabled रहता है
      [1] https://en.wikipedia.org/wiki/Cold_boot_attack Windows में BitLocker की वजह से यह अब भी काम करता है
      [2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
    • क्या यही काम Intel TME नहीं करता?
  • Mullvad से पूछने पर उन्होंने पुष्टि की कि वे सिर्फ bare metal इस्तेमाल करते हैं, virtualization या containerization बिल्कुल नहीं
    https://ibb.co/XLDQGGt

  • Cloudflare का DoH DNS(https://1.1.1.1) इस्तेमाल करें और उसे Mullvad VPN के ऊपर tunnel करें
    इससे Mullvad सिर्फ वे IP देख पाएगा जिन पर मैं जाता हूँ, Cloudflare सिर्फ VPN IP से आने वाले DNS requests देखेगा, और ISP कुछ नहीं देख पाएगा
    Mullvad का DoH DNS भी अच्छा लगता है, लेकिन मैं उसे इस्तेमाल नहीं करूँगा क्योंकि यह ऊपर वाले तरीके से कम private हो सकता है

    • दुर्भाग्य से, अगर Mullvad चाहे तो वह सभी TLS connections का SNI देख सकता है. ECH अभी तक सच में व्यापक इस्तेमाल के स्तर पर नहीं पहुँचा है
    • Mullvad पर कोई दूसरा DNS इस्तेमाल करना शायद recommend नहीं किया जाता. ऐसा करने से आप ज़्यादा identifiable हो जाते हैं
  • मैं वास्तविक आँकड़े देखना चाहूँगा, लेकिन SSD और ECC RAM के साथ read/write-intensive data applications चलाने के अपने अनुभव के हिसाब से, दोनों ही काफ़ी नियमित रूप से फेल होते हैं, इसलिए resilience के लिहाज़ से यह बदलाव लगभग साइडग्रेड जैसा लगता है
    फिर भी, शुद्ध performance से कुछ प्रतिशत और निकालने की कोशिश सराहनीय है। यह एक दिलचस्प Redis प्रोजेक्ट लग रहा है

    • मुद्दा वह नहीं है। Mullvad वादा करता है कि वह logs नहीं रखेगा, और इसे दिखाने का सबसे अच्छा तरीका है कि सर्वर पर स्थायी storage ही न रखा जाए
      शायद वे read-only image से network boot करेंगे
      VPN servers पर वे यह पहले से कर रहे थे, और अब वही रणनीति DNS servers पर भी लागू कर रहे हैं
    • क्या तुमने ECC को वाकई इतनी बार फेल होते देखा है? हमारी तरफ bandwidth बहुत ज़्यादा नहीं है, लेकिन ECC RAM अविश्वसनीय रूप से स्थिर रही है
      सोच रहा हूँ कि क्या failure rate दिखाने वाली कोई datasheet वगैरह है
  • Mullvad जो कुछ कर रहा था उससे मैं बहुत संतुष्ट था, लेकिन जब उसने मेरी configuration के एक खास हिस्से के लिए महत्वपूर्ण port forwarding बंद करने की घोषणा की, तो निराशा हुई
    वजह समझ में आती है, लेकिन अगर वे कभी इसे फिर से शुरू करें तो मैं खुशी-खुशी फिर ग्राहक बनूँगा

    • मेरी समझ में VPN port forwarding असल में “botnet operators का स्वागत है” वाला बोर्ड लगाने जैसा है
      Mullvad के नज़रिए से इसे बंद करने के फ़ायदे नुकसान से ज़्यादा हैं
  • क्या किसी को पता है कि Mullvad VPN की security की तुलना में Proton VPN कैसा है?

    • जब privacy चाहिए होती है, तो Mullvad लगभग पहली पसंद होता है
      law enforcement requests को झेलने का उसका रिकॉर्ड है, क्योंकि उसके पास वास्तव में सौंपने के लिए कुछ होता ही नहीं
      सब कुछ RAM में चलता है और server बंद होते ही गायब हो जाता है, और वे सचमुच कुछ भी store नहीं करते
      आप डाक से cash भेजकर या cryptocurrency से भी Mullvad account खरीद सकते हैं। email address जैसी किसी चीज़ से account बनाने की भी ज़रूरत नहीं होती
    • “अप्रैल 2019 में, स्पष्ट आपराधिक गतिविधि के एक मामले में स्विस न्यायिक आदेश के तहत, हमने स्विस क़ानून का उल्लंघन करने वाली अवैध गतिविधियों में शामिल एक विशेष user account के लिए IP logging सक्रिय किया था
      स्विस क़ानून के अनुसार, उस user को सूचित किया जाता है और criminal proceedings में data इस्तेमाल होने से पहले अदालत में इसका जवाब देने का अवसर दिया जाता है”
    • VPN security नहीं देता
      VPN का काम बस geo-blocking को bypass करना है, और pirated content डाउनलोड करते समय शायद DMCA notices से बचाने तक सीमित है
  • VPN provider OVPN (ovpn.com) भी यह तरीका अपनाता रहा है