Migrando servidores de DNS criptografado para operar em RAM

 (mullvad.net)
2 pontos por GN⁺ 2023-11-11 | 1 comentários | Compartilhar no WhatsApp

Migrando os servidores de DNS criptografado da Mullvad VPN para operar em RAM

  • A Mullvad VPN anunciou que concluiu uma migração para eliminar rastros de uso de disco em sua infraestrutura de VPN.
  • Recentemente, anunciou também a transição para operar seu serviço de DNS criptografado em RAM.
  • O DNS criptografado protege consultas de DNS contra vigilância de terceiros quando não se está conectado ao serviço de VPN.

Serviço de DNS criptografado oferecido gratuitamente

  • O serviço de DNS criptografado pode ser usado quando não se está conectado a um servidor VPN, e está disponível gratuitamente para qualquer pessoa.
  • O serviço é oferecido em servidores no mundo todo e é um serviço de DNS criptografado confiável e auditado, incluindo recursos opcionais de bloqueio de conteúdo.
  • Ele pode ser usado junto com o serviço de VPN, mas isso não é recomendado, pois pode ser mais lento do que usar o resolvedor DNS do servidor VPN.

Segurança e privacidade dos servidores de DNS criptografado

  • Todos os servidores de DNS criptografado são configurados usando o mesmo kernel Linux da infraestrutura de VPN e oferecem o mesmo nível de segurança e privacidade.
  • Essa configuração desses servidores DNS é o próximo passo para operar uma infraestrutura stateless em RAM.

Opinião do GN⁺

O anúncio recente da Mullvad VPN destaca a importância de medidas de segurança tecnicamente avançadas. Ao operar o serviço de DNS criptografado em RAM em vez de disco, a empresa reforça a proteção das consultas DNS dos usuários, o que pode aumentar a confiança em segurança de dados e privacidade. O fato de esse serviço ser oferecido gratuitamente é muito vantajoso para os usuários e serve como exemplo do compromisso da Mullvad VPN com transparência e abertura, algo que deve interessar a quem se preocupa com privacidade.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-11-11
Comentários do Hacker News
    • O serviço de DNS criptografado da Mullvad é oferecido até para usuários que não compraram o serviço de VPN.
    • Além disso, há um recurso de blocklist que oferece suporte a bloqueio seletivo de conteúdo ao configurar o servidor DNS TLS/HTTPS desejado.
    • [1] Link do GitHub da blocklist de DNS da Mullvad
    • Há curiosidade sobre se os servidores da Mullvad são físicos ou máquinas virtuais.
    • Algumas máquinas virtuais podem ser congeladas/snapshotadas/clonadas ou replicadas em tempo real, inclusive com o conteúdo da memória.
    • Alguns provedores de VPS fazem esse tipo de operação em resposta a solicitações legais.
    • Pergunta-se se existe um diagrama da configuração dos servidores físicos e se algum arquiteto da Mullvad poderia ajudar a evitar suposições teóricas.
    • Há curiosidade sobre se, em 2023, a RAM criptografa todo o seu conteúdo e se é possível fazer a RAM esquecer seu conteúdo.
    • Há interesse em saber que medidas foram tomadas para evitar ataques de cold boot contra a RAM e que mudanças de hardware existem para isso.
    • Também surgem perguntas sobre se a chave que criptografa o conteúdo da RAM fica armazenada no TPM, entre outras.
    • Usa o DNS DoH da Cloudflare (1.1.1.1) e faz o túnel por meio da VPN da Mullvad.
    • Com esse método, a Mullvad só consegue ver os IPs visitados, a Cloudflare só consegue ver requisições DNS vindas do IP da VPN, e o ISP não consegue ver nada.
    • O DNS DoH da Mullvad também é bom, mas pode oferecer menos privacidade do que esse método, então não pretende usá-lo.
    • Estava muito satisfeito até a Mullvad anunciar que encerraria o port forwarding.
    • Port forwarding é importante para certas partes da configuração; entende o motivo, mas voltaria a ser cliente com prazer se o recurso fosse reintroduzido.
    • A Mullvad anunciou a transição de seu serviço de DNS criptografado para rodar em RAM.
    • Não há explicação sobre o que significa um serviço rodar em outro lugar que não seja a RAM, nem sobre o que exatamente significa “rodar em RAM”.
    • Todos os binários executáveis são carregados na RAM de acordo com os procedimentos padrão do sistema operacional.
    • A provedora de VPN OVPN (ovpn.com) também oferece um serviço como esse.
    • Não há estatísticas reais, mas pela experiência operando aplicações com uso intensivo de leitura/gravação em SSD e RAM ECC, a sensação é que ambos falham com frequência suficiente.
    • Em termos de resiliência, a mudança talvez não tenha melhorado muita coisa, mas merece aplausos pelo esforço para maximizar o desempenho.
    • Isso daria um projeto divertido com Redis.
    • Há curiosidade sobre como a segurança da Mullvad VPN se compara à da Proton VPN.
    • [comentário excluído]