- Mullvad hat nach dem Entfernen von Festplattenspuren aus seiner VPN-Infrastruktur nun auch den separaten Encrypted-DNS-Dienst auf einen RAM-basierten Betrieb umgestellt
- Dadurch werden DNS-Anfragen auf Geräten, die nicht mit dem VPN verbunden sind, verschlüsselt, sodass Dritte die Abfragen zwischen dem Gerät und den Mullvad-DNS-Servern nur schwer mitlesen können
- Der Dienst ist auch für Nichtzahler kostenlos nutzbar und richtet sich an Nutzer, die ein geprüftes DNS sowie optionale Inhaltsblockierung wünschen
- Es gibt weltweit Server und Einrichtungsanleitungen, doch zusammen mit einem VPN ist der Dienst nicht empfohlen, da er immer langsamer ist als der DNS-Resolver des verbundenen VPN-Servers
- Die Encrypted-DNS-Server verwenden denselben Linux-Kernel und dieselben Sicherheits- und Privatsphäre-Einstellungen wie die VPN-Infrastruktur und setzen damit den Weg hin zu zustandsloser Infrastruktur im RAM fort
Encrypted DNS ebenfalls auf RAM-Betrieb umgestellt
- Mullvad hat kürzlich die Migration abgeschlossen, mit der Spuren genutzter Festplatten aus der VPN-Infrastruktur entfernt wurden
- Mit dieser Umstellung läuft nun auch der Encrypted-DNS-Dienst im RAM
- Das ist der nächste Schritt in Mullvads Vorhaben, zustandslose Infrastruktur im RAM zu betreiben
So werden DNS-Anfragen verschlüsselt
- Encrypted DNS ist auch als DNS over TLS und DNS over HTTPS bekannt
- Wenn keine Verbindung zum VPN-Dienst besteht, werden die DNS-Anfragen zwischen dem Gerät und den Mullvad-DNS-Servern verschlüsselt
- Dieses Verfahren dient dazu, das Mitlesen von DNS-Anfragen durch Dritte zu verhindern
Zielgruppe und praktische Einschränkungen
- Der Dienst ist in erster Linie für die Nutzung gedacht, wenn keine Verbindung zu Mullvad-VPN-Servern besteht
- Er kann unabhängig vom Abo-Status völlig kostenlos genutzt werden
- Jeder, der einen vertrauenswürdigen und geprüften Encrypted-DNS-Dienst sowie optionale Inhaltsblockierung wünscht, kann ihn verwenden
- Der Dienst wird über weltweit verteilte Server bereitgestellt und lässt sich mit der Einrichtungsanleitung auf der Mullvad-Website konfigurieren
- Er kann zwar zusammen mit dem VPN-Dienst genutzt werden, wird aber nicht empfohlen, da er immer langsamer ist als die Nutzung des DNS-Resolvers des verbundenen VPN-Servers
Sicherheitskonfiguration im Einklang mit der VPN-Infrastruktur
- Alle Encrypted-DNS-Server sind mit demselben Linux-Kernel wie die VPN-Infrastruktur ausgestattet
- Auch das Sicherheits- und Privatsphäre-Niveau entspricht dem der VPN-Infrastruktur
1 Kommentare
Meinungen auf Hacker News
Mullvads verschlüsseltes DNS kann jeder nutzen, unabhängig davon, ob man den VPN-Dienst bezahlt
Zusätzlich wird optionales Content-Blocking über Blocklisten unterstützt; man muss also nur den gewünschten TLS/HTTPS-DNS-Server konfigurieren
[1] https://github.com/mullvad/dns-blocklists
.mobileconfig-Dateien) funktionieren nicht, wenn man Little Snitch oder Lulu nutzt, um unerwünschten Netzwerk-Traffic zu blockierenDas ist eine Einschränkung von macOS, die Apple nicht behebt
Um eine Website aufzurufen, muss man per DNS die IP-Adresse erhalten, aber der ISP oder VPN-Anbieter kann sehen, dass ich mich mit dieser IP verbinde, egal ob ich sie gerade erst abgefragt habe oder sie schon kannte
Wenn das Modell nicht lautet, dass man trotz VPN DNS-Leaks zu jemand anderem hat, der Logs führt, verstehe ich nicht wirklich, wozu das nötig ist
Ich frage mich, ob das ein physischer Server oder eine VM ist
Bei manchen VM-Typen kann man, etwa zur Erfüllung rechtmäßiger Anfragen, anhalten, Snapshots erstellen, klonen und live replizieren, einschließlich des Speicherinhalts; auf Bare-Metal-Hosts kann man in VMs oder Container hineingreifen
Ich frage mich, ob es eine veröffentlichte physische Architektur gibt
Falls hier ein Mullvad-Architekt ist, wäre es hilfreich, nicht in theoretische Annahmen und einen endlosen Schildkröten-Stack abzurutschen
https://www.system-transparency.org
Es gibt Tools, die mit eBPF je nach bestimmten Parametern bei einer Anfrage Datenströme extrahieren können
Tools wie Sysdig/Falco könnten das möglicherweise ebenfalls; interessant wäre auch zu wissen, ob sie den Kernel selbst kompilieren, um eBPF zu deaktivieren, oder ob sie zusätzliche Kernel-Härtung betreiben, um Debugging-Funktionen bei Bedarf zu entfernen oder abzuschalten
Dann gibt es nichts mehr, das man pausieren könnte
Aus naiver Außensicht frage ich mich: Verschlüsselt RAM im Jahr 2023 seinen gesamten Inhalt?
Ich frage mich, ob man durch Abschalten des Stroms dafür sorgen kann, dass irgendein kryptografischer Schlüssel in kleinerem, flüchtigerem Speicher verschwindet und der RAM-Inhalt dadurch zuverlässig vergessen wird
Mich interessiert, was getan wurde, um Cold-Boot-Angriffe auf RAM abzumildern, was sich in der Hardware geändert hat und ob der Schlüssel zur Verschlüsselung des RAM-Inhalts an einem Ort wie einem TPM gespeichert wird
Natürlich können schlimme Dinge passieren, wenn ein Server physisch kompromittiert wird, aber es gibt keinen Ort, an dem Malware dauerhaft gespeichert werden kann, und es können weder versehentlich noch absichtlich Logs auf lokalem Speicher landen, wodurch es schwieriger wird, die Kontrolle über den Server dauerhaft zu behalten
Eine Verschlüsselung des RAM-Inhalts könnte zusätzlichen Schutz bieten, aber wenn das sauber umgesetzt ist, dürfte das, was im RAM verbleibt, realistisch gesehen nur ein wenig interessanter sein als das, was man ohnehin auf der Netzwerkleitung sehen kann
Allenfalls dürfte man eine sehr kleine Menge aktiver Request-Daten sehen, aber das ist nur eine Vermutung
https://www.amd.com/system/files/documents/amd-memory-guard-...
https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
Es gibt auch ein EFI-Reboot-Flag, mit dem man erzwingen kann, dass RAM beim nächsten Booten gelöscht wird, aber es ist normalerweise deaktiviert
[1] https://en.wikipedia.org/wiki/Cold_boot_attack Unter Windows funktioniert das dank BitLocker immer noch
[2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
Ich habe bei Mullvad nachgefragt, und sie haben bestätigt, dass sie ausschließlich Bare Metal verwenden und keinerlei Virtualisierung oder Containerisierung einsetzen
https://ibb.co/XLDQGGt
Ich nutze Cloudflares DoH-DNS (https://1.1.1.1) und tunnle es über Mullvad VPN
So sieht Mullvad nur die IPs, die ich besuche, Cloudflare sieht nur DNS-Anfragen, die von der VPN-IP kommen, und mein ISP sieht gar nichts
Mullvads DoH-DNS sieht ebenfalls gut aus, aber ich werde es nicht nutzen, weil es weniger privat sein könnte als die obige Methode
Ich würde gern echte Statistiken sehen, aber nach meinem Bauchgefühl aus dem Betrieb lese-/schreibintensiver Datenanwendungen mit SSDs und ECC-RAM fallen beide oft genug aus, dass sich diese Änderung in Sachen Resilienz fast wie ein Sidegrade anfühlt.
Der Versuch, auch nur ein paar Prozent mehr reine Performance herauszuholen, ist aber lobenswert. Das dürfte ein interessantes Redis-Projekt werden
Vermutlich booten sie per Netzwerk von einem schreibgeschützten Image.
Bei den VPN-Servern haben sie das bereits so gemacht, und jetzt wenden sie dieselbe Strategie auch auf DNS-Server an
Ich frage mich, ob es dazu Datenblätter mit Ausfallraten gibt
Ich war mit allem, was Mullvad gemacht hat, sehr zufrieden, aber als sie angekündigt haben, Port Forwarding einzustellen, das für einen speziellen Teil meiner Konfiguration wichtig ist, war ich enttäuscht.
Ich verstehe die Gründe, aber wenn sie es eines Tages wieder anbieten, werde ich gern wieder Kunde
Für Mullvad überwiegen die Vorteile des Abschaltens die Nachteile
Weiß jemand, wie die Sicherheit von Mullvad VPN im Vergleich zu Proton VPN ist?
Sie haben eine Vorgeschichte damit, Anfragen von Strafverfolgungsbehörden abzuwehren, weil es tatsächlich nichts herauszugeben gibt.
Alles läuft im RAM und verschwindet, sobald der Server ausgeschaltet wird; sie speichern wirklich gar nichts.
Man kann sogar Bargeld per Post schicken oder ein Mullvad-Konto mit Kryptowährung kaufen. Man muss nicht einmal ein Konto mit einer E-Mail-Adresse oder Ähnlichem erstellen
Nach Schweizer Recht wird der betreffende Nutzer benachrichtigt und erhält die Möglichkeit, dies vor Gericht anzufechten, bevor die Daten in einem Strafverfahren verwendet werden“
Was ein VPN tut, ist, Geoblocking zu umgehen und möglicherweise DMCA-Benachrichtigungen zu verhindern, wenn man Raubkopien herunterlädt
Auch der VPN-Anbieter OVPN (ovpn.com) macht das schon so