- Mullvad, después de eliminar los rastros en disco de su infraestructura VPN, también trasladó su servicio separado de DNS cifrado a una operación basada en RAM
- Cifra las consultas DNS en dispositivos que no están conectados a la VPN, lo que dificulta que terceros espíen las consultas entre el dispositivo y los servidores DNS de Mullvad
- Este servicio puede usarse gratis incluso sin ser cliente de pago, y está dirigido a usuarios que quieren DNS auditado y bloqueo opcional de contenido
- Ofrece servidores en todo el mundo y guías de configuración, pero no se recomienda usarlo junto con la VPN porque siempre será más lento que el resolvedor DNS del servidor VPN conectado
- Los servidores de DNS cifrado también usan el mismo kernel de Linux y la misma configuración de seguridad y privacidad que la infraestructura VPN, continuando la tendencia de operar infraestructura sin estado desde RAM
DNS cifrado también pasa a estar basado en RAM
- Mullvad completó recientemente una migración para eliminar los rastros de los discos usados en su infraestructura VPN
- Con este cambio, el servicio de DNS cifrado también pasó a ejecutarse desde RAM
- Corresponde al siguiente paso en el objetivo de Mullvad de operar una infraestructura sin estado desde RAM
Cómo cifra las consultas DNS
- El DNS cifrado también se conoce como DNS over TLS y DNS over HTTPS
- Cuando no estás conectado al servicio VPN, cifra las consultas DNS entre tu dispositivo y los servidores DNS de Mullvad
- Este método se usa para evitar que terceros espíen las consultas DNS
A quién va dirigido y limitaciones reales
- Este servicio está pensado principalmente para usarse cuando no estás conectado a los servidores VPN de Mullvad
- Puede usarse de forma totalmente gratuita, sin importar si eres cliente de pago o no
- Está disponible para cualquiera que quiera un servicio de DNS cifrado confiable y auditado, junto con bloqueo opcional de contenido
- Se ofrece desde servidores ubicados en todo el mundo y puede configurarse con la guía de configuración del sitio web de Mullvad
- También puede usarse junto con el servicio VPN, pero no se recomienda porque siempre será más lento que usar el resolvedor DNS del servidor VPN conectado
Configuración de seguridad alineada con la infraestructura VPN
- Todos los servidores de DNS cifrado están configurados con el mismo kernel de Linux que la infraestructura VPN
- El nivel de seguridad y privacidad también está alineado con el de la infraestructura VPN
1 comentarios
Opiniones en Hacker News
El DNS cifrado de Mullvad puede usarlo cualquiera, independientemente de si paga o no por la VPN.
Además, también admite bloqueo de contenido opcional mediante listas de bloqueo, así que basta con configurar el servidor DNS TLS/HTTPS que uno quiera.
[1] https://github.com/mullvad/dns-blocklists
.mobileconfig) no funcionan si se usa Little Snitch o Lulu para bloquear tráfico de red no deseado.Es una limitación de macOS que Apple no está corrigiendo.
Para conectarme a un sitio necesito obtener una IP mediante DNS, pero mi ISP o proveedor de VPN puede ver que me conecto a esa IP, ya sea que la haya consultado recién o que ya la conociera.
Salvo que el modelo sea que, aun usando una VPN, hay fugas hacia un DNS que registra datos y pertenece a otra entidad, no entiendo bien por qué hace falta esto.
Me pregunto si esto es un servidor físico o una VM.
Algunos tipos de VM pueden pausarse, recibir snapshots, clonarse o replicarse en tiempo real, incluso con el contenido de memoria, por ejemplo para responder a solicitudes legales; y en hosts bare metal se puede acceder al interior de una VM o contenedor.
Me pregunto si hay algún diagrama físico publicado.
Si hay algún arquitecto de Mullvad por aquí, agradecería que nos ayudara a no caer en suposiciones teóricas y en una pila infinita de tortugas.
https://www.system-transparency.org
Hay herramientas que usan eBPF para extraer flujos de datos cuando se solicitan, según determinados parámetros.
Herramientas como Sysdig/Falco también podrían servir, y sería útil saber si compilan el kernel ellos mismos para desactivar eBPF, o si hacen endurecimiento adicional del kernel para quitar o desactivar funciones de depuración cuando se solicite.
Entonces no habría nada que suspender.
Desde la perspectiva de un externo ingenuo, me pregunto: ¿la RAM de 2023 cifra todo su contenido?
Me pregunto si se puede apagar la máquina y hacer que desaparezca alguna clave de cifrado almacenada en una memoria más pequeña y volátil, para que el contenido de la RAM se olvide de forma confiable.
También me pregunto qué se ha hecho para mitigar ataques de arranque en frío contra la RAM, qué cambió en el hardware y si la clave de cifrado del contenido de la RAM se guarda en algún lugar como el TPM.
Por supuesto, si el servidor se ve comprometido físicamente pueden pasar cosas malas, pero como no hay espacio para almacenar malware de forma permanente y no se pueden dejar logs en almacenamiento local, ni por error ni a propósito, resulta más difícil mantener el control persistente del servidor.
Cifrar el contenido de la RAM podría aportar protección adicional, pero si está bien implementado, lo que queda en la RAM probablemente sea, en la práctica, apenas un poco más interesante que lo que se puede ver en el cable de red.
Como mucho, creo que se podría ver una cantidad ínfima de datos de solicitudes activas, pero es solo una suposición.
https://www.amd.com/system/files/documents/amd-memory-guard-...
https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
También existe una bandera de reinicio EFI que se puede ajustar para forzar el borrado de la RAM en el siguiente arranque, pero normalmente está desactivada.
[1] https://en.wikipedia.org/wiki/Cold_boot_attack En Windows todavía funciona gracias a BitLocker.
[2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
Le pregunté a Mullvad y me confirmaron que solo usan bare metal, sin virtualización ni contenedores de ningún tipo.
https://ibb.co/XLDQGGt
Uso el DNS DoH de Cloudflare (https://1.1.1.1) y lo tunelizo sobre la VPN de Mullvad.
Así, Mullvad solo puede ver las IP que visito, Cloudflare solo ve solicitudes DNS que vienen desde la IP de la VPN, y mi ISP no ve nada.
El DNS DoH de Mullvad también se ve bien, pero podría tener menos privacidad que el método anterior, así que no pienso usarlo.
Me gustaría ver estadísticas reales, pero por intuición, tras haber operado aplicaciones de datos intensivas en lectura/escritura con SSD y RAM ECC, ambos fallan con suficiente frecuencia como para que, en términos de resiliencia, este cambio se sienta casi como un cambio lateral
Aun así, es de aplaudir el esfuerzo por exprimir aunque sea unos puntos porcentuales más de rendimiento puro. Parece que será un proyecto interesante de Redis
Probablemente harán arranque por red desde una imagen de solo lectura
Ya hicieron esto en los servidores VPN, y ahora están aplicando la misma estrategia a los servidores DNS
Me pregunto si hay alguna hoja de datos que muestre tasas de falla
Estaba muy satisfecho con todo lo que hacía Mullvad, pero me decepcionó cuando anunciaron que dejarían de ofrecer port forwarding, algo importante para una parte específica de mi configuración
Entiendo las razones, pero si algún día lo vuelven a ofrecer, con gusto volvería a ser cliente
Para Mullvad, los beneficios de desactivarlo superan las desventajas
¿Alguien sabe cómo se compara la seguridad de Mullvad VPN con Proton VPN?
Tiene historial de haber resistido solicitudes de las fuerzas del orden, porque en realidad no tienen nada que entregar
Todo corre en RAM y desaparece en cuanto se apaga el servidor; realmente no almacenan nada
También puedes enviar efectivo por correo o comprar una cuenta de Mullvad con criptomonedas. Ni siquiera necesitas crear una cuenta con algo como una dirección de email
Conforme a la ley suiza, dicho usuario recibe notificación y se le da la oportunidad de impugnarlo ante un tribunal antes de que los datos se usen en el proceso penal”
Lo que hace una VPN es saltarse bloqueos geográficos y, quizá, evitarte avisos de DMCA cuando descargas contenido pirateado
El proveedor de VPN OVPN (ovpn.com) también viene haciendo esto