Migration des serveurs DNS chiffrés vers un fonctionnement en RAM

 (mullvad.net)
2 points par GN⁺ 2023-11-11 | 1 commentaires | Partager sur WhatsApp

Migration des serveurs DNS chiffrés de Mullvad VPN vers la RAM

  • Mullvad VPN a annoncé avoir achevé une migration visant à éliminer toute trace d’utilisation de disque dans son infrastructure VPN.
  • L’entreprise a ajouté avoir récemment basculé son service de DNS chiffré vers une exécution en RAM.
  • Le DNS chiffré protège les requêtes DNS de la surveillance par des tiers lorsque l’on n’est pas connecté au service VPN.

Mise à disposition gratuite du service de DNS chiffré

  • Le service de DNS chiffré peut être utilisé sans être connecté à un serveur VPN et est accessible gratuitement à tous.
  • Ce service est proposé sur des serveurs dans le monde entier et constitue un service de DNS chiffré fiable et audité, incluant des fonctions optionnelles de blocage de contenu.
  • Il peut être utilisé avec le service VPN, mais cela n’est pas recommandé car il peut être plus lent que l’utilisation du résolveur DNS du serveur VPN.

Sécurité et protection de la vie privée des serveurs DNS chiffrés

  • Tous les serveurs DNS chiffrés sont configurés avec le même noyau Linux que l’infrastructure VPN et offrent le même niveau de sécurité et de protection de la vie privée.
  • Cette configuration des serveurs DNS représente l’étape suivante vers l’exploitation d’une infrastructure sans état en RAM.

L’avis de GN⁺

La récente annonce de Mullvad VPN souligne l’importance de mesures de sécurité techniquement avancées. En faisant fonctionner son service de DNS chiffré en RAM plutôt que sur disque, l’entreprise renforce la protection des requêtes DNS des utilisateurs, ce qui peut accroître leur confiance en matière de sécurité des données et de protection de la vie privée. Le fait que ce service soit proposé gratuitement est très avantageux pour les utilisateurs et illustre l’engagement de Mullvad VPN en faveur de la transparence et de l’ouverture, ce qui devrait intéresser les personnes soucieuses de leur vie privée.

À lire aussi

1 commentaires

 
GN⁺ 2023-11-11
Commentaires Hacker News
    • Le service DNS chiffré de Mullvad est également proposé aux utilisateurs qui n’ont pas acheté le service VPN.
    • En plus, il existe une fonctionnalité de listes de blocage permettant un filtrage de contenu optionnel en configurant le serveur DNS TLS/HTTPS souhaité.
    • [1] Lien GitHub des blocklists DNS de Mullvad
    • Quelqu’un se demande si les serveurs de Mullvad sont des serveurs physiques ou des machines virtuelles.
    • Certaines machines virtuelles peuvent être gelées/snapshotées/clonées ou répliquées à chaud, y compris avec le contenu de la mémoire.
    • Certains fournisseurs VPS effectuent ce type d’opérations en réponse à des demandes légales.
    • La personne demande s’il existe un schéma de la configuration des serveurs physiques, ou si un architecte de Mullvad peut aider à éviter des hypothèses théoriques.
    • Quelqu’un se demande si, en 2023, la RAM chiffre tout son contenu et si elle peut en oublier le contenu.
    • Il ou elle est curieux de savoir quelles mesures ont été prises contre les attaques par cold boot sur la RAM, et quels changements matériels ont eu lieu.
    • Questions également sur le fait de savoir si la clé servant à chiffrer le contenu de la RAM est stockée dans le TPM, etc.
    • Utilise le DNS DoH de Cloudflare (1.1.1.1) et le tunnelise via le VPN de Mullvad.
    • Avec cette méthode, Mullvad ne peut voir que les IP visitées, Cloudflare ne peut voir que les requêtes DNS provenant de l’IP du VPN, et le FAI ne peut rien voir.
    • Le DNS DoH de Mullvad est aussi bien, mais il pourrait être moins bon du point de vue de la confidentialité que cette méthode, donc cette personne ne l’utiliserait pas.
    • Était très satisfait jusqu’à ce que Mullvad annonce l’arrêt du port forwarding.
    • Le port forwarding est important pour une partie précise de sa configuration ; c’est compréhensible, mais si cela revenait, cette personne redeviendrait volontiers cliente.
    • Mullvad a annoncé que son service DNS chiffré a été migré pour s’exécuter en RAM.
    • Il n’est pas expliqué ce que signifie le fait qu’un service s’exécute ailleurs qu’en RAM, ni ce que signifie concrètement « s’exécuter en RAM ».
    • Tous les binaires exécutables sont chargés en RAM selon les procédures standard du système d’exploitation.
    • Le fournisseur VPN OVPN (ovpn.com) propose également un service de ce type.
    • Il n’y a pas de statistiques réelles, mais d’après l’expérience de quelqu’un ayant exploité des applications de données intensives en lecture/écriture sur SSD et RAM ECC, les deux tombent en panne assez souvent.
    • En termes de résilience, ce changement n’a peut-être pas apporté beaucoup d’amélioration, mais les efforts pour maximiser les performances sont salués.
    • Cela ferait un projet Redis amusant.
    • Quelqu’un se demande comment la sécurité de Mullvad VPN se compare à celle de Proton VPN.
    • [Commentaire supprimé]