由 Assured AB 完成的权威 DNS 伺服器审核

由 Assured AB 完成的权威 DNS 伺服器审计

2022 年 9 月 14 日 外部审计安全性

我们现在运行自己的自我托管权威 DNS 伺服器，这些伺服器分布于全球各地，以提供冗余、信任和性能。

这些伺服器已由 Assured AB 审计，他们确认其遵循了权威 DNS 伺服器的最佳实践，并在投入生产之前进行了验证。

我们邀请您阅读我们在 2022 年 5 月结束的首次安全审计的最终报告，该审计针对 Mullvad 的权威 DNS 伺服器，在 2022 年 6 月初部署了修复，并在 2022 年 8 月投入生产。

这些伺服器在投入生产之前进行了审计，我们现在发布此报告，以便大家了解伺服器的全面部署状况。

我们给予 Assured AB 通过 SSH 对我们生产伺服器副本的完全访问权限，并提供了单独的凭据，要求他们验证伺服器的安全性和设置。

审计报告可在 Assured AB 的网站上找到https//wwwassuredse/publications/AssuredMullvadDNSserverauditreport2022pdf

发现概述

关键要点： 我们的自我托管权威 DNS 服务已全面审计，无安全问题！

确认的关注漏洞

MUL006312 共享 SNMP 凭据中

引用 Assured AB 的话： “我们建议每台部署的机器获得其唯一的凭据，用于入站服务，以便在检测到泄漏时能够撤销。”

我们的评论： 我们已透过为每种伺服器类型添加唯一凭据，来改变 SNMP 认证方法。在这种情况下，权威 DNS 伺服器的凭据与 WireGuard VPN 伺服器及 OpenVPN 伺服器不同。

我们还将 SNMP 连接设置在我们自己的基于 WireGuard 的覆盖网络内，以便将所有的健康监控和度量数据进行传输。

MUL006313 宽松的防火墙策略低

引用 Assured AB 的话： “我们建议 INPUT 的默认策略设置为 DROP，以确保没有服务意外暴露。”

我们的评论： 我们确保所有伺服器使用默认的 DROP 策略。这最初是在对我们的 VPN 伺服器进行审计时实施的，现在正扩展到所有伺服器类型。

MUL006316 DNS 日志低

引用 Assured AB 的话： “默认类别未指定配置，这将导致 BIND 隐式将几个日志类别以信息级别发送到 syslog。”

我们的评论： 我们有公司政策确保不记录任何东西。在此服务投入生产之前，我们在 namedconflogging 配置档中设置了 category default { null }。

将其整合到我们的部署中

在我们的权威 DNS 伺服器完成审计后，我们开始将它们投入生产使用，并整合进我们的工作流程中。

通过实施我们自己的权威 DNS 伺服器，我们能够使用相同的 Ansible 代码库来控制 DNS 记录的上传，这些代码库用于部署我们其余的基础设施。

当伺服器首次配置时，我们的 DNS 伺服器会添加或更新记录，然后在需要时更新，或在伺服器退役时删除。

信任、可靠性以及一些节省的时间

这次迁移到我们自己的硬体使我们能够完全控制其运行内容。虽然不会有客户直接与它们互动，但我们对其配置有充分的了解，并且知道这一设置已经通过审计和批准，至少在这次初始审计期间是这样的。

我们感谢 Assured AB 对我们伺服器的审计，我们将在下一次审计周期中包括这些伺服器。

为了普遍的隐私权，Mullvad