Dokumentation

Vi tror vi öppenhet och vill dela med oss så mycket som möjligt av vår teknik, allt samlat här under Dokumentation.

Security

Blind Operator

Kernel-modul som raderar möjligheten för oss att se IP-adresser och sniffa trafik på våra servrar. Modulen tar bland annat bort allowed-ips i WireGuard samt access till sockets som tcpdump and liknande verktyg behöver för att kunna användas. Modulen laddas vid start och går inte att avladda efter den finns i systemet.

  • Inaktiverar laddning och avladding av andra kernel-moduler.
  • Inaktiverar tillgång till /dev/{mem,kmem,port} och /proc/kcore.
  • Inaktiverar skapning av AF_RAW och AF_INET(6)/SOCK_RAW sockets, för att blockera tcpdump.
  • Inaktiverar Ptrace, /proc/PID/mem och coredumps för att förhindra att data kan läsas ur userspace-applicationer som t.ex. OpenVPN.
  • Inaktiverar fälten endpoint och allowedips i WireGuard, för att förhindra åtkomst till klientinformation.
root@es1-wg1:~# tcpdump -ni eth0
tcpdump: eth0: You don't have permission to capture on that device
(socket: Operation not permitted)
root@es1-wg1:~# rmmod blind_operator_mode
rmmod: ERROR: ../libkmod/libkmod-module.c:777 kmod_module_remove_module() could not remove 'blind_operator_mode': Operation not permitted
rmmod: ERROR: could not remove module blind_operator_mode: Operation not permitted
root@es1-wg1:~# wg | head -n 15
interface: wg0
  public key: ZcFmXAL9JWCQoS//5w9WRDKTzTcOlhXXNOX/8d/cSF8=
  private key: (hidden)
  listening port: 51820

peer: xxx
  allowed ips: (none)
  latest handshake: 1 minute, 20 seconds ago
  transfer: 5.14 GiB received, 1.64 GiB sent

peer: yyy
  allowed ips: (none)

Inga hårddiskar

Våra VPN-servrar körs helt utan hårddiskar och annan typ av permanent lagringsmedia. Vi använder PXE för att boota Operativsystemet med hjälp av iPXE och en egenutvecklad Debian-version.

Inga loggar

Vi upprätthåller en 100% no-logging policy, vilket betyder att vi sparar varken accessloggar, trafikloggar, DNS-loggar eller någon annan typ av loggar som kan användas för att identifiera en kund.

  • AzireVPN loggar INGEN typ av trafik eller användarinformation vid användande av tjänsten.
  • AzireVPN loggar INTE tidsstämplar eller annan information som är relaterad till när en användare ansluter till/kopplar ifrån tjänsten.
  • AzireVPN loggar INTE bandbreddsanvändning, samt tillämpar INGEN bandbreddsbegränsning.
  • AzireVPN loggar INTE Kundens privata IP-adress, ELLER den IP-adress som blir allokerad från AzireVPN när Kunden kopplar upp sig till Tjänsten.
  • AzireVPN loggar INTE antalet aktiva sessioner eller totala sessioner en Kund har.
  • AzireVPN loggar INTE några DNS-förfrågningar.