wireguard


WireGuard este un nou protocol VPN interesant, care are potențialul de a aduce schimbări majore industriei VPN. În comparație cu protocoalele VPN existente, cum ar fi OpenVPN și IPSec, WireGuard poate oferi viteze mai rapide și o mai bună fiabilitate cu noi standarde de criptare îmbunătățite.

Deși oferă câteva caracteristici promițătoare în ceea ce privește simplitatea, viteza și criptografia, WireGuard are, de asemenea, unele dezavantaje de remarcat, despre care vom discuta în detaliu mai jos.

În acest ghid VPN în cinci părți al VPN, vom include:

  1. Ce este WireGuard
  2. Profesorii WireGuard
  3. WireGuard Cons (de ce nu este recomandat încă)
  4. Care furnizori VPN acceptă în prezent WireGuard
  5. Viitorul WireGuard

Deci, să ne scufundăm!

Ce este WireGuard?

WireGuard este un protocol VPN nou, experimental, care își propune să ofere o soluție mai simplă, mai rapidă și mai sigură pentru tunelarea VPN decât protocoalele VPN existente. WireGuard are unele diferențe majore în comparație cu OpenVPN și IPSec, cum ar fi dimensiunea codului (sub 4.000 de linii!), Viteza și standardele de criptare.

Dezvoltatorul din spatele WireGuard este Jason Donenfeld, fondatorul Edge Security. (Termenul „WireGuard” este, de asemenea, o marcă comercială înregistrată a Donenfeld.) Într-un interviu pe care l-am urmărit, Donenfeld a spus că ideea pentru WireGuard a venit atunci când trăia peste mări și avea nevoie de VPN pentru Netflix..

De ce există atât de zumzet în jurul WireGuard?

Ei bine, oferă câteva avantaje potențiale față de protocoalele VPN existente, după cum vom discuta mai jos. A atras chiar atenția Linus Torvalds, dezvoltatorul din spatele Linux, care a spus asta în lista de distribuție a Linux Kernel:

Pot să-mi spun încă o dată dragostea pentru [WireGuard] și sper că va fi contopită în curând? Poate că codul nu este perfect, dar l-am degresat și, în comparație cu ororile OpenVPN și IPSec, este o operă de artă.

Să examinăm mai întâi avantajele WireGuard.

Profesorii WireGuard

Iată câteva dintre „avantajele” pe care le oferă WireGuard:

1. Criptare actualizată

Așa cum s-a explicat în diferite interviuri, Jason Donenfeld a dorit să actualizeze ceea ce el a considerat protocoale „învechite” cu OpenVPN și IPSec. WireGuard folosește următoarele protocoale și primitive, așa cum este descris pe site-ul său web:

  • ChaCha20 pentru criptarea simetrică, autentificată cu Poly1305, folosind construcția AEAD a RFC7539
  • Curba25519 pentru ECDH
  • BLAKE2s pentru hashing și hashing cu cheie, descrise în RFC7693
  • SipHash24 pentru tastele hashtable
  • HKDF pentru derivarea cheilor, așa cum este descris în RFC5869

Puteți afla mai multe despre criptografia modernă a WireGuard pe site-ul oficial sau în cartea albă tehnică.

2. bază de cod simplă și minimă

WireGuard se remarcă cu adevărat în ceea ce privește baza sa de coduri, care este în prezent aproximativ 3.800 de linii. Acest lucru este în contrast puternic cu OpenVPN și OpenSSL, care au un număr de aproximativ 600.000 de linii. IPSec este de asemenea voluminoasă la aproximativ 400.000 de linii totale cu XFRM și StrongSwan împreună.

Care sunt avantajele unei baze de cod mai mici?

  1. Este mult mai ușor să auditați. OpenVPN ar avea nevoie de o echipă numeroasă multe zile pentru a audita. O persoană poate citi prin codebase-ul WireGuard în câteva ore.
  2. Mai ușor de verificat = mai ușor de găsit vulnerabilități, ceea ce ajută la păstrarea securității WireGuard
  3. Suprafață de atac mult mai mică în comparație cu OpenVPN și IPSec
  4. Performanță mai bună

Deși baza de cod mai mică este într-adevăr un avantaj, ea reflectă și unele limitări, după cum vom discuta mai jos.

3. Îmbunătățiri ale performanței

Viteza poate fi un factor limitant pentru VPN-uri - din mai multe motive diferite. WireGuard este proiectat pentru a oferi îmbunătățiri semnificative în domeniul de performanță:

O combinație de primitive criptografice cu o viteză extrem de mare și faptul că WireGuard trăiește în interiorul nucleului Linux înseamnă că o rețea sigură poate fi foarte mare. Este potrivit atât pentru dispozitive mici încorporate, cum ar fi smartphone-urile și routerele cu coloana vertebrală complet încărcate.

Teoretic, WireGuard ar trebui să ofere performanțe îmbunătățite în modul de:

  • Viteze mai rapide
  • Durată de viață mai bună a bateriei cu telefoane / tablete
  • Mai bună asistență în roaming (dispozitive mobile)
  • Mai multă fiabilitate
  • Mai rapid la stabilirea conexiunilor / reconectărilor (strângere de mână mai rapidă)

WireGuard ar trebui să fie benefic pentru utilizatorii de VPN mobile. Cu WireGuard, dacă dispozitivul dvs. mobil schimbă interfețele de rețea, cum ar fi trecerea de la WiFi la datele mobile / celulare, conexiunea va rămâne atâta timp cât clientul VPN continuă să trimită date autentificate serverului VPN.

4. Ușoritatea de utilizare a platformelor încrucișate

Deși nu este încă pregătit pentru prime time, WireGuard ar trebui să funcționeze foarte bine pe diferite platforme. WireGuard acceptă Mac OS, Android, iOS și Linux, suportul Windows fiind încă în curs de dezvoltare.

O altă caracteristică interesantă cu WireGuard este că folosește chei publice pentru identificare și criptare, în timp ce OpenVPN folosește certificate. Acest lucru creează unele probleme pentru utilizarea WireGuard într-un client VPN, cu toate acestea, precum generarea și gestionarea cheilor.

WireGuard Cons

wireguard vpn serviceÎn timp ce WireGuard oferă multe avantaje interesante, în prezent vine cu unele dezavantaje de remarcat.

1. Încă în curs de dezvoltare „grea”, nu este pregătit, nu este auditat

În ciuda faptului că WireGuard rămâne în curs de „dezvoltare puternică” și nu este încă pregătit pentru utilizare generală, există multe persoane care caută să-l folosească imediat ca protocol principal VPN. Puteți găsi o mulțime de promoții WireGuard pe reddit și pe diverse forumuri - adică urmărind cea mai recentă tendință VPN.

Trebuie subliniat că WireGuard nu este complet, nu a trecut un audit de securitate, iar dezvoltatorii avertizează explicit despre încrederea codului curent:

WireGuard nu este încă finalizat. Nu trebuie să vă bazați pe acest cod. Nu a fost supus unor grade adecvate de audit de securitate, iar protocolul este încă susceptibil de a fi modificat. Lucrăm la o versiune de 1.0 stabilă, dar acest timp nu a venit încă.

Cu toate acestea, există o mulțime de VPN-uri care se pregătesc sau care oferă sprijin WireGuard chiar acum. Cu toate acestea, în acest moment, ar trebui să utilizați numai WireGuard numai în scopuri de testare.

2. Probleme de confidențialitate și jurnalele WireGuard

În timp ce WireGuard poate oferi avantaje în ceea ce privește performanța și securitatea, prin proiectare nu este bun pentru confidențialitate.

Câțiva furnizori VPN și-au exprimat îngrijorarea cu privire la capacitatea de a utiliza WireGuard fără jurnalele și modul în care aceasta poate afecta confidențialitatea utilizatorilor.

AzireVPN, unul dintre primele VPN-uri care a implementat WireGuard, a spus asta anul trecut:

La AzireVPN, ne pasă de politica noastră fără logare, de aceea toate serverele noastre rulează pe hardware fără disc și toate fișierele de jurnal sunt conectate la / dev / null.

Dar când vine vorba de WireGuard, comportamentul implicit este să aibă vizibil endpoint-ul și permit-ip-ul în interfața serverului, ceea ce nu funcționează cu adevărat cu politica noastră de confidențialitate. Nu ar trebui să știm despre IP-ul sursă și nu putem accepta să-l vizibil pe serverele noastre.

 a încercat să rezolve aceste probleme angajând Jason Donenfeld pentru a „scrie un modul de tip rootkit care înlătură capacitatea unui administrator de sistem obișnuit să interogheze informații finale sau permise ip despre colegii WireGuard și dezactivează capacitatea de a rula tcpdump” (vezi aici).

Confidențialitate perfectă a susținut că WireGuard este „Nu poate fi folosit fără jurnalele de bord” într-un interesant:

WireGuard nu are o gestionare dinamică a adreselor, adresele client sunt fixe. Asta înseamnă că va trebui să înregistrăm fiecare dispozitiv activ al clienților noștri și să atribuim adresele IP statice pe fiecare server VPN. În plus, va trebui să stocăm ultima oră de timp de conectare pentru fiecare dispozitiv pentru a solicita adrese IP neutilizate. Utilizatorii noștri nu vor putea apoi să vă conecteze dispozitivele după câteva săptămâni, deoarece adresele ar fi fost reasignate.

Este deosebit de important pentru noi că nu creăm și nu stocăm deloc jurnalele de conexiune. Prin urmare, nu putem stoca datele de înregistrare și autentificare de mai sus care ar fi necesare în prezent pentru a funcționa WireGuard.

VPN.ac a ridicat îngrijorări similare cu privire la defectele WireGuard în ceea ce privește confidențialitatea utilizatorilor:

Considerații privind confidențialitatea: după design, WireGuard nu este potrivit pentru niciuna / politicile de înregistrare limitate. Mai exact, ultimul IP public al utilizatorului va fi salvat în limita utilizată pentru conectare și nu poate fi eliminat într-o zi, conform politicii noastre de confidențialitate actuale. La o dată ulterioară, vom face probabil câteva modificări ale codului sursă pentru a igieniza sau elimina ultimul IP public utilizat.

ExpressVPN este un alt serviciu VPN care a exprimat îngrijorările cu privire la proiectarea WireGuard a implicațiilor sale pentru confidențialitate:

Una dintre provocările cu care se confruntă WireGuard este de a asigura anonimatul pentru VPN-uri. Niciunui utilizator nu trebuie să li se aloce static o singură adresă IP, nici pe o rețea publică și nici pe o rețea virtuală. Adresa IP internă a unui utilizator poate fi descoperită de un adversar (de exemplu, prin WebRTC), care ar putea apoi să-l potrivească cu înregistrările dobândite de la un furnizor VPN (prin furt, vânzare sau confiscare legală). O VPN bună nu trebuie să fie în măsură să corespundă unui astfel de identificator cu un singur utilizator. În prezent, această configurație nu este ușor realizată cu WireGuard.

ExpressVPN va sprijini eforturile de revizuire și audit al codului WireGuard, așa cum am făcut în trecut cu OpenVPN. Vom contribui la coduri și vom raporta erori ori de câte ori putem și vom ridica probleme de securitate și confidențialitate direct cu echipa de dezvoltare.

AirVPN a trecut de asemenea asupra implicațiilor WireGuard pentru anonimat, așa cum este explicat în forumul lor:

Wireguard, în starea sa actuală, nu numai că este periculos, deoarece îi lipsește caracteristicile de bază și este un software experimental, dar slăbește periculos și stratul de anonimat. Serviciul nostru își propune să ofere un anumit nivel de anonimat, prin urmare nu putem lua în considerare ceva care îl slăbește atât de profund.

Vom lua în considerare cu plăcere Wireguard atunci când va ajunge la o lansare stabilă ȘI oferă cel puțin cele mai de bază opțiuni pe care OpenVPN le-a putut oferi încă de acum 15 ani. Infrastructura poate fi adaptată, misiunea noastră nu poate.

În forumurile lor, au explicat în continuare de ce WireGuard nu îndeplinește pur și simplu cerințele lor:

  • Wireguard nu are gestionare dinamică a adreselor IP. Clientului trebuie să i se atribuie în prealabil o adresă IP VPN predefinită legată în mod unic de cheia sa de pe fiecare server VPN. Impactul asupra stratului de anonimat este catastrofal;
  • Clientul Wireguard nu verifică identitatea serverului (o caracteristică atât de esențială, încât va fi implementată cu siguranță atunci când Wireguard nu va mai fi un software-ul experimental); impactul asupra securității cauzate de acest defect este foarte mare;
  • Asistența TCP lipsește (terță parte sau oricum este necesar un cod suplimentar pentru a utiliza TCP ca protocol de tunelare, așa cum sugerezi și asta este o regresie oribilă în comparație cu OpenVPN);
  • nu există suport pentru conectarea Wireguard la un server VPN prin unele proxy cu o varietate de metode de autentificare.

În ciuda acestor îngrijorări, multe servicii VPN deja implementează suportul complet WireGuard. Alte VPN urmăresc proiectul și sunt interesate să implementeze WireGuard după ce a fost verificat și îmbunătățit.

Între timp, însă, așa cum a declarat AirVPN în forumul lor:

„Nu vom folosi clienții noștri ca testeri.”

3. Nou și testat

Sigur, OpenVPN are problemele sale, dar are, de asemenea, un palmares lung și este un protocol VPN dovedit, cu audituri ample. În timp ce Donenfeld se poate referi la OpenVPN ca „depășit” în diferite interviuri, alții îl pot vedea ca fiind dovedit și de încredere - calități cărora le lipsește în prezent WireGuard.

Lansat inițial în 2001, OpenVPN are o istorie foarte lungă. OpenVPN beneficiază de asemenea de o bază mare de utilizatori și de o dezvoltare activă cu actualizări periodice. În mai 2017, a fost supus unui audit major de către OSTIF, Fondul pentru îmbunătățirea tehnologiei Open Source.

În acest moment, WireGuard pare a fi mai mult un proiect de nișă - dar unul cu potențial pentru industrie. Este foarte nouă și nu este încă în faza „dezvoltării grele”, deși a trecut printr-o verificare oficială. Chiar și după lansarea oficială a WireGuard, utilizatorii ar fi înțelepți să procedeze cu precauție.

4. Adopție limitată (deocamdată)

După cum am menționat mai sus, există câteva obstacole mari în calea adopției WireGuard în întreaga industrie:

  • Problema cu gestionarea și distribuția cheilor (mai degrabă decât folosirea certificatelor).
  • WireGuard are nevoie de propria infrastructură, separată de serverele OpenVPN existente.
  • Compatibilitatea cu operațiunile existente. Pentru furnizorii care și-au construit serviciul și funcțiile în jurul OpenVPN, este posibil ca WireGuard să nu fie în curând în carduri.

Confidențialitate perfectă, care WireGuard nu este compatibilă cu funcțiile lor existente pe partea de server, cum ar fi cascade VPN multi-hop, TrackStop și NeuroRouting. Cu toate acestea, am contactat Perfect Privacy și mi-au confirmat că pot susține WireGuard ca opțiune de sine stătătoare la o dată ulterioară.

În mod similar, AirVPN a mai declarat că WireGuard este „total inutilizabil” cu infrastructura lor:

În momentul de față este total inutilizabile în infrastructura noastră pentru că nu are suport TCP, nu are atribuire IP VPN dinamică și (cel puțin construirea pe care am văzut-o), nu are o caracteristică de securitate strict necesară (verificarea certificatului CA furnizat de server, prin urmare, clientul nu poate fi sigur că pe altă parte, o entitate ostilă nu prevestește un server VPN).

Concluzie: nu este recomandat

Având în vedere starea actuală a WireGuard, implicațiile de confidențialitate și faptul că nu a fost auditat, WireGuard nu este recomandat pentru utilizare regulată.

Mai mult, preocupările de confidențialitate care sunt inerente cu WireGuard (prin design!) Sunt un dezavantaj major.

Acest lucru nu este probabil să se îmbunătățească și obligă serviciile VPN să creeze un fel de soluție unică, care să o facă să funcționeze cu politicile lor fără jurnal, așa cum am văzut mai sus cu AzireVPN. Acest dezavantaj nu afectează OpenVPN.

Cu toate acestea, WireGuard poate fi ideal pentru unii utilizatori, în funcție de modelul de amenințare și nevoile specifice ale acestora. În prezent, ar fi însă înțelept să rămânem cu OpenVPN sau poate IPSec pentru o utilizare regulată.

Ce servicii VPN acceptă WireGuard?

Iată VPN-urile care acceptă în prezent WireGuard sau au confirmat că testează WireGuard cu intenția de a sprijini protocolul atunci când este gata:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (încă în testare)
  7. Acces la internet privat (încă în testare)

Acum vom arunca o privire mai atentă la fiecare dintre aceste servicii VPN WireGuard de mai jos.

1. AzireVPN - serverele WireGuard live

AzireVPN este un serviciu VPN din Suedia, axat pe confidențialitate și securitate. A fost unul dintre cei mai vechi adoptatori ai WireGuard și are o secțiune WireGuard:

Am dezvoltat o API pentru distribuirea cheilor și căutăm să adăugăm WireGuard clientului nostru. În acest moment, acest protocol poate fi utilizat pe Windows, Linux, macOS, Android și routere care rulează OpenWRT, dar suportul pentru Windows va veni în curând. Pur și simplu înregistrați-vă pentru a vă conecta la toate serverele noastre WireGuard, disponibile în fiecare locație.

Notă: AzireVPN acceptă în prezent utilizatorii Windows prin intermediul clientului VPN terț TunSafe. Cu toate acestea, în acest moment nu există suport oficial WireGuard pentru Windows, iar dezvoltatorul recomandă să nu utilizați clienți terți:

Un client Windows vine în curând. Între timp, vi se recomandă să rămâneți departe de clienții Windows care nu sunt eliberați de pe acest site, deoarece pot fi periculoși de utilizat, în ciuda eforturilor de marketing.

2. VPN.ac - serverele WireGuard live

este un serviciu VPN românesc pe care îl folosesc și îl testez de mai mulți ani (consultați recenzia VPN.ac).

VPN.ac a anunțat pe blogul lor că, după ce au testat WireGuard pe plan intern, au decis să sprijine protocolul. După cum au explicat pe blogul lor:

Initial va fi disponibil in versiune beta. Implementarea este un pic provocatoare, datorită designului WireGuard care nu o face să se încadreze în infrastructura noastră..

Ne dorim ca implementarea să fie cât mai bună și simplă posibil de la zero și complet automatizată. Acest lucru necesită destul de multe lucrări pe partea din spate: API-uri, chei de sincronizare a serverelor și așa mai departe. Nu este la fel de ușor ca să tragi un alt server, dar cu siguranță realizabil.

VPN.ac a stabilit trei etape pentru integrarea completă a WireGuard în serviciul lor:

  • Etapa 1: proiectarea și implementarea API-urilor back-end
  • Etapa 2: disponibilitate front-end a generatorului de configurare pentru configurarea manuală / software client terț
  • Etapa 3: implementare în aplicațiile noastre client VPN

Dacă doriți să testați WireGuard cu VPN.ac, acestea oferă (consultați pagina FAQ), care vă oferă un abonament complet de o săptămână pentru 2 USD.

3. TorGuard - serverele WireGuard live

TorGuard este un serviciu VPN din SUA pe care l-am găsit că oferă performanțe bune și multe funcții, inclusiv servicii de e-mail, adrese IP dedicate și pachete de streaming..

Site-ul TorGuard are diverse ghiduri pentru configurarea TorGuard pe diferite dispozitive.

4. Mullvad - serverele WireGuard live

cel mai bun vpn pentru wireguard

Ca și AzireVPN, Mullvad are, de asemenea, sediul în Suedia și a fost unul dintre primele VPN-uri care a implementat WireGuard.

În prezent, Mullvad acceptă WireGuard pe Linux, Mac OS, Android și unele routere. De asemenea, au o rețea mare de servere WireGuard active (49 în total), pe lângă 281 de servere OpenVPN.

https://mullvad.net/

5. IVPN - serverele WireGuard live

ivpn wireguard

IVPN este un serviciu VPN bazat pe Gibraltar, care acceptă și WireGuard. Se pare că IVPN este primul furnizor care a construit WireGuard în propriii clienți VPN, așa cum explică pe site-ul lor web, ceea ce este interesant, deoarece codul este încă în curs de dezvoltare. După cum explică IVPN pe site-ul său web:

WireGuard este disponibil pe macOS-ul nostru, iOS & Clienți Android. De asemenea, vă puteți conecta folosind cele mai multe distrosuri Linux. WireGuard nu este acceptat pe Windows în acest moment.

IVPN are în prezent 10 locații de server WireGuard.

https://www.ivpn.net/

Alți furnizori VPN WireGuard

Există, de asemenea, câteva servicii VPN diferite care și-au declarat public intențiile de a adăuga WireGuard, dar nu sunt încă pregătite pentru implementare.

NordVPN

NordVPN nu acceptă în prezent WireGuard, dar îl testează activ și se pregătesc pentru o lansare când este gata.

Acces la internet privat

Accesul la internet privat este un mare susținător al WireGuard și a donat și cauza. Cu toate acestea, nu este pregătit să tragă declanșatorul și să ofere WireGuard utilizatorilor săi din cauza stării actuale și a lipsei unui audit, așa cum au explicat pe reddit:

WireGuard este excelent, dar este în curs de dezvoltare activă. Acest lucru înseamnă că există probleme de securitate care așteaptă să fie găsite și ar putea exista consecințe grave pentru furnizorii de VPN care sunt adoptatori timpurii. O încălcare a securității sau vieții private este un risc pe care nu îl putem asuma ca organizație.

Viitorul VPN WireGuard

Ce păstrează viitorul pentru VPN WireGuard?

După ce WireGuard va fi lansat complet, va fi auditat și va fi eliberat pentru utilizare regulată, probabil că va continua să câștige popularitate - presupunând că este bine primit de baza de utilizatori VPN. Odată cu popularitatea și cererea din ce în ce mai mare, puteți fi sigur că mai multe servicii VPN vor încorpora WireGuard în infrastructura lor - chiar dacă asta vine cu anumite dureri în creștere. În timp ce multe dintre serviciile VPN de top nu acceptă în prezent WireGuard, acest lucru se poate schimba în timp.

Datorită interesului utilizatorilor, vedem deja adopți precoce și diverși furnizori VPN care folosesc implementarea WireGuard ca instrument de marketing, cu comunicate de presă însoțitoare (** tuse ** doar pentru testare **tuse**). Această tendință va continua probabil.

WireGuard poate deveni un protocol popular pentru utilizatorii de telefonie mobilă, unde oferă într-adevăr câteva avantaje.

Dacă doriți să încercați acest nou protocol VPN, puteți testa dispozitivul cu unul dintre serviciile VPG WireGuard de mai sus. Asigurați-vă că luați în considerare implicații de confidențialitate și securitate având în vedere starea actuală a proiectului. Până când WireGuard este lansat și auditat complet, totuși, cel mai bine ar fi să rămâneți cu OpenVPN sau IPSec pentru o utilizare regulată.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me