wireguard


WireGuard - это интересный новый протокол VPN, который может внести существенные изменения в индустрию VPN. По сравнению с существующими протоколами VPN, такими как OpenVPN и IPSec, WireGuard может предложить более высокие скорости и надежность с новыми и улучшенными стандартами шифрования.

Несмотря на то, что он предлагает некоторые многообещающие функции с точки зрения простоты, скорости и криптографии, WireGuard также имеет некоторые примечательные недостатки, о которых мы подробно поговорим ниже..

В этом руководстве по WireGuard VPN из пяти частей мы рассмотрим:

  1. Что такое WireGuard
  2. WireGuard Pros
  3. Недостатки WireGuard (почему это еще не рекомендуется)
  4. Какие провайдеры VPN в настоящее время поддерживают WireGuard
  5. Будущее WireGuard

Итак, давайте погрузимся в!

Что такое WireGuard?

WireGuard - это новый экспериментальный протокол VPN, который призван предложить более простое, быстрое и безопасное решение для VPN-туннелирования, чем существующие протоколы VPN. У WireGuard есть некоторые существенные различия по сравнению с OpenVPN и IPSec, такие как размер кода (менее 4000 строк!), Скорость и стандарты шифрования..

Разработчиком WireGuard является Джейсон Доненфельд, основатель Edge Security. (Термин «WireGuard» также является зарегистрированным товарным знаком Donenfeld.) В одном из моих интервью Доненфельд сказал, что идея для WireGuard пришла, когда он жил за границей и нуждался в VPN для Netflix..

Почему так много шума вокруг WireGuard?

Что ж, он предлагает некоторые потенциальные преимущества по сравнению с существующими протоколами VPN, о чем мы поговорим ниже. Он даже привлек внимание Линуса Торвальдса, разработчика Linux, который сказал это в списке рассылки ядра Linux:

Могу ли я еще раз заявить о своей любви к [WireGuard] и надеяться, что он скоро будет объединен? Возможно, код не идеален, но я просмотрел его, и по сравнению с ужасами OpenVPN и IPSec, это произведение искусства.

Давайте сначала рассмотрим преимущества WireGuard.

WireGuard Pros

Вот некоторые из «плюсов», которые предлагает WireGuard:

1. Обновлено шифрование

Как объяснялось в разных интервью, Джейсон Доненфельд хотел обновить устаревшие протоколы с помощью OpenVPN и IPSec. WireGuard использует следующие протоколы и примитивы, как описано на его веб-сайте:

  • ChaCha20 для симметричного шифрования, аутентифицированный в Poly1305, с использованием конструкции AEAD RFC7539
  • Curve25519 для ECDH
  • BLAKE2 для хеширования и хеширования с ключом, описанного в RFC7693
  • SipHash24 для ключей хеш-таблицы
  • HKDF для получения ключа, как описано в RFC5869

Вы можете узнать больше о современной криптографии WireGuard на официальном сайте или в техническом документе.

2. Простая и минимальная кодовая база

WireGuard действительно выделяется своей кодовой базой, которая в настоящее время составляет около 3800 строк. Это резко контрастирует с OpenVPN и OpenSSL, которые объединяют около 600 000 строк. IPSec также громоздкий - около 400 000 линий вместе с XFRM и StrongSwan вместе.

Каковы преимущества меньшей базы кода?

  1. Это гораздо проще для аудита. OpenVPN потребовал бы большой команды для аудита. Один человек может прочитать кодовую базу WireGuard за несколько часов.
  2. Легче проверять = легче находить уязвимости, что помогает обеспечить безопасность WireGuard
  3. Гораздо меньшая поверхность атаки по сравнению с OpenVPN и IPSec
  4. Лучшая производительность

Хотя меньшая база кода действительно является преимуществом, она также отражает некоторые ограничения, о чем мы поговорим ниже..

3. Улучшения производительности

Скорости могут быть ограничивающим фактором для VPN - по многим различным причинам. WireGuard призван предложить значительные улучшения в области производительности:

Сочетание чрезвычайно высокоскоростных криптографических примитивов и того факта, что WireGuard живет в ядре Linux, означает, что безопасная сеть может быть очень высокоскоростной. Он подходит как для небольших встроенных устройств, таких как смартфоны, так и для полностью загруженных магистральных маршрутизаторов..

Теоретически, WireGuard должен предлагать улучшенную производительность в виде:

  • Более быстрые скорости
  • Лучшее время автономной работы с телефонами / планшетами
  • Лучшая поддержка роуминга (мобильные устройства)
  • Больше надежности
  • Быстрее при установлении соединений / переподключений (более быстрое рукопожатие)

WireGuard должен быть полезен для пользователей мобильных VPN. С WireGuard, если ваше мобильное устройство меняет сетевые интерфейсы, такие как переключение с WiFi на мобильные / сотовые данные, соединение будет оставаться до тех пор, пока VPN-клиент продолжает отправлять аутентифицированные данные на VPN-сервер..

4. Кроссплатформенная простота использования

Хотя WireGuard еще не готов к прайм-тайм, он должен очень хорошо работать на разных платформах. WireGuard поддерживает Mac OS, Android, iOS и Linux, а поддержка Windows все еще находится в разработке.

Еще одна интересная особенность WireGuard заключается в том, что он использует открытые ключи для идентификации и шифрования, тогда как OpenVPN использует сертификаты. Однако это создает некоторые проблемы для использования WireGuard в VPN-клиенте, такие как генерация ключей и управление ими..

WireGuard Минусы

проволочная служба vpn сервисВ то время как WireGuard предлагает много захватывающих преимуществ, в настоящее время он имеет некоторые примечательные недостатки.

1. Все еще в «тяжелой» разработке, не готов, не проверен

Несмотря на то, что WireGuard находится в стадии «интенсивной разработки» и еще не готов к общему использованию, многие люди хотят использовать его в качестве основного протокола VPN. Вы можете найти много рекламы для WireGuard на Reddit и на разных форумах - то есть в погоне за последним трендом VPN.

Следует отметить, что WireGuard не завершен, он не прошел аудит безопасности, и разработчики явно предупреждают о доверии текущему коду:

WireGuard еще не завершен. Вы не должны полагаться на этот код. Он не прошел должной степени аудита безопасности, и протокол все еще может быть изменен. Мы работаем над стабильной версией 1.0, но это время еще не пришло.

Тем не менее, есть несколько VPN, готовящихся или предлагающих поддержку WireGuard прямо сейчас. На данный момент, однако, вы должны использовать только WireGuard только для тестирования.

2. Проблемы конфиденциальности и журналы WireGuard

В то время как WireGuard может предложить преимущества с точки зрения производительности и безопасности, по своей конструкции это не очень хорошо для конфиденциальности.

Ряд провайдеров VPN выразили озабоченность по поводу возможности использования WireGuard без журналов и как это может повлиять на конфиденциальность пользователей.

AzireVPN, одна из первых VPN, которая внедрила WireGuard, сказала это в прошлом году:

В AzireVPN мы заботимся о нашей политике отсутствия регистрации, поэтому все наши серверы работают на бездисковом оборудовании, а все файлы журнала передаются в / dev / null..

Но когда дело доходит до WireGuard, поведение по умолчанию заключается в том, что конечная точка и allow-ip видимы в интерфейсе сервера, что на самом деле не работает с нашей политикой конфиденциальности. Мы не должны знать о вашем исходном IP-адресе и не можем допустить, чтобы он был виден на наших серверах..

 попытался обойти эти проблемы, наняв Джейсона Доненфельда «написать руткит-подобный модуль, который лишает возможности обычного системного администратора запрашивать информацию о конечных точках или разрешенном ip о пирах WireGuard и отключает возможность запуска tcpdump» (см. здесь).

Идеальная конфиденциальность утверждал, что WireGuard «Нельзя использовать без журналов» в интересном:

WireGuard не имеет динамического управления адресами, клиентские адреса фиксированы. Это означает, что нам придется регистрировать каждое активное устройство наших клиентов и назначать статические IP-адреса на каждом из наших VPN-серверов. Кроме того, нам нужно было бы сохранить последнюю временную метку входа для каждого устройства, чтобы восстановить неиспользуемые IP-адреса. Наши пользователи не смогут подключить ваши устройства через несколько недель, потому что адреса будут переназначены..

Для нас особенно важно, чтобы мы вообще не создавали и не хранили журналы соединений. Поэтому мы не можем хранить вышеуказанные данные регистрации и входа в систему, которые в настоящее время необходимы для работы WireGuard..

VPN.ac возникли аналогичные опасения по поводу недостатков WireGuard в отношении конфиденциальности пользователей:

Вопросы конфиденциальности: по своей конструкции WireGuard не подходит ни для одной / ограниченной политики ведения журнала. В частности, последний общедоступный IP-адрес пользователя будет сохранен на сервере, который используется для подключения, и он не может быть удален в течение дня в соответствии с нашей текущей политикой конфиденциальности. Позже мы, вероятно, внесем некоторые изменения в исходный код для очистки или удаления последнего использованного публичного IP-адреса..

ExpressVPN это еще один сервис VPN, который выразил озабоченность по поводу дизайна WireGuard и его последствий для конфиденциальности:

Одной из проблем, с которой сталкивается WireGuard, является обеспечение анонимности для VPN. Ни одному пользователю не должен быть статически выделен один IP-адрес ни в публичной, ни в виртуальной сети. Внутренний IP-адрес пользователя может быть обнаружен злоумышленником (например, через WebRTC), который затем сможет сопоставить его с записями, полученными от поставщика VPN (через кражу, продажу или законный захват). Хороший VPN должен быть не в состоянии сопоставить такой идентификатор одному пользователю. В настоящее время эту настройку нелегко выполнить с помощью WireGuard..

ExpressVPN будет поддерживать усилия по проверке и аудиту кода WireGuard, как мы это делали в прошлом с OpenVPN. Мы будем вносить код и сообщать об ошибках, когда сможем, и сообщать о проблемах безопасности и конфиденциальности непосредственно команде разработчиков..

AirVPN также высказался в связи с последствиями WireGuard для анонимности, как объяснено на их форуме:

Wireguard в своем нынешнем состоянии не только опасен, поскольку в нем отсутствуют базовые функции и является экспериментальным программным обеспечением, но также опасно ослабляет уровень анонимности. Наш сервис нацелен на обеспечение некоторого уровня анонимности, поэтому мы не можем принять во внимание то, что так сильно его ослабляет.

Мы с радостью примем во внимание Wireguard, когда он достигнет стабильной версии, и предложат, по крайней мере, самые базовые опции, которые OpenVPN может предложить с 15 лет назад. Инфраструктура может быть адаптирована, наша миссия не может.

На их форумах далее объясняется, почему WireGuard просто не соответствует их требованиям:

  • В Wireguard отсутствует динамическое управление IP-адресами. Клиенту необходимо заранее назначить заранее определенный IP-адрес VPN, однозначно связанный с его ключом на каждом сервере VPN. Воздействие на слой анонимности является катастрофическим;
  • Клиент Wireguard не проверяет подлинность сервера (функция настолько важна, что она обязательно будет реализована, когда Wireguard больше не будет экспериментальным программным обеспечением); влияние на безопасность, вызванное этим недостатком, очень велико;
  • Поддержка TCP отсутствует (сторонний или любой другой дополнительный код необходим для использования TCP в качестве протокола туннелирования, как вы предлагаете, и это ужасный регресс по сравнению с OpenVPN);
  • отсутствует поддержка подключения Wireguard к VPN-серверу через некоторый прокси-сервер с различными методами аутентификации.

Несмотря на эти опасения, многие VPN-сервисы уже развертывают полную поддержку WireGuard. Другие VPN наблюдают за проектом и заинтересованы в реализации WireGuard после того, как он был тщательно проверен и улучшен..

Тем временем, однако, как заявил AirVPN на своем форуме:

«Мы не будем использовать наших клиентов в качестве тестеров».

3. Новые и непроверенные

Конечно, у OpenVPN есть свои проблемы, но он также имеет большой послужной список и является проверенным протоколом VPN с обширным аудитом. В то время как Доненфельд может называть OpenVPN «устаревшим» в различных интервью, другие могут считать его проверенным и заслуживающим доверия - качества, которого в настоящее время не хватает в WireGuard..

Изначально выпущенный в 2001 году, OpenVPN имеет очень долгую историю. OpenVPN также выигрывает от большой базы пользователей и активной разработки с регулярными обновлениями. В мае 2017 года он прошел серьезный аудит со стороны OSTIF, Фонда улучшения технологий с открытым исходным кодом..

На данный момент WireGuard выглядит скорее как нишевый проект, но с потенциалом для отрасли. Он очень новый и еще не вышел из фазы «тяжелой разработки», хотя он прошел официальную проверку. Тем не менее, даже после официального выпуска WireGuard пользователям будет разумно действовать с осторожностью..

4. Ограниченное принятие (пока)

Как мы рассмотрели выше, существуют некоторые серьезные препятствия на пути внедрения WireGuard в отрасли:

  • Проблема с управлением ключами и их распределением (вместо использования сертификатов).
  • WireGuard нужна собственная инфраструктура, отдельная от существующих серверов OpenVPN.
  • Совместимость с существующими операциями. Для провайдеров, которые построили свои услуги и функции на OpenVPN, WireGuard может не появиться в карточках в ближайшее время.

Идеальная конфиденциальность, что WireGuard несовместим с их существующими серверными функциями, такими как многопролетные каскады VPN, TrackStop и NeuroRouting. Тем не менее, я обратился к Perfect Privacy, и они подтвердили, что могут поддержать WireGuard как отдельный вариант на более позднем этапе..

Аналогичным образом, AirVPN также заявил, что WireGuard «полностью непригоден» для своей инфраструктуры:

На данный момент это совершенно непригоден в нашей инфраструктуре из-за отсутствия поддержки TCP, динамического назначения IP-адреса VPN и (по крайней мере, той сборки, которую мы видели) не хватает строго необходимой функции безопасности (проверка сертификата CA, предоставленного сервером, поэтому клиент не может быть уверен, что на другая сторона, какая-то враждебная сущность не выдаёт себя за VPN-сервер).

Вывод: не рекомендуется

Учитывая текущее состояние WireGuard, последствия для конфиденциальности и тот факт, что он не был проверен, WireGuard не рекомендуется для регулярного использования.

Кроме того, проблемы конфиденциальности, которые присущи WireGuard (по замыслу!), Являются серьезным недостатком.

Это вряд ли улучшится, и это заставит сервисы VPN создавать какое-то уникальное готовое решение, чтобы заставить его работать с их политиками отсутствия журналов, как мы видели выше с AzireVPN. Этот недостаток не влияет на OpenVPN.

Тем не менее, WireGuard может быть идеальным для некоторых пользователей, в зависимости от их модели угроз и конкретных потребностей. В настоящее время, однако, было бы целесообразно остаться с OpenVPN или, возможно, IPSec для регулярного использования..

Какие VPN-сервисы поддерживают WireGuard?

Вот VPN, которые в настоящее время поддерживают WireGuard или подтвердили, что они тестируют WireGuard с целью поддержки протокола, когда он будет готов:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (все еще в тестировании)
  7. Частный доступ в Интернет (все еще в процессе тестирования)

Теперь мы подробнее рассмотрим каждую из этих услуг WireGuard VPN ниже..

1. AzireVPN - серверы WireGuard работают

AzireVPN - это основанная в Швеции VPN-служба, ориентированная на конфиденциальность и безопасность. Это был один из первых пользователей WireGuard, у которого есть раздел WireGuard:

Мы разработали API для распространения ключей и изучаем возможность добавления WireGuard к нашему клиенту. На данный момент этот протокол может использоваться на Windows, Linux, macOS, Android и маршрутизаторах, работающих под управлением OpenWRT, но поддержка Windows скоро появится. Просто зарегистрируйтесь, чтобы подключиться ко всем нашим серверам WireGuard, доступным в каждом из наших местоположений.

Заметка: AzireVPN в настоящее время поддерживает пользователей Windows через сторонний VPN-клиент TunSafe. Однако официальной поддержки WireGuard для Windows в настоящее время нет, и разработчик рекомендует не использовать сторонние клиенты:

Клиент Windows скоро появится. Тем временем вам настоятельно рекомендуется держаться подальше от клиентов Windows, которые не выпущены с этого сайта, так как они могут быть опасны для использования, несмотря на маркетинговые усилия.

2. VPN.ac - серверы WireGuard работают

румынский VPN-сервис, который я использую и тестирую уже несколько лет (см. обзор VPN.ac).

VPN.ac объявил в своем блоге, что после внутреннего тестирования WireGuard они решили поддержать протокол. Как они объяснили в своем (блоге):

Первоначально он будет доступен в бета-версии. Внедрение немного сложное из-за дизайна WireGuard, который не вписывается в нашу инфраструктуру из коробки.

Мы хотим, чтобы реализация была максимально удобной и простой с нуля и полностью автоматизированной. Это требует некоторой работы со стороны сервера: интерфейсы API, ключи синхронизации серверов и так далее. Не так просто, как запустить еще один сервер, но, безусловно, выполнимо.

VPN.ac разработал три этапа полной интеграции WireGuard в их сервис:

  • Этап 1: разработка и развертывание внутренних API-интерфейсов
  • Этап 2: доступность внешнего интерфейса генератора конфигурации для ручной настройки / стороннего клиентского программного обеспечения
  • Этап 3: внедрение в наши клиентские приложения VPN

Если вы хотите протестировать WireGuard с VPN.ac, они предложат (см. Страницу часто задаваемых вопросов), что дает вам полную пробную подписку на одну неделю за 2 доллара..

3. TorGuard - серверы WireGuard работают

TorGuard - это VPN-сервис в США, который, как я обнаружил, предлагает хорошую производительность и множество функций, включая почтовые сервисы, выделенные IP-адреса и потоковые пакеты..

На сайте TorGuard есть различные руководства по настройке TorGuard на разных устройствах..

4. Mullvad - серверы WireGuard работают

лучший vpn для телеграфа

Как и AzireVPN, Mullvad также находится в Швеции и был одним из первых VPN, которые внедрили WireGuard..

В настоящее время Mullvad поддерживает WireGuard в Linux, Mac OS, Android и некоторых маршрутизаторах. Они также имеют большую сеть активных серверов WireGuard (всего 49) в дополнение к 281 серверу OpenVPN.

https://mullvad.net/

5. IVPN - серверы WireGuard работают

IVPN Wireguard

IVPN - это основанная на Гибралтаре VPN-служба, которая также поддерживает WireGuard. Похоже, что IVPN является первым провайдером, который встроил WireGuard в свои собственные VPN-клиенты, что объясняется на их веб-сайте, что интересно, поскольку код все еще находится в стадии разработки. Как объясняет IVPN на своем веб-сайте:

WireGuard доступен на наших MacOS, iOS & Клиенты Android. Вы также можете подключиться, используя большинство дистрибутивов Linux. WireGuard в настоящее время не поддерживается в Windows.

В настоящее время IVPN имеет 10 местоположений серверов WireGuard.

https://www.ivpn.net/

Другие провайдеры WireGuard VPN

Есть также несколько различных VPN-сервисов, которые публично заявили о своих намерениях добавить WireGuard, но еще не готовы к внедрению.

NordVPN

NordVPN в настоящее время не поддерживает WireGuard, но они активно тестируют его и готовятся к выпуску, когда он будет готов..

Частный доступ в интернет

Частный доступ в Интернет является большим сторонником WireGuard и также внес свой вклад в дело. Тем не менее, он не готов нажать триггер и предложить своим пользователям WireGuard из-за текущего состояния и отсутствия аудита, как они объяснили на reddit:

WireGuard великолепен, но активно развивается. Это означает, что существуют ошибки безопасности, ожидающие своего обнаружения, и это может привести к серьезным последствиям для провайдеров VPN, которые являются первыми пользователями. Нарушение безопасности или конфиденциальности - это риск, который мы не можем принять как организация.

Будущее WireGuard VPN

Так что же нас ждет в будущем для WireGuard VPN??

Как только WireGuard будет полностью выпущен, проверен и очищен для регулярного использования, он, вероятно, продолжит набирать популярность - при условии, что он будет хорошо принят пользователями VPN. С ростом популярности и спроса вы можете быть уверены, что все больше VPN-сервисов будут включать WireGuard в свою инфраструктуру - даже если это сопряжено с некоторыми проблемами роста. Хотя многие из лучших VPN-сервисов в настоящее время не поддерживают WireGuard, со временем они могут измениться.

Из-за интереса пользователей, мы уже видим, как первые пользователи и различные провайдеры VPN использовали свою реализацию WireGuard в качестве инструмента маркетинга с сопровождающими пресс-релизами (** кашель ** только для тестирования **кашель**). Эта тенденция, вероятно, продолжится.

WireGuard может стать популярным протоколом для мобильных пользователей, где он действительно предлагает некоторые преимущества.

Если вы хотите попробовать этот новый протокол VPN, вы можете протестировать его с помощью одной из услуг WireGuard VPN, описанной выше. Не забудьте рассмотреть последствия для конфиденциальности и безопасности учитывая текущее состояние проекта. Однако, пока WireGuard не будет полностью выпущен и проверен, было бы лучше придерживаться OpenVPN или IPSec для регулярного использования..

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me