drátěný strážce


WireGuard je zajímavý nový protokol VPN, který má potenciál přinést zásadní změny v odvětví VPN. Ve srovnání se stávajícími protokoly VPN, jako jsou OpenVPN a IPSec, může WireGuard nabídnout vyšší rychlosti a vyšší spolehlivost díky novým a vylepšeným standardům šifrování..

I když nabízí některé slibné funkce, pokud jde o jednoduchost, rychlost a kryptografii, WireGuard má také některé pozoruhodné nevýhody, o nichž budeme podrobněji diskutovat níže.

V tomto pětidílném průvodci WireGuard VPN se zabýváme:

  1. Co je WireGuard
  2. WireGuard Pros
  3. WireGuard Cons (proč to ještě není doporučeno)
  4. Kteří poskytovatelé VPN aktuálně podporují WireGuard
  5. Budoucnost WireGuard

Pojďme se tedy ponořit!

Co je WireGuard?

WireGuard je nový experimentální protokol VPN, jehož cílem je nabídnout jednodušší, rychlejší a bezpečnější řešení pro tunely VPN než stávající protokoly VPN. WireGuard má některé velké rozdíly ve srovnání s OpenVPN a IPSec, jako je velikost kódu (do 4 000 řádků!), Rychlost a standardy šifrování.

Vývojář WireGuard je Jason Donenfeld, zakladatel Edge Security. (Termín „WireGuard“ je také registrovaná ochranná známka společnosti Donenfeld.) V jednom rozhovoru, který jsem sledoval, Donenfeld řekl, že nápad na WireGuard přišel, když žil v zahraničí a potřeboval VPN pro Netflix..

Proč je v programu WireGuard tolik bzučení?

Dobře, to nabízí některé potenciální výhody oproti existujícím protokolům VPN, jak budeme diskutovat dále níže. Přitáhl dokonce pozornost Linuse Torvaldse, vývojáře za Linuxem, který to měl říci v Mailing Listu pro linuxové jádro:

Mohu ještě jednou vyjádřit svou lásku k [WireGuard] a doufat, že se brzy spojí? Možná, že kód není dokonalý, ale já jsem to skimuloval a ve srovnání s hrůzami, které jsou OpenVPN a IPSec, je to umělecké dílo.

Pojďme nejprve prozkoumat výhody WireGuard.

WireGuard Pros

Zde jsou některé z „výhod“, které WireGuard nabízí:

1. Aktualizované šifrování

Jak bylo vysvětleno v různých rozhovorech, Jason Donenfeld chtěl upgradovat to, co považoval za „zastaralé“ protokoly s OpenVPN a IPSec. WireGuard používá následující protokoly a primitivy, jak je popsáno na jeho webových stránkách:

  • ChaCha20 pro symetrické šifrování, ověřeno pomocí Poly1305, pomocí konstrukce AFC RFC7539
  • Křivka 25519 pro ECDH
  • BLAKE2 pro hašování a hašování pomocí klíče, popsané v RFC7693
  • SipHash24 pro hashtable klíče
  • HKDF pro odvození klíče, jak je popsáno v RFC5869

Více o moderní kryptografii WireGuard se můžete dozvědět na oficiálních webových stránkách nebo v technické bílé knize.

2. Jednoduchá a minimální kódová základna

WireGuard opravdu vyniká svou kódovou základnou, která je v současné době asi 3 800 řádků. To je v ostrém kontrastu k OpenVPN a OpenSSL, které dohromady mají kolem 600 000 řádků. IPSec je také objemný na přibližně 400 000 řádcích celkem s XFRM a StrongSwan dohromady.

Jaké jsou výhody menší kódové základny?

  1. Audit je mnohem snazší. OpenVPN by auditu vyžadovalo mnoho dní. Jedna osoba může číst skrz kódovou základnu WireGuard za pár hodin.
  2. Snadnější auditování = snazší nalezení slabých míst, což pomáhá udržovat WireGuard v bezpečí
  3. Mnohem menší plocha útoku ve srovnání s OpenVPN a IPSec
  4. Lepší výkon

I když menší kódová základna je skutečně výhodou, odráží také některá omezení, jak diskutujeme níže.

3. Vylepšení výkonu

Rychlosti mohou být omezujícím faktorem u VPN - z mnoha různých důvodů. WireGuard je navržen tak, aby nabízel významná vylepšení v oblasti výkonu:

Kombinace extrémně vysokorychlostních kryptografických primitivů a skutečnosti, že WireGuard žije uvnitř jádra Linuxu, znamená, že zabezpečené sítě mohou být velmi vysoké. Je vhodný jak pro malá vestavěná zařízení, jako jsou smartphony, tak pro plně načtené páteřní směrovače.

Teoreticky by měl WireGuard nabízet zlepšený výkon v podobě:

  • Rychlejší rychlosti
  • Lepší výdrž baterie s telefony / tablety
  • Lepší podpora roamingu (mobilní zařízení)
  • Více spolehlivosti
  • Rychlejší navazování spojení / opětovných připojení (rychlejší podání ruky)

WireGuard by měl být přínosem pro mobilní uživatele VPN. V případě WireGuard, pokud vaše mobilní zařízení změní síťová rozhraní, například přepnutí z WiFi na mobilní / mobilní data, připojení zůstane, dokud klient VPN pokračuje v odesílání ověřených dat na server VPN.

4. Snadné použití napříč platformami

Přestože WireGuard ještě není připraven na hlavní čas, měl by velmi dobře fungovat na různých platformách. WireGuard podporuje Mac OS, Android, iOS a Linux, přičemž podpora Windows se stále vyvíjí.

Další zajímavou vlastností WireGuard je to, že používá veřejné klíče pro identifikaci a šifrování, zatímco OpenVPN používá certifikáty. To však vytváří problémy s využitím WireGuard v klientovi VPN, například generování klíčů a správa.

WireGuard Cons

služba drátového strážcePřestože WireGuard nabízí mnoho zajímavých výhod, v současné době přichází s některými pozoruhodnými nevýhodami.

1. Stále pod „těžkým“ vývojem, není připraven, není auditován

Navzdory skutečnosti, že WireGuard zůstává pod „těžkým vývojem“ a dosud není připraven k obecnému použití, existuje mnoho lidí, kteří jej chtějí ihned použít jako svůj primární VPN protokol. Na Reddit a na různých fórech najdete spoustu propagace WireGuard - tj. Pronásledování nejnovějšího trendu VPN.

Je třeba zdůraznit, že WireGuard není úplný, neprošel bezpečnostním auditem a vývojáři výslovně varují, aby věřili současnému kódu:

WireGuard ještě není kompletní. Na tento kód byste se neměli spoléhat. Neprošla řádným stupněm bezpečnostního auditu a protokol se stále může měnit. Pracujeme na stabilním vydání 1.0, ale ten čas ještě nepřišel.

Existuje však několik VPN, které se právě připravují nebo nabízejí podporu WireGuard. V tuto chvíli byste však měli používat pouze program WireGuard pouze pro účely testování.

2. WireGuard se týká ochrany osobních údajů a protokolů

Přestože program WireGuard může nabídnout výhody, pokud jde o výkon a zabezpečení, záměrně to není dobré pro soukromí.

Řada poskytovatelů VPN vyjádřila obavy ohledně schopnosti aplikace WireGuard používat bez protokolů a jak to může ovlivnit soukromí uživatelů..

AzireVPN, jedna z prvních sítí VPN, která implementovala WireGuard, to řekla minulý rok:

V AzireVPN nám záleží na našich zásadách bez protokolování, proto všechny naše servery běží na bezdiskovém hardwaru a všechny soubory protokolu jsou přeneseny do / dev / null.

Ale pokud jde o WireGuard, výchozí chování je mít koncový bod a povolený ip viditelný v rozhraní serveru, což ve skutečnosti nefunguje s našimi zásadami ochrany osobních údajů. Neměli bychom vědět o vaší zdrojové IP a nemůžeme akceptovat její viditelnost na našich serverech.

 pokusil se vyřešit tyto problémy tím, že najal Jasona Donenfelda, aby „napsal modul typu rootkit, který odstraňuje schopnost běžného správce systému dotazovat koncový bod nebo povolit ip informace o vrstevnících WireGuard a znemožnit spuštění tcpdump“ (viz zde).

Dokonalé soukromí tvrdil, že WireGuard je „Nelze použít bez protokolů“ zajímavé:

WireGuard nemá žádnou dynamickou správu adres, adresy klientů jsou pevné. To znamená, že bychom museli registrovat každé aktivní zařízení našich zákazníků a na každém z našich serverů VPN přiřadit statické adresy IP. Abychom mohli získat zpět nevyužité adresy IP, museli bychom navíc pro každé zařízení uložit poslední časovou značku přihlášení. Naši uživatelé by pak nemohli připojit vaše zařízení po několika týdnech, protože by adresy byly znovu přiděleny.

Obzvláště důležité je, abychom nevytvářeli ani neukládali žádné protokoly připojení. Proto nemůžeme ukládat výše uvedené registrační a přihlašovací údaje, které by v současné době vyžadovaly, aby WireGuard fungoval.

VPN.ac vznesly podobné obavy ohledně nedostatků WireGuard, pokud jde o soukromí uživatelů:

Důležité informace o ochraně osobních údajů: WireGuard není záměrně vhodný pro žádné / omezené zásady protokolování. Konkrétně by poslední veřejná adresa IP uživatele byla uložena na sever používaný k připojení a nelze ji odstranit do jednoho dne podle našich současných zásad ochrany osobních údajů. Později pravděpodobně provedeme několik vylepšení zdrojového kódu, aby se dezinfikovala nebo odstranila naposledy použitá veřejná IP adresa.

ExpressVPN je další VPN služba, která vyjádřila obavy ohledně designu WireGuardu a jeho důsledků pro soukromí:

Jednou z výzev, kterým WireGuard čelí, je zajistit anonymitu VPN. Žádnému jedinému uživateli by neměla být staticky přidělena jediná adresa IP, a to ani ve veřejné ani virtuální síti. Interní IP adresu uživatele může zjistit protivník (například prostřednictvím WebRTC), který by jej pak mohl porovnat se záznamy získanými od poskytovatele VPN (krádež, prodej nebo právní zabavení). Dobrá VPN nesmí být schopna přiřadit takový identifikátor k jedinému uživateli. V současné době se tohoto nastavení nedá snadno dosáhnout pomocí WireGuard.

ExpressVPN bude podporovat úsilí o revizi a audit kódu WireGuard, jak jsme to v minulosti dělali s OpenVPN. Budeme přispívat kódem a hlásit chyby, kdykoli to bude možné, a upozornit na obavy o bezpečnost a soukromí přímo s vývojovým týmem.

AirVPN také zaznělo nad důsledky anonymity WireGuard, jak je vysvětleno na jejich fóru:

Wireguard je ve svém současném stavu nejen nebezpečný, protože postrádá základní funkce a je experimentálním softwarem, ale také nebezpečně oslabuje vrstvu anonymity. Cílem naší služby je poskytnout určitou vrstvu anonymity, proto nemůžeme vzít v úvahu něco, co ji tak hluboce oslabuje.

Rádi vezmeme v úvahu Wireguard, když dosáhne stabilního vydání A nabízí přinejmenším ty nejzákladnější možnosti, které OpenVPN nabízí od 15 let. Infrastruktura může být upravena, naše mise nemůže.

Na svých fórech dále vysvětlili, proč WireGuard jednoduše nesplňuje jejich požadavky:

  • Wireguard postrádá dynamickou správu IP adres. Klientovi je třeba předem přiřadit předem definovanou IP adresu VPN jedinečně spojenou s jeho klíčem na každém VPN serveru. Dopad na vrstvu anonymity je katastrofický;
  • Wireguard klient neověřuje identitu serveru (funkce tak zásadní, že bude jistě implementována, když Wireguard už nebude experimentálním softwarem); dopad na bezpečnost způsobený touto chybou je velmi vysoký;
  • Chybí podpora protokolu TCP (podle toho, jak navrhujete, je vyžadován další kód třetí strany nebo další kód pro použití protokolu TCP jako protokolu tunelování, což je ve srovnání s OpenVPN příšerná regrese);
  • Neexistuje podpora pro připojení Wireguardu k VPN serveru přes nějaký proxy server s různými způsoby autentizace.

Navzdory těmto obavám již mnoho služeb VPN zavádí plnou podporu WireGuard. Ostatní VPN sledují projekt a mají zájem o implementaci WireGuard poté, co byl důkladně auditován a vylepšen.

Mezitím však, jak na svém fóru uvedl AirVPN:

"Nebudeme používat naše zákazníky jako testery."

3. Nové a netestované

OpenVPN má své problémy, ale má také dlouhou historii a je osvědčeným protokolem VPN s rozsáhlým auditem. Zatímco Donenfeld může v různých rozhovorech označovat OpenVPN za „zastaralé“, ostatní to mohou považovat za prokázané a důvěryhodné - vlastnosti, které WireGuard v současnosti postrádá.

OpenVPN, původně vydané v roce 2001, má velmi dlouhou historii. OpenVPN také těží z velké uživatelské základny a aktivního vývoje s pravidelnými aktualizacemi. V květnu 2017 prošel hlavním auditem OSTIF, Open Source Technology Improvement Fund.

V tomto okamžiku se program WireGuard jeví spíše jako specializovaný projekt - ale projekt s potenciálem pro toto odvětví. Je velmi nová a ještě není mimo fázi „těžkého vývoje“, přestože prošla formálním ověřením. Dokonce i poté, co je WireGuard oficiálně propuštěn, bylo by pro uživatele moudré postupovat opatrně.

4. Omezené přijetí (prozatím)

Jak jsme se již zmínili výše, existuje několik velkých překážek, které brání přijetí WireGuard v celém odvětví:

  • Problém se správou a distribucí klíčů (spíše než pomocí certifikátů).
  • WireGuard potřebuje svou vlastní infrastrukturu, oddělenou od stávajících serverů OpenVPN.
  • Kompatibilita se stávajícími operacemi. Pro poskytovatele, kteří si vytvořili své služby a funkce kolem OpenVPN, nemusí být WireGuard brzy na kartách.

Perfektní soukromí, které WireGuard není kompatibilní s jejich stávajícími funkcemi na straně serveru, jako jsou multi-hop VPN kaskády, TrackStop a NeuroRouting. Přesto jsem oslovil Perfect Privacy a oni potvrdili, že mohou WireGuard podporovat jako samostatnou možnost později..

AirVPN rovněž uvedla, že WireGuard je „zcela nepoužitelný“ se svou infrastrukturou:

V tuto chvíli to je naprosto nepoužitelné v naší infrastruktuře protože postrádá podporu TCP, postrádá dynamické přiřazení VPN IP a (alespoň stavba, kterou jsme viděli) postrádá přísně nezbytnou bezpečnostní funkci (ověření certifikátu CA poskytovaného serverem, proto si klient nemůže být jist, že na serveru na druhou stranu nějaká nepřátelská entita neosobňuje server VPN).

Závěr: nedoporučuje se

Vzhledem k současnému stavu programu WireGuard, důsledkům na ochranu soukromí a skutečnosti, že nebyl auditován, se WireGuard nedoporučuje pro pravidelné používání..

Zásadní nevýhodou jsou navíc obavy týkající se ochrany soukromí, které jsou vlastní WireGuard (záměrně!).

Není pravděpodobné, že by se to zlepšilo, a to nutí služby VPN, aby vytvořily jakýsi jedinečný out-of-the-box řešení, aby to fungovalo s jejich no-logy, jak jsme viděli výše u AzireVPN. Tato nevýhoda neovlivňuje OpenVPN.

Nicméně, WireGuard může být ideální pro některé uživatele, v závislosti na jejich modelu hrozby a specifických potřebách. V současné době by však bylo moudré zůstat u OpenVPN nebo možná IPSec pro pravidelné používání.

Které služby VPN podporují WireGuard?

Zde jsou VPN, které aktuálně podporují WireGuard nebo potvrdily, že testují WireGuard se záměrem podporovat protokol, až bude připraven:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (stále v testování)
  7. Soukromý přístup k internetu (stále se testuje)

Nyní se podrobněji podíváme na každou z těchto služeb VPN WireGuard níže.

1. AzireVPN - živé servery WireGuard

AzireVPN je švédská VPN služba, která je zaměřena na soukromí a bezpečnost. Byl to jeden z prvních osvojitelů WireGuard a má sekci WireGuard:

Vyvinuli jsme API pro distribuci klíčů a uvažujeme o přidání WireGuard k našemu klientovi. V současné době lze tento protokol použít ve Windows, Linuxu, MacOSu, Androidu a routerech s OpenWRT, ale podpora pro Windows se blíží. Stačí se zaregistrovat a připojit se ke všem našim serverům WireGuard, které jsou k dispozici v každém z našich umístění.

Poznámka: AzireVPN aktuálně podporuje uživatele Windows prostřednictvím klienta VPN TunSafe třetí strany. V současné době však neexistuje žádná oficiální podpora systému WireGuard pro systém Windows a vývojář doporučuje nepoužívat klienty třetích stran:

Klient systému Windows se blíží. Mezitím vám důrazně doporučujeme vyhýbat se klientům Windows, kteří nejsou uvolněni z tohoto webu, protože mohou být nebezpeční při používání, navzdory marketingovému úsilí.

2. VPN.ac - servery WireGuard živé

je rumunská služba VPN, kterou už řadu let používám a testuji (viz recenze VPN.ac).

VPN.ac na svém blogu oznámila, že po interním testování WireGuardu se rozhodli protokol podporovat. Jak vysvětlili na svém (blogu):

Zpočátku bude k dispozici v beta verzi. Implementace je trochu náročná díky designu WireGuard, který ji neusnadňuje zapadnout do naší infrastruktury.

Chceme, aby implementace byla co nejlepší a nejjednodušší od nuly a byla plně automatizovaná. To vyžaduje docela nějakou práci na straně back-end: API, servery synchronizační klíče a tak dále. Není to tak snadné jako vyhodit další server, ale rozhodně proveditelné.

VPN.ac stanovil tři fáze pro plnou integraci WireGuard do svých služeb:

  • Fáze 1: navrhněte a nasaďte rozhraní API back-end
  • Fáze 2: front-end dostupnost konfiguračního generátoru pro ruční nastavení / klientský software třetích stran
  • Fáze 3: implementace do našich klientských aplikací VPN

Pokud chcete testovat WireGuard pomocí VPN.ac, nabízejí (viz stránka FAQ), která vám dává týdenní plné zkušební předplatné za 2 $.

3. TorGuard - živé servery WireGuard

TorGuard je americká VPN síť, o které jsem zjistil, že nabízí dobrý výkon a mnoho funkcí, včetně e-mailových služeb, vyhrazených IP adres a streamovacích balíčků.

Webová stránka TorGuard obsahuje různé návody pro nastavení TorGuard na různých zařízeních.

4. Mullvad - servery WireGuard live

nejlepší vpn pro drátěný strážce

Stejně jako AzireVPN, i Mullvad sídlí ve Švédsku a byl jedním z prvních VPN implementujících WireGuard.

Mullvad v současné době podporuje WireGuard v systémech Linux, Mac OS, Android a některých směrovačích. Kromě 281 serverů OpenVPN mají také velkou síť aktivních serverů WireGuard (celkem 49).

https://mullvad.net/

5. IVPN - živé servery WireGuard

ivpn drátěný strážce

IVPN je služba VPN založená na Gibraltaru, která také podporuje WireGuard. Vypadá to, že IVPN je prvním poskytovatelem, který zabudoval WireGuard do svých vlastních klientů VPN, jak vysvětlují na svých webových stránkách, což je zajímavé, protože kód je stále ve vývoji. Jak vysvětluje IVPN na svých webových stránkách:

WireGuard je k dispozici na našich macOS, iOS & Klienti Android. Můžete se také připojit pomocí většiny linuxových distribucí. WireGuard není v současné době ve Windows podporován.

IVPN má v současné době 10 umístění serveru WireGuard.

https://www.ivpn.net/

Další poskytovatelé VPN WireGuard

Existuje také několik různých služeb VPN, které veřejně vyjádřily svůj záměr přidat WireGuard, ale ještě nejsou připraveny k implementaci.

NordVPN

NordVPN aktuálně nepodporuje WireGuard, ale aktivně jej testuje a připravuje se na vydání, až bude připraveno.

Soukromý přístup k internetu

Soukromý přístup k internetu je velkým zastáncem WireGuard a také přispěl na věc. Nicméně není připraveno stisknout spoušť a nabídnout uživatelům WireGuard kvůli současnému stavu a nedostatečnému auditu, jak vysvětlili na reddit:

WireGuard je skvělý, ale je v aktivním vývoji. To znamená, že existují bezpečnostní chyby, které čekají na nalezení, a pro poskytovatele VPN, kteří se brzy osvojí, by to mohlo mít vážné důsledky. Porušení bezpečnosti nebo soukromí je riziko, které nemůžeme jako organizace přijmout.

Budoucnost WireGuard VPN

Co tedy budoucnost platí pro WireGuard VPN?

Jakmile bude WireGuard plně propuštěn, podroben auditu a bude schválen pro pravidelné používání, bude pravděpodobně nadále získávat popularitu - za předpokladu, že je dobře přijímán uživatelskou základnou VPN. Se zvyšující se popularitou a poptávkou si můžete být jisti, že více služeb VPN začlení WireGuard do jejich infrastruktury - i když k tomu dojde s rostoucími bolestmi. Ačkoli mnoho špičkových služeb VPN v současné době WireGuard nepodporuje, může se časem změnit.

Z důvodu zájmu uživatelů již vidíme rané adoptory a různé poskytovatele VPN, kteří používají implementaci WireGuard jako marketingový nástroj, s doprovodnými tiskovými zprávami (** kašel ** jen pro testování **kašel**). Tento trend bude pravděpodobně pokračovat.

WireGuard se může stát populárním protokolem pro mobilní uživatele, kde skutečně nabízí některé výhody.

Pokud byste chtěli vyzkoušet tento nový protokol VPN, můžete jej otestovat pomocí jedné z výše uvedených služeb VPN WireGuard. Nezapomeňte zvážit důsledky na soukromí a bezpečnost vzhledem k aktuálnímu stavu projektu. Dokud nebude WireGuard plně vydán a auditován, bylo by nejlepší držet se OpenVPN nebo IPSec pro pravidelné používání.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me