Gabbia di protezione


WireGuard è un nuovo protocollo VPN interessante che ha il potenziale per apportare grandi cambiamenti al settore VPN. Rispetto ai protocolli VPN esistenti, come OpenVPN e IPSec, WireGuard può offrire velocità più elevate e maggiore affidabilità con standard di crittografia nuovi e migliorati.

Sebbene offra alcune promettenti funzionalità in termini di semplicità, velocità e crittografia, WireGuard presenta anche alcuni svantaggi notevoli, di cui parleremo in dettaglio di seguito.

In questa guida VPN WireGuard in cinque parti tratteremo:

  1. Cos'è WireGuard
  2. WireGuard Pro
  3. WireGuard Contro (perché non è ancora raccomandato)
  4. Quali provider VPN supportano attualmente WireGuard
  5. Il futuro di WireGuard

Quindi tuffiamoci!

Cos'è WireGuard?

WireGuard è un nuovo protocollo VPN sperimentale che mira a offrire una soluzione più semplice, più veloce e più sicura per il tunneling VPN rispetto ai protocolli VPN esistenti. WireGuard presenta alcune differenze importanti rispetto a OpenVPN e IPSec, come le dimensioni del codice (meno di 4.000 righe!), La velocità e gli standard di crittografia.

Lo sviluppatore dietro WireGuard è Jason Donenfeld, il fondatore di Edge Security. (Il termine "WireGuard" è anche un marchio registrato di Donenfeld.) In un'intervista che ho visto, Donenfeld ha affermato che l'idea di WireGuard è nata quando viveva all'estero e aveva bisogno di una VPN per Netflix.

Perché c'è così tanto ronzio attorno a WireGuard?

Bene, offre alcuni potenziali vantaggi rispetto ai protocolli VPN esistenti, come discuteremo più avanti. Ha anche attirato l'attenzione di Linus Torvalds, lo sviluppatore di Linux, che aveva questo da dire nella Mailing List del kernel Linux:

Posso solo affermare ancora una volta il mio amore per [WireGuard] e spero che si unisca presto? Forse il codice non è perfetto, ma l'ho scremato e, rispetto agli orrori che sono OpenVPN e IPSec, è un'opera d'arte.

Esaminiamo prima i vantaggi di WireGuard.

WireGuard Pro

Ecco alcuni dei "professionisti" che WireGuard offre:

1. Crittografia aggiornata

Come spiegato in varie interviste, Jason Donenfeld voleva aggiornare i protocolli "obsoleti" con OpenVPN e IPSec. WireGuard utilizza i seguenti protocolli e primitive, come descritto sul suo sito Web:

  • ChaCha20 per crittografia simmetrica, autenticato con Poly1305, utilizzando la costruzione AEAD di RFC7539
  • Curva25519 per ECDH
  • BLAKE2s per hash e hash con chiave, descritti in RFC7693
  • SipHash24 per chiavi hashtable
  • HKDF per derivazione chiave, come descritto in RFC5869

Puoi saperne di più sulla crittografia moderna di WireGuard sul sito Web ufficiale o nel white paper tecnico.

2. Base di codice semplice e minima

WireGuard si distingue davvero per la sua base di codice, che attualmente è di circa 3.800 linee. Ciò è in netto contrasto con OpenVPN e OpenSSL, che combinati hanno circa 600.000 linee. IPSec è anche voluminoso a circa 400.000 linee totali con XFRM e StrongSwan insieme.

Quali sono i vantaggi di una base di codice più piccola?

  1. È molto più facile controllare. OpenVPN richiederebbe parecchi giorni a una squadra numerosa per il controllo. Una persona può leggere la base di codice di WireGuard in poche ore.
  2. Più facile da controllare = più facile da trovare vulnerabilità, che aiuta a proteggere WireGuard
  3. Superficie d'attacco molto più piccola rispetto a OpenVPN e IPSec
  4. Prestazioni migliori

Sebbene la base di codice più piccola sia effettivamente un vantaggio, riflette anche alcune limitazioni, come discuteremo di seguito.

3. Miglioramenti delle prestazioni

Le velocità possono essere un fattore limitante con le VPN - per molte ragioni diverse. WireGuard è progettato per offrire miglioramenti significativi nell'area delle prestazioni:

Una combinazione di primitive crittografiche ad altissima velocità e il fatto che WireGuard risieda all'interno del kernel Linux significa che le reti sicure possono essere molto veloci. È adatto sia per piccoli dispositivi embedded come smartphone che per router backbone a pieno carico.

Teoricamente, WireGuard dovrebbe offrire migliori prestazioni in termini di:

  • Velocità più elevate
  • Migliore durata della batteria con telefoni / tablet
  • Migliore supporto al roaming (dispositivi mobili)
  • Più affidabilità
  • Più rapido nello stabilire connessioni / riconnessioni (stretta di mano più veloce)

WireGuard dovrebbe essere utile per gli utenti VPN mobili. Con WireGuard, se il tuo dispositivo mobile cambia le interfacce di rete, come il passaggio da dati WiFi a dati mobili / cellulari, la connessione rimarrà finché il client VPN continuerà a inviare dati autenticati al server VPN.

4. Facilità d'uso multipiattaforma

Sebbene non sia ancora pronto per la prima serata, WireGuard dovrebbe funzionare molto bene su piattaforme diverse. WireGuard supporta Mac OS, Android, iOS e Linux, con il supporto di Windows ancora in fase di sviluppo.

Un'altra caratteristica interessante di WireGuard è che utilizza chiavi pubbliche per l'identificazione e la crittografia, mentre OpenVPN utilizza i certificati. Ciò crea tuttavia alcuni problemi per l'utilizzo di WireGuard in un client VPN, come la generazione e la gestione delle chiavi.

WireGuard Cons

servizio VPN wireguardMentre WireGuard offre molti vantaggi entusiasmanti, attualmente presenta alcuni svantaggi notevoli.

1. Ancora in fase di sviluppo "pesante", non pronto, non sottoposto a revisione

Nonostante il fatto che WireGuard rimanga in "sviluppo pesante" e non sia ancora pronto per l'uso generale, ci sono molte persone che desiderano utilizzarlo immediatamente come protocollo VPN primario. Puoi trovare molte promozioni di WireGuard su reddit e vari forum, ovvero inseguire l'ultima tendenza VPN.

Va sottolineato che WireGuard non è completo, non ha superato un controllo di sicurezza e gli sviluppatori avvertono esplicitamente di fidarsi del codice corrente:

WireGuard non è ancora completo. Non devi fare affidamento su questo codice. Non ha subito adeguati livelli di controllo della sicurezza e il protocollo è ancora soggetto a modifiche. Stiamo lavorando per una versione 1.0 stabile, ma quel momento non è ancora arrivato.

Tuttavia, ci sono una manciata di VPN che si preparano o offrono il supporto WireGuard in questo momento. A questo punto, tuttavia, è necessario utilizzare solo WireGuard solo a scopo di test.

2. Problemi e registri sulla privacy di WireGuard

Sebbene WireGuard possa offrire vantaggi in termini di prestazioni e sicurezza, in base alla progettazione non è un bene per la privacy.

Un certo numero di provider VPN ha espresso preoccupazione per la capacità di WireGuard di essere utilizzato senza log e su come ciò possa influire sulla privacy degli utenti.

AzireVPN, una delle prime VPN per implementare WireGuard, ha detto questo l'anno scorso:

In AzireVPN, ci preoccupiamo della nostra politica di non registrazione, ecco perché tutti i nostri server sono in esecuzione su hardware senza disco e tutti i file di registro sono reindirizzati a / dev / null.

Ma quando si tratta di WireGuard il comportamento predefinito è avere endpoint e IP permessi visibili nell'interfaccia del server, che non funziona davvero con la nostra politica sulla privacy. Non dovremmo conoscere il tuo IP di origine e non possiamo accettare di vederlo visibile sui nostri server.

 ha tentato di aggirare questi problemi assumendo Jason Donenfeld per "scrivere un modulo simile a un rootkit che rimuova la capacità di un normale amministratore di sistema di richiedere informazioni sull'endpoint o l'IP consentito sui peer WireGuard e disabilitare la possibilità di eseguire tcpdump" (vedi qui).

Privacy perfetta ha sostenuto che WireGuard lo è “Non utilizzabile senza log” in un interessante:

WireGuard non ha una gestione dinamica degli indirizzi, gli indirizzi client sono fissi. Ciò significa che dovremmo registrare ogni dispositivo attivo dei nostri clienti e assegnare gli indirizzi IP statici su ciascuno dei nostri server VPN. Inoltre, dovremmo memorizzare l'ultimo timestamp di accesso per ciascun dispositivo al fine di recuperare gli indirizzi IP inutilizzati. I nostri utenti non sarebbero quindi in grado di connettere i tuoi dispositivi dopo alcune settimane perché gli indirizzi sarebbero stati riassegnati.

È particolarmente importante per noi non creare o archiviare alcun registro delle connessioni. Pertanto, non possiamo archiviare i dati di registrazione e di accesso di cui sopra che sarebbero attualmente necessari per il funzionamento di WireGuard.

VPN.ac ha sollevato preoccupazioni simili riguardo ai difetti di WireGuard per quanto riguarda la privacy degli utenti:

Considerazioni sulla privacy: in base alla progettazione, WireGuard non è adatto a nessuna / politiche di registrazione limitate. In particolare, l'ultimo IP pubblico dell'utente verrebbe salvato sul server utilizzato per connettersi e non può essere rimosso entro un giorno secondo la nostra attuale politica sulla privacy. In un secondo momento probabilmente apporteremo alcune modifiche al codice sorgente per disinfettare o rimuovere l'ultimo IP pubblico utilizzato.

ExpressVPN è un altro servizio VPN che ha espresso preoccupazioni sulla progettazione di WireGuard e sulle sue implicazioni per la privacy:

Una delle sfide che WireGuard deve affrontare è garantire l'anonimato per le VPN. A nessun singolo utente dovrebbe essere assegnato staticamente un singolo indirizzo IP, né su una rete pubblica né su una rete virtuale. L'indirizzo IP interno di un utente potrebbe essere scoperto da un avversario (tramite WebRTC, ad esempio), che potrebbe quindi essere in grado di abbinarlo ai record acquisiti da un provider VPN (tramite furto, vendita o sequestro legale). Una buona VPN deve essere in grado di abbinare tale identificatore a un singolo utente. Attualmente, questa configurazione non è facilmente realizzabile con WireGuard.

ExpressVPN supporterà gli sforzi di revisione e verifica del codice WireGuard, come abbiamo fatto in passato con OpenVPN. Contribuiremo al codice e segnaleremo i bug ogni volta che possiamo e solleveremo problemi di sicurezza e privacy direttamente con il team di sviluppo.

AirVPN ha anche risposto alle implicazioni di WireGuard per l'anonimato, come spiegato nel loro forum:

Wireguard, nel suo stato attuale, non solo è pericoloso perché manca di funzionalità di base ed è un software sperimentale, ma indebolisce pericolosamente anche il livello di anonimato. Il nostro servizio mira a fornire un certo livello di anonimato, quindi non possiamo prendere in considerazione qualcosa che lo indebolisca così profondamente.

Saremo lieti di prendere in considerazione Wireguard quando raggiungerà una versione stabile E offre almeno le opzioni più basilari che OpenVPN è in grado di offrire da 15 anni. L'infrastruttura può essere adattata, la nostra missione no.

Nei loro forum, ha spiegato ulteriormente perché WireGuard semplicemente non soddisfa i loro requisiti:

  • Wireguard non ha una gestione dinamica dell'indirizzo IP. Al client deve essere assegnato in anticipo un indirizzo IP VPN predefinito collegato in modo univoco alla sua chiave su ciascun server VPN. L'impatto sul livello di anonimato è catastrofico;
  • Il client Wireguard non verifica l'identità del server (una funzionalità così essenziale che verrà sicuramente implementata quando Wireguard non sarà più un software sperimentale); l'impatto sulla sicurezza causato da questo difetto è molto elevato;
  • Manca il supporto TCP (terze parti o comunque è richiesto un codice aggiuntivo per utilizzare TCP come protocollo di tunneling, come suggerisci, e questa è una terribile regressione rispetto a OpenVPN);
  • non esiste supporto per connettere Wireguard a un server VPN tramite alcuni proxy con una varietà di metodi di autenticazione.

Nonostante queste preoccupazioni, molti servizi VPN stanno già implementando il supporto completo di WireGuard. Altre VPN stanno osservando il progetto e sono interessate all'implementazione di WireGuard dopo che è stato accuratamente verificato e migliorato.

Nel frattempo, tuttavia, come affermato da AirVPN nel loro forum:

"Non useremo i nostri clienti come tester".

3. Nuovo e non testato

Certo, OpenVPN ha i suoi problemi, ma ha anche una lunga esperienza ed è un protocollo VPN collaudato con controlli approfonditi. Mentre Donenfeld può riferirsi a OpenVPN come "obsoleto" in varie interviste, altri possono vederlo come comprovato e affidabile - qualità che WireGuard attualmente manca.

Inizialmente rilasciato nel 2001, OpenVPN ha una storia molto lunga. OpenVPN beneficia anche di un'ampia base di utenti e di uno sviluppo attivo con aggiornamenti regolari. Nel maggio 2017 è stato sottoposto a un importante audit da parte di OSTIF, il Open Source Technology Improvement Fund.

A questo punto, WireGuard sembra essere più di un progetto di nicchia, ma con un potenziale per l'industria. È molto nuovo e non è ancora uscito dalla fase di "sviluppo pesante", sebbene abbia subito una verifica formale. Anche dopo che WireGuard è stato ufficialmente rilasciato, gli utenti sarebbero saggi a procedere con cautela.

4. Adozione limitata (per ora)

Come spiegato sopra, ci sono alcuni ostacoli nel modo in cui l'adozione WireGuard in tutto il settore:

  • Il problema con la gestione e la distribuzione delle chiavi (anziché utilizzare i certificati).
  • WireGuard necessita di una propria infrastruttura, separata dai server OpenVPN esistenti.
  • Compatibilità con le operazioni esistenti. Per i provider che hanno sviluppato il loro servizio e le loro funzionalità su OpenVPN, WireGuard potrebbe non essere presto disponibile nelle schede.

Perfetta privacy che WireGuard non è compatibile con le loro funzionalità lato server esistenti, come cascade VPN multi-hop, TrackStop e NeuroRouting. Tuttavia, ho raggiunto Perfect Privacy e hanno confermato che potrebbero supportare WireGuard come opzione autonoma in un secondo momento.

Allo stesso modo, AirVPN ha anche affermato che WireGuard è "totalmente inutilizzabile" con la sua infrastruttura:

Al momento lo è totalmente inutilizzabile nella nostra infrastruttura perché manca il supporto TCP, manca l'assegnazione IP VPN dinamica e (almeno la build che abbiamo visto) manca una funzionalità di sicurezza strettamente necessaria (verifica del certificato CA fornito dal server, quindi il client non può essere sicuro che sul dall'altra parte un'entità ostile non sta impersonando un server VPN).

Conclusione: non raccomandato

Considerando lo stato corrente di WireGuard, le implicazioni sulla privacy e il fatto che non è stato verificato, WireGuard non è raccomandato per l'uso regolare.

Inoltre, i problemi di privacy inerenti a WireGuard (in base alla progettazione!) Rappresentano un grave svantaggio.

Questo probabilmente non migliorerà e costringe i servizi VPN a creare una sorta di soluzione out-of-the-box unica per farla funzionare con le loro politiche no-log, come abbiamo visto sopra con AzireVPN. Questo svantaggio non influisce su OpenVPN.

Tuttavia, WireGuard può essere ideale per alcuni utenti, a seconda del modello di minaccia e delle esigenze specifiche. Al momento, tuttavia, sarebbe saggio rimanere con OpenVPN o forse IPSec per un uso regolare.

Quali servizi VPN supportano WireGuard?

Ecco le VPN che attualmente supportano WireGuard o hanno confermato che stanno testando WireGuard con l'intenzione di supportare il protocollo quando sarà pronto:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (ancora in fase di test)
  7. Accesso a Internet privato (ancora in fase di test)

Ora daremo un'occhiata più da vicino a ciascuno di questi servizi VPN WireGuard di seguito.

1. AzireVPN - Server WireGuard attivi

AzireVPN è un servizio VPN con sede in Svezia focalizzato sulla privacy e sulla sicurezza. È stato uno dei primi ad adottare WireGuard e ha una sezione WireGuard:

Abbiamo sviluppato un'API per la distribuzione delle chiavi e stiamo cercando di aggiungere WireGuard al nostro cliente. Al momento, questo protocollo può essere utilizzato su Windows, Linux, macOS, Android e router con OpenWRT, ma il supporto per Windows è in arrivo. Basta registrarsi per connettersi a tutti i nostri server WireGuard, disponibili in ciascuna delle nostre sedi.

Nota: AzireVPN attualmente supporta gli utenti Windows tramite il client VPN TunSafe di terze parti. Tuttavia, al momento non esiste un supporto WireGuard ufficiale per Windows e lo sviluppatore consiglia di non utilizzare client di terze parti:

Un client Windows arriverà presto. Nel frattempo, si consiglia vivamente di stare alla larga dai client Windows che non sono rilasciati da questo sito, poiché potrebbero essere pericolosi da usare, nonostante gli sforzi di marketing.

2. VPN.ac - Server WireGuard attivi

è un servizio VPN rumeno che utilizzo e collaudo da diversi anni (vedi la recensione VPN.ac).

VPN.ac ha annunciato sul suo blog che dopo aver testato WireGuard internamente, hanno deciso di supportare il protocollo. Come hanno spiegato sul loro (blog):

Inizialmente sarà disponibile in beta. L'implementazione è un po 'impegnativa, a causa del design di WireGuard che non si adatta perfettamente alla nostra infrastruttura.

Vogliamo che l'implementazione sia la migliore e semplice possibile da zero e completamente automatizzata. Ciò richiede un certo lavoro sul lato back-end: API, chiavi di sincronizzazione dei server e così via. Non è facile come accendere un altro server, ma sicuramente fattibile.

VPN.ac ha definito tre fasi per l'integrazione completa di WireGuard nel loro servizio:

  • Fase 1: progettare e distribuire le API back-end
  • Fase 2: disponibilità front-end del generatore di configurazione per installazione manuale / software client di terze parti
  • Fase 3: implementazione nelle nostre app client VPN

Se vuoi testare WireGuard con VPN.ac, offrono (vedi la pagina FAQ), che ti dà un abbonamento di prova completo di una settimana per $ 2.

3. TorGuard - Server WireGuard attivi

TorGuard è un servizio VPN degli Stati Uniti che ho scoperto per offrire buone prestazioni e molte funzionalità, tra cui servizi di posta elettronica, indirizzi IP dedicati e bundle di streaming.

Il sito Web TorGuard contiene varie guide per l'impostazione di TorGuard su diversi dispositivi.

4. Mullvad - Server WireGuard attivi

migliore VPN per Wireguard

Come AzireVPN, anche Mullvad ha sede in Svezia ed è stata una delle prime VPN a implementare WireGuard.

Mullvad attualmente supporta WireGuard su Linux, Mac OS, Android e alcuni router. Hanno anche una vasta rete di server WireGuard attivi (49 in totale) oltre a 281 server OpenVPN.

https://mullvad.net/

5. IVPN - Server WireGuard attivi

Wireguard Ivpn

IVPN è un servizio VPN basato su Gibilterra che supporta anche WireGuard. Sembra che IVPN sia il primo fornitore a integrare WireGuard nei propri client VPN, come spiegano sul loro sito Web, il che è interessante poiché il codice è ancora in fase di sviluppo. Come spiega IVPN sul suo sito Web:

WireGuard è disponibile sul nostro macOS, iOS & Client Android. Puoi anche connetterti usando la maggior parte delle distro Linux. WireGuard non è attualmente supportato su Windows.

IVPN ha attualmente 10 posizioni server WireGuard.

https://www.ivpn.net/

Altri provider VPN WireGuard

Esistono anche diversi servizi VPN che hanno dichiarato pubblicamente le loro intenzioni di aggiungere WireGuard, ma non sono ancora pronti per l'implementazione.

NordVPN

Attualmente NordVPN non supporta WireGuard, ma lo stanno testando attivamente e si stanno preparando per un rilascio quando sarà pronto.

Accesso a Internet privato

L'accesso privato a Internet è un grande sostenitore di WireGuard e ha anche donato alla causa. Tuttavia, non è pronto a premere il grilletto e offrire WireGuard ai suoi utenti a causa dello stato attuale e della mancanza di un controllo, come hanno spiegato su reddit:

WireGuard è eccezionale, ma è in fase di sviluppo attivo. Ciò significa che ci sono bug di sicurezza in attesa di essere scoperti e che potrebbero esserci gravi conseguenze per i provider VPN che sono i primi ad adottare. Una violazione della sicurezza o della privacy è un rischio che non possiamo assumere come organizzazione.

Il futuro di WireGuard VPN

Cosa riserva il futuro per WireGuard VPN?

Una volta che WireGuard è stato completamente rilasciato, verificato e approvato per un uso regolare, probabilmente continuerà a guadagnare popolarità, supponendo che sia ben accolto dalla base di utenti VPN. Con l'aumento della popolarità e della domanda, puoi essere sicuro che un numero maggiore di servizi VPN incorporerà WireGuard nella loro infrastruttura, anche se ciò comporta alcuni problemi crescenti. Mentre molti dei principali servizi VPN non supportano attualmente WireGuard, ciò potrebbe cambiare nel tempo.

A causa dell'interesse degli utenti, stiamo già assistendo ai primi utenti e ai vari provider VPN che utilizzano l'implementazione di WireGuard come strumento di marketing, con relativi comunicati stampa (** tosse ** solo per i test **tosse**). Questa tendenza probabilmente continuerà.

WireGuard può diventare un protocollo popolare per gli utenti di dispositivi mobili, dove offre effettivamente alcuni vantaggi.

Se desideri provare questo nuovo protocollo VPN, puoi testarlo con uno dei servizi VPN WireGuard sopra. Assicurati di considerare il implicazioni sulla privacy e sulla sicurezza dato lo stato attuale del progetto. Fino a quando WireGuard non sarà completamente rilasciato e verificato, sarebbe meglio attenersi a OpenVPN o IPSec per un uso regolare.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me