wireguard


WireGuard er en interessant ny VPN-protokoll som har potensial til å bringe store endringer i VPN-bransjen. Sammenlignet med eksisterende VPN-protokoller, som OpenVPN og IPSec, kan WireGuard tilby raskere hastigheter og bedre pålitelighet med nye og forbedrede krypteringsstandarder.

Selv om det tilbyr noen lovende funksjoner når det gjelder enkelhet, hastighet og kryptografi, har WireGuard også noen bemerkelsesverdige ulemper, som vi vil diskutere i lengden nedenfor.

I denne femdelte WireGuard VPN-guiden vil vi dekke:

  1. Hva er WireGuard
  2. WireGuard Pros
  3. WireGuard Cons (hvorfor det ikke er anbefalt ennå)
  4. Hvilke VPN-leverandører som for øyeblikket støtter WireGuard
  5. Fremtiden til WireGuard

Så la oss dykke inn!

Hva er WireGuard?

WireGuard er en ny, eksperimentell VPN-protokoll som tar sikte på å tilby en enklere, raskere og sikrere løsning for VPN-tunneling enn de eksisterende VPN-protokollene. WireGuard har noen store forskjeller sammenlignet med OpenVPN og IPSec, for eksempel kodestørrelse (under 4000 linjer!), Hastighet og krypteringsstandarder.

Utvikleren bak WireGuard er Jason Donenfeld, grunnleggeren av Edge Security. (Begrepet “WireGuard” er også et registrert varemerke for Donenfeld.) I ett intervju jeg så, sa Donenfeld at ideen til WireGuard kom da han bodde utenlands og trengte en VPN for Netflix.

Hvorfor er det så mye surr rundt WireGuard?

Vel, det gir noen potensielle fordeler i forhold til eksisterende VPN-protokoller, som vi vil diskutere videre nedenfor. Det har til og med fått oppmerksomheten til Linus Torvalds, utvikleren bak Linux, som hadde dette å si i Linux Kernel Mailing List:

Kan jeg nok en gang oppgi kjærligheten min til [WireGuard] og håpe at den snart slås sammen? Kanskje koden ikke er perfekt, men jeg har skummet den, og sammenlignet med skrekken som er OpenVPN og IPSec, er det et kunstverk.

La oss først undersøke fordelene med WireGuard.

WireGuard Pros

Her er noen av de "proffene" som WireGuard tilbyr:

1. Oppdatert kryptering

Som forklart i forskjellige intervjuer, ønsket Jason Donenfeld å oppgradere det han anså som "utdaterte" protokoller med OpenVPN og IPSec. WireGuard bruker følgende protokoller og primitiver, som beskrevet på nettstedet:

  • ChaCha20 for symmetrisk kryptering, autentisert med Poly1305, ved bruk av RFC7539s AEAD-konstruksjon
  • Curve25519 for ECDH
  • BLAKE2s for hashing og tastet hashing, beskrevet i RFC7693
  • SipHash24 for hashtable nøkler
  • HKDF for nøkkelderivasjon, som beskrevet i RFC5869

Du kan lære mer om WireGuards moderne kryptografi på det offisielle nettstedet eller i den tekniske meldingen.

2. Enkel og minimal kodebase

WireGuard skiller seg virkelig ut når det gjelder kodebasen, som for øyeblikket er omtrent 3800 linjer. Dette står i sterk kontrast til OpenVPN og OpenSSL, som til sammen har rundt 600 000 linjer. IPSec er også voluminøs på rundt 400 000 totale linjer med XFRM og StrongSwan sammen.

Hva er fordelene med en mindre kodebase??

  1. Det er mye lettere å revidere. OpenVPN ville ta et stort team mange dager å revidere. En person kan lese gjennom WireGuards kodebase om noen timer.
  2. Enklere å kontrollere = lettere å finne sårbarheter, noe som hjelper med å holde WireGuard sikker
  3. Mye mindre angrepsflate sammenlignet med OpenVPN og IPSec
  4. Bedre ytelse

Selv om den mindre kodebasen faktisk er en fordel, gjenspeiler den også noen begrensninger, som vi vil diskutere nedenfor.

3. Forbedring av ytelsen

Hastigheter kan være en begrensende faktor med VPN-er - av mange forskjellige grunner. WireGuard er designet for å tilby betydelige forbedringer innen ytelsesområdet:

En kombinasjon av ekstremt høyhastighets kryptografiske primitiver og det faktum at WireGuard bor inne i Linux-kjernen, betyr at sikkert nettverk kan være veldig høyt. Det er egnet for både små innebygde enheter som smarttelefoner og fullastede ryggradsrutere.

Teoretisk sett bør WireGuard tilby forbedret ytelse i veien for:

  • Raskere hastigheter
  • Bedre batterilevetid med telefoner / nettbrett
  • Bedre roamingstøtte (mobile enheter)
  • Mer pålitelighet
  • Raskere ved etablering av tilkoblinger / tilkoblinger (raskere håndtrykk)

WireGuard skal være fordelaktig for mobile VPN-brukere. Med WireGuard, hvis din mobile enhet endrer nettverksgrensesnitt, for eksempel å bytte fra WiFi til mobil- / celledata, vil forbindelsen forbli så lenge VPN-klienten fortsetter å sende autentiserte data til VPN-serveren.

4. Brukervennlighet på tvers av plattformer

Selv om WireGuard ennå ikke er klar for prime time, bør fungere veldig bra på tvers av forskjellige plattformer. WireGuard støtter Mac OS, Android, iOS og Linux, med Windows-støtte som fortsatt er i utvikling.

En annen interessant egenskap med WireGuard er at den bruker offentlige nøkler til identifikasjon og kryptering, mens OpenVPN bruker sertifikater. Dette skaper imidlertid noen problemer for å bruke WireGuard i en VPN-klient, for eksempel nøkkelgenerering og styring.

WireGuard Cons

wireguard vpn serviceMens WireGuard byr på mange spennende fordeler, kommer det for tiden med noen bemerkelsesverdige ulemper.

1. Fortsatt under "tung" utvikling, ikke klar, ikke revidert

Til tross for at WireGuard forblir under "tung utvikling" og ennå ikke er klar for generell bruk, er det mange som ønsker å bruke det med en gang som sin primære VPN-protokoll. Du kan finne mange WireGuard-kampanjer på reddit og forskjellige fora - det vil si å jage den siste VPN-trenden.

Det må påpekes at WireGuard ikke er fullstendig, den har ikke bestått en sikkerhetsrevisjon, og utviklerne advarer eksplisitt om å stole på gjeldende kode:

WireGuard er ikke fullført ennå. Du bør ikke stole på denne koden. Den har ikke gjennomgått ordentlige grader av sikkerhetsrevisjon, og protokollen kan fortsatt endres. Vi jobber mot en stabil 1.0-utgivelse, men den tiden har ennå ikke kommet.

Likevel er det en håndfull VPN-er som gjør seg klar eller tilbyr WireGuard-støtte akkurat nå. På dette tidspunktet bør du imidlertid bare bruke WireGuard kun for testformål.

2. Bekymringer og logger fra WireGuard om personvern

Selv om WireGuard kan tilby fordeler når det gjelder ytelse og sikkerhet, er det ved design ikke bra for privatlivet.

En rekke VPN-leverandører har uttrykt bekymring for WireGuards mulighet til å brukes uten logger, og hvordan dette kan påvirke brukernes personvern.

AzireVPN, en av de første VPN-ene som implementerte WireGuard, hadde dette å si i fjor:

Hos AzireVPN bryr vi oss om retningslinjene våre uten logging, det er grunnen til at alle serverne våre kjører på diskløs maskinvare og alle loggfiler blir sendt til / dev / null.

Men når det gjelder WireGuard, er standardoppførselen å ha endepunkt og tillatt-ip synlig i servergrensesnittet, noe som ikke virkelig fungerer med personvernreglene våre. Vi burde ikke vite om kilde-IP-en din og kan ikke godta å ha den synlig på serverne våre.

 forsøkte å komme seg rundt disse problemene ved å ansette Jason Donenfeld til å "skrive en rootkit-lignende modul som fjerner muligheten til en vanlig systemadministrator til å spørre om sluttpunkt eller tillatt-ip informasjon om WireGuard-jevnaldrende og deaktivere muligheten til å kjøre tcpdump" (se her).

Perfekt personvern hevdet at WireGuard er det “Ikke brukbar uten logger” i en interessant:

WireGuard har ingen dynamisk adresseadministrasjon, klientadressene er faste. Det betyr at vi må registrere alle aktive enheter fra våre kunder og tilordne de statiske IP-adressene på hver av våre VPN-servere. I tillegg må vi lagre den siste innloggingstiden for hver enhet for å gjenvinne ubrukte IP-adresser. Våre brukere vil da ikke kunne koble til enhetene dine etter noen uker fordi adressene ville blitt tildelt på nytt.

Det er spesielt viktig for oss at vi ikke oppretter eller lagrer noen tilkoblingslogger i det hele tatt. Derfor kan vi ikke lagre ovennevnte registrerings- og påloggingsdata som for øyeblikket vil være nødvendige for at WireGuard skal fungere.

VPN.ac vakte lignende bekymringer rundt WireGuards feil med hensyn til brukernes personvern:

Personvernhensyn: etter design er WireGuard ikke egnet for ingen / begrensede loggingsregler. Spesifikt vil den siste offentlige IP-en til brukeren bli lagret på den delen som ble brukt til å koble til, og den kan ikke fjernes i løpet av et døgn i henhold til gjeldende personvernregler. På et senere tidspunkt vil vi sannsynligvis lage noen justeringer til kildekoden for å desinfisere eller fjerne den sist brukte offentlige IP-en.

ExpressVPN er en annen VPN-tjeneste som ga uttrykk for bekymring for WireGuards utforming av dens implikasjoner for personvern:

En av utfordringene WireGuard står overfor er å sikre anonymitet for VPN-er. Ingen enkelt bruker skal statisk tildeles en enkelt IP-adresse, verken på et offentlig eller et virtuelt nettverk. En brukers interne IP-adresse kan bli oppdaget av en motstander (gjennom WebRTC, for eksempel), som kan være i stand til å matche den med poster som er anskaffet fra en VPN-leverandør (gjennom tyveri, salg eller lovlig anfall). En god VPN må ikke være i stand til å matche en slik identifikasjon til en enkelt bruker. For øyeblikket oppnås ikke dette oppsettet med WireGuard.

ExpressVPN vil støtte arbeidet med å gjennomgå og revidere WireGuard-koden, slik vi har gjort tidligere med OpenVPN. Vi vil bidra med kode og rapportere feil når vi kan og heve sikkerhets- og personvernhensyn direkte med utviklingsteamet.

AirVPN har også chimet inn over WireGuards implikasjoner for anonymitet, som forklart i forumet deres:

Wireguard, i sin nåværende tilstand, er ikke bare farlig fordi den mangler grunnleggende funksjoner og er en eksperimentell programvare, men den svekker også anonymitetslaget farlig. Tjenesten vår har som mål å gi et visst anonymitetslag, derfor kan vi ikke ta hensyn til noe som svekker det så dypt.

Vi vil gjerne ta Wireguard i betraktning når den når en stabil utgave OG tilbyr minst de mest grunnleggende alternativene som OpenVPN har kunnet tilby siden for 15 år siden. Infrastrukturen kan tilpasses, misjonen vår kan det ikke.

I forumene deres forklarte vi videre hvorfor WireGuard ganske enkelt ikke oppfyller kravene sine:

  • Wireguard mangler dynamisk IP-adresseadministrasjon. Klienten må tilordnes på forhånd en forhåndsdefinert VPN IP-adresse som er unikt knyttet til nøkkelen på hver VPN-server. Påvirkningen på anonymitetslaget er katastrofalt;
  • Wireguard-klient verifiserer ikke serveridentiteten (en funksjon som er så viktig at den sikkert blir implementert når Wireguard ikke lenger vil være et eksperimentelt programvare); påvirkningen på sikkerheten forårsaket av denne feilen er veldig stor;
  • TCP-støtte mangler (tredjepart eller uansett tilleggskode er nødvendig for å bruke TCP som tunnellprotokoll, som du antyder, og det er en fryktelig regresjon sammenlignet med OpenVPN);
  • det er ingen støtte for å koble Wireguard til en VPN-server via en proxy med en rekke autentiseringsmetoder.

Til tross for disse bekymringene, lanserer mange VPN-tjenester allerede full WireGuard-støtte. Andre VPN-er ser på prosjektet og er interessert i å implementere WireGuard etter at det er grundig revidert og forbedret.

Imidlertid, som AirVPN uttalte i sitt forum:

"Vi vil ikke bruke kundene våre som testere."

3. Ny og uprøvd

Visst har OpenVPN sine problemer, men den har også en lang merittliste og er en velprøvd VPN-protokoll med omfattende revisjon. Mens Donenfeld kan referere til OpenVPN som "utdatert" i forskjellige intervjuer, kan andre se det som påvist og pålitelig - egenskaper som WireGuard for tiden mangler.

Opprinnelig utgitt i 2001, har OpenVPN en veldig lang historie. OpenVPN drar også nytte av en stor brukerbase og aktiv utvikling med regelmessige oppdateringer. I mai 2017 gjennomgikk den en større revisjon av OSTIF, Open Source Technology Improvement Fund.

På dette tidspunktet ser WireGuard ut til å være mer et nisjeprosjekt - men et med potensiale for industrien. Den er veldig ny og er ennå ikke ute av den "tunge utviklingsfasen", selv om den har gjennomgått en formell bekreftelse. Selv etter at WireGuard offisielt er utgitt, vil brukerne imidlertid være lurt å fortsette med forsiktighet.

4. Begrenset adopsjon (for nå)

Som vi dekket over, er det noen store hindringer i veien for bransjedekkende WireGuard-adopsjon:

  • Problemet med nøkkelstyring og distribusjon (i stedet for å bruke sertifikater).
  • WireGuard trenger sin egen infrastruktur, atskilt fra eksisterende OpenVPN-servere.
  • Kompatibilitet med eksisterende operasjoner. For leverandører som har bygget sine tjenester og funksjoner rundt OpenVPN, kan det hende at WireGuard ikke er i kortene snart.

Perfekt personvern som WireGuard ikke er kompatibel med deres eksisterende funksjoner på serversiden, for eksempel multi-hop VPN-kaskader, TrackStop og NeuroRouting. Ikke desto mindre nådde jeg til Perfect Privacy, og de bekreftet at de kan støtte WireGuard som et frittstående alternativ på et senere tidspunkt.

Tilsvarende uttalte AirVPN at WireGuard er "totalt ubrukelig" med sin infrastruktur:

For øyeblikket er det helt ubrukelig i infrastrukturen vår fordi den mangler TCP-støtte, mangler dynamisk VPN IP-tildeling, og (i det minste bygget vi har sett) mangler en strengt nødvendig sikkerhetsfunksjon (bekreftelse av CA-sertifikatet levert av serveren, derfor kan ikke klienten være sikker på at på andre siden noen fiendtlige enheter ikke etterligger seg en VPN-server).

Konklusjon: anbefales ikke

Med tanke på den nåværende tilstanden til WireGuard, personvernkonsekvensene og det faktum at den ikke er revidert, anbefales ikke WireGuard for regelmessig bruk.

Videre er personvernhensynene som følger med WireGuard (etter design!), En stor ulempe.

Dette vil sannsynligvis ikke forbedre seg, og det tvinger VPN-tjenester til å lage en slags unik out-of-the-box-løsning for å få den til å fungere med retningslinjene uten logger, som vi så ovenfor med AzireVPN. Denne ulempen påvirker ikke OpenVPN.

Ikke desto mindre kan WireGuard være ideell for noen brukere, avhengig av deres trusselmodell og spesifikke behov. For øyeblikket vil det imidlertid være lurt å være hos OpenVPN eller kanskje IPSec for regelmessig bruk.

Hvilke VPN-tjenester støtter WireGuard?

Her er VPN-er som for øyeblikket støtter WireGuard eller har bekreftet at de tester ut WireGuard med den hensikt å støtte protokollen når den er klar:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (fremdeles i test)
  7. Privat Internett-tilgang (fremdeles under testing)

Nå skal vi se nærmere på hver av disse WireGuard VPN-tjenestene nedenfor.

1. AzireVPN - WireGuard-servere live

AzireVPN er en Sverige-basert VPN-tjeneste som er fokusert på personvern og sikkerhet. Det var en av de tidligste adoptere av WireGuard og har en WireGuard-seksjon:

Vi har utviklet et API for distribusjon av nøkler og ser på å legge til WireGuard til vår klient. For øyeblikket kan denne protokollen brukes på Windows, Linux, macOS, Android og rutere som kjører OpenWRT, men støtte for Windows kommer snart. Bare registrer deg for å koble til alle WireGuard-serverne våre, som er tilgjengelige på hvert av stedene våre.

Merk: AzireVPN støtter for øyeblikket Windows-brukere via tredjeparts TunSafe VPN-klient. Det er imidlertid ingen offisiell WireGuard-støtte for Windows på dette tidspunktet, og utvikleren anbefaler å ikke bruke tredjepartsklienter:

En Windows-klient kommer snart. I mellomtiden blir du sterkt anbefalt å holde deg unna Windows-klienter som ikke er løslatt fra dette nettstedet, da de kan være farlige å bruke, til tross for markedsføringstiltak.

2. VPN.ac - WireGuard-servere live

er en rumensk VPN-tjeneste som jeg har brukt og testet i flere år (se VPN.ac-gjennomgangen).

VPN.ac kunngjorde på bloggen sin at de etter å ha testet WireGuard internt, har bestemt seg for å støtte protokollen. Som de forklarte på deres (blogg):

Opprinnelig vil den være tilgjengelig i beta. Implementeringen er litt utfordrende, på grunn av WireGuards design som ikke gjør at den passer inn i infrastrukturen vår ut av boksen.

Vi ønsker at implementeringen skal være så god og enkel som mulig fra bunnen av, og helt automatisert. Dette krever ganske mye arbeid på baksiden: APIer, servere som synkroniserer nøkler og så videre. Ikke så lett som å skyte opp enda en server, men absolutt gjennomførbar.

VPN.ac har lagt ut tre stadier for full integrering av WireGuard i deres tjeneste:

  • Trinn 1: designe og distribuere back-end API-ene
  • Trinn 2: front-end tilgjengeligheten av konfigurasjonsgenerator for manuell oppsett / tredjeparts klientprogramvare
  • Trinn 3: implementering i VPN-klientappene våre

Hvis du vil teste WireGuard med VPN.ac, tilbyr de (se FAQ-side), som gir deg en ukes full prøveperiode for $ 2.

3. TorGuard - WireGuard-servere live

TorGuard er en amerikansk VPN-tjeneste som jeg har funnet å tilby gode ytelser og mange funksjoner, inkludert e-posttjenester, dedikerte IP-adresser og streamingbunter.

TorGuard-nettstedet har forskjellige guider for å sette opp TorGuard på forskjellige enheter.

4. Mullvad - WireGuard-servere live

beste vpn for wireguard

I likhet med AzireVPN, er Mullvad også basert i Sverige og var en av de første VPN-ene som implementerte WireGuard.

Mullvad støtter for øyeblikket WireGuard på Linux, Mac OS, Android og noen rutere. De har også et stort nettverk av aktive WireGuard-servere (49 totalt) i tillegg til 281 OpenVPN-servere.

https://mullvad.net/

5. IVPN - WireGuard-servere live

ivpn wireguard

IVPN er en Gibraltar-basert VPN-tjeneste som også støtter WireGuard. Det ser ut som IVPN er den første leverandøren som bygger WireGuard til sine egne VPN-klienter, slik de forklarer på hjemmesiden deres, noe som er interessant siden koden fortsatt er under utvikling. Som IVPN's forklarer på sin hjemmeside:

WireGuard er tilgjengelig på vår macOS, iOS & Android-klienter. Du kan også koble til ved hjelp av de fleste Linux-distrosene. WireGuard støttes ikke på Windows på dette tidspunktet.

IVPN har for tiden 10 WireGuard-serverplasseringer.

https://www.ivpn.net/

Andre WireGuard VPN-leverandører

Det er også noen få forskjellige VPN-tjenester som offentlig har uttalt sine intensjoner om å legge til WireGuard, men som ennå ikke er klare til implementering.

NordVPN

NordVPN støtter foreløpig ikke WireGuard, men de tester det aktivt og forbereder seg på en utgivelse når den er klar.

Privat internettilgang

Privat Internett-tilgang er en stor tilhenger av WireGuard og har også gitt til saken. Ikke desto mindre er den ikke klar til å trekke i avtrekkeren og tilby WireGuard til sine brukere på grunn av gjeldende status og mangel på en revisjon, slik de forklarte på reddit:

WireGuard er flott, men den er under aktiv utvikling. Dette betyr at det er sikkerhetsfeil som venter på å bli funnet, og det kan være alvorlige konsekvenser for VPN-leverandører som er tidlig adoptere. Et brudd på sikkerhet eller personvern er en risiko vi ikke kan ta som organisasjon.

Fremtiden til WireGuard VPN

Så hva har fremtiden for WireGuard VPN?

Når WireGuard er fullstendig utgitt, blir revidert og klarert for regelmessig bruk, vil den sannsynligvis fortsette å øke populariteten - forutsatt at den blir godt mottatt av VPN-brukerbasen. Med økende popularitet og etterspørsel, kan du være sikker på at flere VPN-tjenester vil innlemme WireGuard i infrastrukturen deres - selv om det kommer med noen voksensmerter. Selv om mange av de beste VPN-tjenestene for øyeblikket ikke støtter WireGuard, kan det endre seg over tid.

På grunn av brukerinteresse ser vi allerede tidlige adoptere og forskjellige VPN-leverandører som bruker WireGuard-implementeringen som et markedsføringsverktøy, med tilhørende pressemeldinger (** hoste **) bare for testing **hoste**). Denne trenden vil trolig fortsette.

WireGuard kan bli en populær protokoll for mobilbrukere, der den faktisk gir noen fordeler.

Hvis du vil prøve denne nye VPN-protokollen, kan du prøvekjør den med en av WireGuard VPN-tjenestene ovenfor. Husk å vurdere implikasjoner for personvern og sikkerhet gitt prosjektets nåværende tilstand. Inntil WireGuard er fullstendig utgitt og revidert, vil det imidlertid være best å holde seg til OpenVPN eller IPSec for regelmessig bruk.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me