wireguard


WireGuard er en interessant ny VPN-protokol, der har potentialet til at bringe store ændringer i VPN-branchen. I sammenligning med eksisterende VPN-protokoller, såsom OpenVPN og IPSec, kan WireGuard muligvis tilbyde hurtigere hastigheder og bedre pålidelighed med nye og forbedrede krypteringsstandarder.

Selvom det tilbyder nogle lovende funktioner med hensyn til enkelhed, hastighed og kryptografi, har WireGuard også nogle bemærkelsesværdige ulemper, som vi vil diskutere i længden nedenfor.

I denne femdelt WireGuard VPN-guide vil vi dække:

  1. Hvad er WireGuard
  2. WireGuard Pros
  3. WireGuard Cons (hvorfor det endnu ikke anbefales)
  4. Hvilke VPN-udbydere i øjeblikket understøtter WireGuard
  5. WireGuards fremtid

Så lad os dykke ind!

Hvad er WireGuard?

WireGuard er en ny, eksperimentel VPN-protokol, der sigter mod at tilbyde en enklere, hurtigere og mere sikker løsning til VPN-tunneling end de eksisterende VPN-protokoller. WireGuard har nogle store forskelle sammenlignet med OpenVPN og IPSec, såsom kodestørrelse (under 4.000 linjer!), Hastighed og krypteringsstandarder.

Udvikleren bag WireGuard er Jason Donenfeld, grundlæggeren af ​​Edge Security. (Udtrykket “WireGuard” er også et registreret varemærke for Donenfeld.) I et interview, jeg så, sagde Donenfeld, at ideen til WireGuard kom, da han boede i udlandet og havde brug for en VPN til Netflix.

Hvorfor er der så meget brummer omkring WireGuard?

Det giver nogle potentielle fordele i forhold til eksisterende VPN-protokoller, som vi vil diskutere nærmere nedenfor. Det har endda fanget opmærksomheden fra Linus Torvalds, udvikleren bag Linux, som havde dette at sige i Linux Kernel Mailing List:

Kan jeg bare endnu en gang give udtryk for min kærlighed til [WireGuard] og håbe, at den snart bliver fusioneret? Måske er koden ikke perfekt, men jeg har skummet den op, og sammenlignet med de rædsler, der er OpenVPN og IPSec, er det et kunstværk.

Lad os først undersøge fordelene ved WireGuard.

WireGuard Pros

Her er nogle af de "professionelle", som WireGuard tilbyder:

1. Opdateret kryptering

Som forklaret i forskellige interviews, ønskede Jason Donenfeld at opgradere, hvad han betragtede som "forældede" protokoller med OpenVPN og IPSec. WireGuard bruger følgende protokoller og primitiver som beskrevet på sit websted:

  • ChaCha20 til symmetrisk kryptering, godkendt med Poly1305, ved hjælp af RFC7539s AEAD-konstruktion
  • Kurve25519 til ECDH
  • BLAKE2s til hashing og nøglet hashing, beskrevet i RFC7693
  • SipHash24 til hashtable nøgler
  • HKDF til nøgledivation, som beskrevet i RFC5869

Du kan lære mere om WireGuards moderne kryptografi på det officielle websted eller i den tekniske hvidbog.

2. Enkel og minimal kodebase

WireGuard skiller sig virkelig ud med hensyn til sin kodebase, som i øjeblikket er omkring 3.800 linjer. Dette står i skarp kontrast til OpenVPN og OpenSSL, som tilsammen har omkring 600.000 linier. IPSec er også voluminøs på omkring 400.000 samlede linjer med XFRM og StrongSwan samlet.

Hvad er fordelene ved en mindre kodebase?

  1. Det er meget lettere at revidere. OpenVPN ville tage et stort team mange dage at revidere. En person kan læse WireGuards kodebase på få timer.
  2. Nemmere at kontrollere = lettere at finde sårbarheder, hvilket hjælper med at holde WireGuard sikker
  3. Meget mindre angreboverflade i sammenligning med OpenVPN og IPSec
  4. Bedre ydeevne

Mens den mindre kodebase faktisk er en fordel, afspejler den også nogle begrænsninger, som vi vil diskutere nedenfor.

3. Forbedring af ydelsen

Hastigheder kan være en begrænsende faktor med VPN'er - af mange forskellige grunde. WireGuard er designet til at tilbyde betydelige forbedringer inden for ydeevne:

En kombination af ekstremt højhastigheds kryptografiske primitiver og det faktum, at WireGuard bor inde i Linux-kernen, betyder, at sikkert netværk kan være meget højt. Det er velegnet til både små indlejrede enheder som smartphones og fuldt indlæste backbone routere.

Teoretisk set skulle WireGuard tilbyde forbedret ydelse i vejen til:

  • Hurtigere hastigheder
  • Bedre batterilevetid med telefoner / tablets
  • Bedre roaming support (mobile enheder)
  • Mere pålidelighed
  • Hurtigere ved etablering af forbindelser / genforbindelser (hurtigere håndtryk)

WireGuard skal være fordelagtig for mobile VPN-brugere. Med WireGuard, hvis din mobile enhed ændrer netværksgrænseflader, såsom at skifte fra WiFi til mobil / celle-data, forbliver forbindelsen, så længe VPN-klienten fortsætter med at sende godkendte data til VPN-serveren.

4. Brugervenlighed på tværs af platforme

Selvom WireGuard endnu ikke er klar til prime time, skal det fungere meget godt på tværs af forskellige platforme. WireGuard understøtter Mac OS, Android, iOS og Linux, med Windows-support stadig under udvikling.

En anden interessant funktion med WireGuard er, at den bruger offentlige nøgler til identifikation og kryptering, mens OpenVPN bruger certifikater. Dette skaber dog nogle problemer med at bruge WireGuard i en VPN-klient, f.eks. Nøgledannelse og -styring.

WireGuard Cons

wireguard vpn-serviceMens WireGuard tilbyder mange spændende fordele, kommer det i øjeblikket med nogle bemærkelsesværdige ulemper.

1. Stadig under "tung" udvikling, ikke klar, ikke revideret

På trods af det faktum, at WireGuard forbliver under "tung udvikling" og endnu ikke er klar til generel brug, er der mange mennesker, der ønsker at bruge det med det samme som deres primære VPN-protokol. Du kan finde masser af WireGuard-promovering på reddit og forskellige fora - dvs. jagte den seneste VPN-trend.

Det skal påpeges, at WireGuard ikke er komplet, den har ikke bestået en sikkerhedsrevision, og udviklerne advarer eksplicit om at have tillid til den aktuelle kode:

WireGuard er endnu ikke fuldført. Du skal ikke stole på denne kode. Det har ikke gennemgået ordentlige grader af sikkerhedsrevision, og protokollen kan stadig ændres. Vi arbejder på en stabil 1.0-udgivelse, men den tid er endnu ikke kommet.

Ikke desto mindre er der en håndfuld VPN'er, der gør sig klar eller tilbyder WireGuard-support lige nu. På dette tidspunkt skal du dog kun bruge WireGuard kun til testformål.

2. Problemer med WireGuard om privatlivets fred og logfiler

Mens WireGuard kan tilbyde fordele med hensyn til ydelse og sikkerhed, er det ved design ikke godt for privatlivets fred.

En række VPN-udbydere har udtrykt bekymring for WireGuards evne til at blive brugt uden logfiler, og hvordan dette kan påvirke brugernes privatliv.

AzireVPN, en af ​​de første VPN'er, der implementerede WireGuard, havde dette at sige sidste år:

Hos AzireVPN er vi ligeglade med vores politik for ikke-logning, det er derfor, alle vores servere kører på diskløs hardware, og alle logfiler røres til / dev / null.

Men når det kommer til WireGuard er standardopførelsen at have slutpunkt og tilladt-ip synlig i servergrænsefladen, som ikke rigtig fungerer med vores privatlivspolitik. Vi skulle ikke vide om din kilde-IP og kan ikke acceptere at have det synligt på vores servere.

 forsøgte at omgå disse problemer ved at ansætte Jason Donenfeld til at "skrive et rootkit-lignende modul, der fjerner en almindelig systemadministrators evne til at forespørge slutpoint eller tilladt-ip information om WireGuard-peers og deaktivere evnen til at køre tcpdump" (se her).

Perfekt privatliv argumenterede for, at WireGuard er det “Ikke brugbar uden logfiler” i en interessant:

WireGuard har ingen dynamisk adressestyring, klientadresserne er faste. Det betyder, at vi bliver nødt til at registrere alle aktive enheder hos vores kunder og tildele de statiske IP-adresser på hver af vores VPN-servere. Derudover bliver vi nødt til at gemme den sidste login-tidsstempel for hver enhed for at gendanne ubrugte IP-adresser. Vores brugere vil derefter ikke være i stand til at forbinde dine enheder efter et par uger, fordi adresserne ville være blevet tildelt.

Det er især vigtigt for os, at vi slet ikke opretter eller gemmer forbindelseslogfiler. Derfor kan vi ikke gemme ovennævnte registrerings- og login-data, som i øjeblikket kræves for at WireGuard kan fungere.

VPN.ac rejste lignende bekymringer omkring WireGuards fejl med hensyn til brugernes privatliv:

Overvejelser om beskyttelse af personlige oplysninger: efter design er WireGuard ikke egnet til ingen / begrænset logningspolitik. Specifikt gemmes den sidste offentlige IP af brugeren på det nummer, der bruges til at oprette forbindelse til, og det kan ikke fjernes inden for et døgn i henhold til vores nuværende privatlivspolitik. På et senere tidspunkt foretager vi sandsynligvis nogle justeringer til kildekoden for at rense eller fjerne den sidst anvendte offentlige IP.

ExpressVPN er en anden VPN-tjeneste, der gav udtryk for bekymring over WireGuards design dens implikationer for privatlivets fred:

En af udfordringerne, som WireGuard står overfor, er at sikre VPNs anonymitet. Ingen enkelt bruger skal statisk tildeles en enkelt IP-adresse, hverken på et offentligt eller et virtuelt netværk. En brugers interne IP-adresse kan blive opdaget af en modstander (f.eks. Via WebRTC), der muligvis derefter kan matche den med poster, der er erhvervet fra en VPN-udbyder (gennem tyveri, salg eller juridisk beslaglæggelse). En god VPN skal ikke være i stand til at matche en sådan id til en enkelt bruger. I øjeblikket opnås denne opsætning ikke let med WireGuard.

ExpressVPN vil støtte bestræbelserne på at gennemgå og revidere WireGuard-koden, som vi tidligere har gjort med OpenVPN. Vi vil bidrage med kode og rapportere fejl hver gang vi kan og hæve sikkerheds- og privatlivets fred direkte med udviklingsholdet.

AirVPN har også chimet ind over WireGuards implikationer for anonymitet, som forklaret i deres forum:

Wireguard, i sin nuværende tilstand, er ikke kun farlig, fordi den mangler grundlæggende funktioner og er en eksperimentel software, men den svækker også anonymitetslaget farligt. Vores service har til formål at give noget anonymitetslag, derfor kan vi ikke tage hensyn til noget, der svækker det så dybt.

Vi tager med glæde Wireguard i betragtning, når den når en stabil udgivelse OG tilbyder mindst de mest basale muligheder, som OpenVPN har kunnet tilbyde siden for 15 år siden. Infrastrukturen kan tilpasses, vores mission kan ikke.

I deres fora forklares yderligere, hvorfor WireGuard simpelthen ikke opfylder deres krav:

  • Wireguard mangler dynamisk IP-adressestyring. Klienten skal tildeles på forhånd en foruddefineret VPN IP-adresse, der unikt er knyttet til dens nøgle på hver VPN-server. Virkningen på anonymitetslaget er katastrofalt;
  • Wireguard-klient verificerer ikke serveridentiteten (en funktion, der er så vigtig, at den helt sikkert bliver implementeret, når Wireguard ikke mere er en eksperimentel software); påvirkningen på sikkerheden forårsaget af denne fejl er meget stor;
  • TCP-support mangler (tredjepart eller alligevel yderligere kode er påkrævet for at bruge TCP som tunnelprotokol, som du antyder, og det er en frygtelig regression sammenlignet med OpenVPN);
  • der er ingen support til at forbinde Wireguard til en VPN-server via en eller anden proxy med en række autentificeringsmetoder.

På trods af disse bekymringer er mange VPN-tjenester allerede i gang med at implementere fuld WireGuard-support. Andre VPN'er ser projektet og er interesserede i at implementere WireGuard, efter at det er blevet grundigt revideret og forbedret.

I mellemtiden, men som AirVPN sagde i deres forum:

”Vi bruger ikke vores kunder som testere.”

3. Ny og ikke-testet

Selvfølgelig har OpenVPN sine problemer, men det har også en lang track record og er en bevist VPN-protokol med omfattende revision. Mens Donenfeld kan referere til OpenVPN som "forældet" i forskellige interviews, kan andre se det som bevist og pålideligt - egenskaber, som WireGuard i øjeblikket mangler.

Oprindeligt frigivet i 2001 har OpenVPN en meget lang historie. OpenVPN drager også fordel af en stor brugerbase og aktiv udvikling med regelmæssige opdateringer. I maj 2017 gennemgik den en større revision fra OSTIF, Open Source Technology Improvement Fund.

På dette tidspunkt ser WireGuard ud til at være mere et nicheprojekt - men et med potentiale for branchen. Den er meget ny og er endnu ikke ude af den "tunge udvikling" -fase, selvom den har gennemgået en formel verifikation. Selv efter WireGuard officielt er frigivet, ville brugerne imidlertid være kloge til at fortsætte med forsigtighed.

4. Begrænset vedtagelse (for nu)

Som vi dækkede ovenfor, er der nogle store forhindringer i vejen for WIRGuard-branchen vedtagelse:

  • Problemet med nøglestyring og distribution (i stedet for at bruge certifikater).
  • WireGuard har brug for sin egen infrastruktur adskilt fra eksisterende OpenVPN-servere.
  • Kompatibilitet med eksisterende operationer. For udbydere, der har bygget deres service og funktioner omkring OpenVPN, er WireGuard muligvis ikke på kortene snart.

Perfekt privatliv, at WireGuard ikke er kompatibel med deres eksisterende funktioner på serversiden, såsom multi-hop VPN-kaskader, TrackStop og NeuroRouting. Ikke desto mindre nåede jeg ud til Perfect Privacy, og de bekræftede, at de muligvis understøtter WireGuard som en selvstændig mulighed på et senere tidspunkt.

Tilsvarende sagde AirVPN også, at WireGuard er "totalt ubrugelig" med deres infrastruktur:

I øjeblikket er det det helt ubrugelig i vores infrastruktur fordi den mangler TCP-support, mangler dynamisk VPN IP-tildeling, og (i det mindste den build, vi har set), mangler en strengt nødvendig sikkerhedsfunktion (verifikation af CA-certifikatet leveret af serveren, derfor kan klienten ikke være sikker på, at på på den anden side efterligner en fjendtlig enhed ikke en VPN-server).

Konklusion: anbefales ikke

I betragtning af den aktuelle tilstand af WireGuard, konsekvenserne af privatlivets fred og det faktum, at det ikke er revideret, anbefales WireGuard ikke til regelmæssig brug.

Desuden er privatlivets fred, der følger med WireGuard (efter design!), En stor ulempe.

Dette vil sandsynligvis ikke forbedre sig, og det tvinger VPN-tjenester til at skabe en slags unik out-of-the-box-løsning for at få det til at fungere med deres politikker uden logfiler, som vi så ovenfor med AzireVPN. Denne ulempe påvirker ikke OpenVPN.

Ikke desto mindre kan WireGuard være ideel for nogle brugere, afhængigt af deres trusselmodel og specifikke behov. På det nuværende tidspunkt er det imidlertid klogt at blive hos OpenVPN eller måske IPSec til regelmæssig brug.

Hvilke VPN-tjenester understøtter WireGuard?

Her er VPN'erne, der i øjeblikket understøtter WireGuard eller har bekræftet, at de tester WireGuard med det formål at støtte protokollen, når den er klar:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. iVPN
  6. NordVPN (stadig under test)
  7. Privat internetadgang (stadig under test)

Nu vil vi se nærmere på hver af disse WireGuard VPN-tjenester nedenfor.

1. AzireVPN - WireGuard-servere live

AzireVPN er en Sverige-baseret VPN-tjeneste, der er fokuseret på privatliv og sikkerhed. Det var en af ​​de tidligste vedtagere af WireGuard og har et WireGuard-afsnit:

Vi har udviklet en API til distribution af nøgler og ser på at tilføje WireGuard til vores klient. I øjeblikket kan denne protokol bruges på Windows, Linux, macOS, Android og routere, der kører OpenWRT, men support til Windows kommer snart. Du skal blot tilmelde dig for at oprette forbindelse til alle vores WireGuard-servere, der er tilgængelige på hver af vores placeringer.

Bemærk: AzireVPN understøtter i øjeblikket Windows-brugere via den tredjeparts TunSafe VPN-klient. Der er dog ingen officiel WireGuard-support til Windows på dette tidspunkt, og udvikleren anbefaler ikke at bruge tredjepartsklienter:

En Windows-klient kommer snart. I mellemtiden rådes du kraftigt om at holde sig væk fra Windows-klienter, der ikke er frigivet fra dette websted, da de kan være farlige at bruge på trods af markedsføringsindsats.

2. VPN.ac - WireGuard-servere live

er en rumænsk VPN-tjeneste, som jeg har brugt og testet i flere år (se VPN.ac-gennemgangen).

VPN.ac annoncerede på deres blog, at efter at have testet WireGuard internt, har de besluttet at støtte protokollen. Som de forklarede på deres (blog):

Oprindeligt vil den være tilgængelig i beta. Implementeringen er en smule udfordrende på grund af WireGuards design, der ikke får den til at passe ind i vores infrastruktur ud af boksen.

Vi ønsker, at implementeringen skal være så god og enkel som muligt fra bunden og helt automatiseret. Dette kræver en hel del arbejde på bagsiden: API'er, servere, der synkroniserer nøgler og så videre. Ikke så let som at skyde op endnu en server, men absolut gennemførlig.

VPN.ac har lagt tre trin til fuldt ud at integrere WireGuard i deres service:

  • Trin 1: design og implementer back-end API'erne
  • Trin 2: front-end tilgængelighed af config generator til manuel opsætning / tredjeparts klientsoftware
  • Trin 3: implementering i vores VPN-klientapps

Hvis du vil teste WireGuard med VPN.ac, tilbyder de (se FAQ side), hvilket giver dig et uges fuldt abonnementsabonnement til $ 2.

3. TorGuard - WireGuard-servere lever

TorGuard er en amerikansk VPN-tjeneste, som jeg har fundet at tilbyde god ydelse og mange funktioner, herunder e-mail-tjenester, dedikerede IP-adresser og streaming af bundter.

TorGuard-webstedet har forskellige guider til opsætning af TorGuard på forskellige enheder.

4. Mullvad - WireGuard-servere live

bedste vpn til wireguard

Ligesom AzireVPN er Mullvad også baseret i Sverige og var en af ​​de første VPN'er, der implementerede WireGuard.

Mullvad understøtter i øjeblikket WireGuard på Linux, Mac OS, Android og nogle routere. De har også et stort netværk af aktive WireGuard-servere (49 i alt) ud over 281 OpenVPN-servere.

https://mullvad.net/

5. IVPN - WireGuard-servere live

ivpn wireguard

IVPN er en Gibraltar-baseret VPN-service, der også understøtter WireGuard. Det ser ud til, at IVPN er den første udbyder, der bygger WireGuard til deres egne VPN-klienter, som de forklarer på deres hjemmeside, hvilket er interessant, da koden stadig er under udvikling. Som IVPN's forklarer på sin hjemmeside:

WireGuard er tilgængelig på vores macOS, iOS & Android-klienter. Du kan også oprette forbindelse ved hjælp af de fleste Linux-distros. WireGuard understøttes ikke på Windows på dette tidspunkt.

IVPN har i øjeblikket 10 WireGuard-serverplaceringer.

https://www.ivpn.net/

Andre WireGuard VPN-udbydere

Der er også et par forskellige VPN-tjenester, der offentligt har erklæret deres intentioner om at tilføje WireGuard, men som endnu ikke er klar til implementering.

NordVPN

NordVPN understøtter ikke WireGuard i øjeblikket, men de tester det aktivt og forbereder sig på en udgivelse, når den er klar.

Privat internetadgang

Privat internetadgang er en stor tilhænger af WireGuard og har også doneret til årsagen. Ikke desto mindre er det ikke klar til at trække i triggeren og tilbyde WireGuard til sine brugere på grund af den aktuelle status og manglen på en revision, som de forklarede på reddit:

WireGuard er stor, men det er under aktiv udvikling. Dette betyder, at der er sikkerhedsfejl, der venter på at blive fundet, og der kan være alvorlige konsekvenser for VPN-udbydere, der er tidlige adoptører. En overtrædelse af sikkerhed eller privatliv er en risiko, vi ikke kan tage som en organisation.

Fremtiden for WireGuard VPN

Så hvad betyder fremtiden for WireGuard VPN?

Når WireGuard er fuldt ud frigivet, bliver revideret og er godkendt til regelmæssig brug, vil det sandsynligvis fortsætte med at vinde popularitet - forudsat at det er godt modtaget af VPN-brugerbasen. Med stigende popularitet og efterspørgsel kan du være sikker på, at flere VPN-tjenester vil integrere WireGuard i deres infrastruktur - selvom det kommer med nogle voksende smerter. Mens mange af de øverste VPN-tjenester i øjeblikket ikke understøtter WireGuard, kan det ændre sig over tid.

På grund af brugerinteresse ser vi allerede tidlige adoptører og forskellige VPN-udbydere bruge deres WireGuard-implementering som et marketingværktøj med ledsagende pressemeddelelser (** hoste ** bare til test **hoste**). Denne tendens vil sandsynligvis fortsætte.

WireGuard kan blive en populær protokol for mobile brugere, hvor det faktisk giver nogle fordele.

Hvis du gerne vil prøve denne nye VPN-protokol, kan du prøvekøre den med en af ​​WireGuard VPN-tjenesterne ovenfor. Sørg for at overveje implikationer for privatlivets fred og sikkerhed i betragtning af projektets aktuelle tilstand. Indtil WireGuard er fuldt udgivet og revideret, er det dog bedst at holde sig til OpenVPN eller IPSec til regelmæssig brug.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me