žična garda


WireGuard je zanimiv nov protokol VPN, ki lahko prinese velike spremembe v panogi VPN. V primerjavi z obstoječimi protokoli VPN, kot sta OpenVPN in IPSec, lahko WireGuard z novimi in izboljšanimi standardi šifriranja ponuja hitrejše hitrosti in večjo zanesljivost..

Čeprav ponuja nekaj obetavnih funkcij v smislu enostavnosti, hitrosti in kriptografije, ima WireGuard tudi nekaj pomembnih pomanjkljivosti, o katerih bomo podrobneje razpravljali spodaj.

V tem petodelnem vodiču WireGuard VPN bomo zajeli:

  1. Kaj je WireGuard
  2. Prosilci WireGuard-a
  3. Proti WireGuard (zakaj ga še ni priporočljivo)
  4. Kateri ponudniki VPN trenutno podpirajo WireGuard
  5. Prihodnost WireGuarda

Torej, pojdimo noter!

Kaj je WireGuard?

WireGuard je nov, eksperimentalni protokol VPN, katerega namen je ponuditi preprostejšo, hitrejšo in varnejšo rešitev za tuneliranje VPN od obstoječih protokolov VPN. WireGuard ima v primerjavi z OpenVPN in IPSec nekaj velikih razlik, na primer velikost kode (pod 4.000 vrsticami), hitrost in šifriranje.

Razvijalec za WireGuardom je Jason Donenfeld, ustanovitelj Edge Security. (Izraz "WireGuard" je tudi zaščitena blagovna znamka Donenfelda.) V enem intervjuju, ki sem ga gledal, je Donenfeld povedal, da je ideja za WireGuard prišla, ko živi v tujini in potrebuje VPN za Netflix..

Zakaj je toliko brenke okoli WireGuarda?

No, ponuja nekaj potencialnih prednosti v primerjavi z obstoječimi protokoli VPN, o čemer bomo razpravljali v nadaljevanju. Pozornost je celo pritegnila Linusa Torvaldsa, razvijalca Linuxa, ki je to povedal na seznamu elektronske pošte za Linux Kernel:

Ali lahko še enkrat izjavim svojo ljubezen do [WireGuarda] in upam, da se kmalu združi? Mogoče koda ni popolna, vendar sem jo preskočil in v primerjavi z grozotami, ki sta OpenVPN in IPSec, je umetniško delo.

Najprej preučimo prednosti WireGuarda.

Prosilci WireGuard-a

Tu je nekaj 'prednosti', ki jih ponuja WireGuard:

1. Posodobljeno šifriranje

Kot je razloženo v različnih intervjujih, je Jason Donenfeld želel nadgraditi, kar je po njegovem mnenju "zastarelo" protokol, z OpenVPN in IPSec. WireGuard uporablja naslednje protokole in primitiv, kot je opisano na svoji spletni strani:

  • ChaCha20 za simetrično šifriranje, overjeno z Poly1305, z uporabo AEAD konstrukcije RFC7539
  • Krivulja25519 za ECDH
  • BLAKE2 za mešanje in šivanje s ključi, opisano v RFC7693
  • SipHash24 za ključe, ki jih lahko prinesete
  • HKDF za izpeljavo ključa, kot je opisano v RFC5869

Več o moderni kriptografiji WireGuarda lahko izveste na uradnem spletnem mestu ali v tehnični beli knjigi.

2. Enostavna in minimalna baza kod

WireGuard resnično izstopa po svoji kodni bazi, ki trenutno znaša približno 3800 vrstic. To je v popolnem nasprotju z OpenVPN in OpenSSL, ki imajo skupaj okoli 600.000 vrstic. IPSec je prav tako obsežen s približno 400.000 skupnimi linijami z XFRM in StrongSwan skupaj.

Katere so prednosti manjše baze kod?

  1. Precej lažje je revidirati. OpenVPN bi potreboval veliko ekip več dni za revizijo. Ena oseba lahko v nekaj urah prebere kodno bazo WireGuarda.
  2. Lažje za pregledovanje = lažje je najti ranljivosti, kar vam pomaga, da WireGuard ostane varen
  3. Veliko manjša napadalna površina v primerjavi z OpenVPN in IPSec
  4. Boljša uspešnost

Čeprav je manjša baza kod res prednost, vendar odraža tudi nekatere omejitve, kot bomo razpravljali v nadaljevanju.

3. Izboljšave delovanja

Hitrost je lahko omejujoč dejavnik pri VPN - iz različnih razlogov. WireGuard je zasnovan tako, da nudi pomembne izboljšave na področju zmogljivosti:

Kombinacija izjemno hitrih kriptografskih primitivov in dejstvo, da WireGuard živi znotraj Linuxovega jedra, pomeni, da je varno omrežje lahko zelo hitro. Primeren je tako za majhne vgrajene naprave, kot so pametni telefoni, in polno usmerjene usmerjevalnike.

Teoretično naj bi WireGuard izboljšal zmogljivosti na način:

  • Hitrejše hitrosti
  • Boljša življenjska doba baterije s telefoni / tabličnimi računalniki
  • Boljša podpora za gostovanje (mobilne naprave)
  • Več zanesljivosti
  • Hitreje pri vzpostavljanju povezav / ponovnih povezav (hitrejši stisk roke)

WireGuard bi moral biti koristen za uporabnike mobilnih VPN. Če WireGuard spremeni, če vaša mobilna naprava spremeni omrežne vmesnike, na primer prehod iz WiFi na mobilne / mobilne podatke, bo povezava ostala toliko časa, dokler odjemalec VPN še naprej pošilja pristne podatke na strežnik VPN.

4. Enostavna uporaba med platformami

Čeprav še ni pripravljen za prime time, bi moral WireGuard zelo dobro delovati na različnih platformah. WireGuard podpira Mac OS, Android, iOS in Linux, pri čemer je podpora za Windows še v razvoju.

Druga zanimivost WireGuarda je, da uporablja javne ključe za identifikacijo in šifriranje, medtem ko OpenVPN uporablja certifikate. To sicer povzroča nekaj težav pri uporabi WireGuarda v odjemalcu VPN, na primer generiranje ključev in upravljanje.

Številke WireGuard

storitev vročnega čuvajaČeprav ima WireGuard številne vznemirljive prednosti, ima trenutno nekaj pomembnih pomanjkljivosti.

1. Še vedno je v „težkem“ razvoju, ni pripravljen in ni revidiran

Kljub dejstvu, da je WireGuard še vedno pod "težkim razvojem" in še ni pripravljen za splošno uporabo, je veliko ljudi, ki ga želijo uporabiti takoj kot svoj primarni protokol VPN. Na Redditu in različnih forumih lahko najdete veliko promocij WireGuarda - tj. Lovite najnovejši trend VPN.

Treba je opozoriti, da WireGuard ni popoln, ni opravil varnostne revizije in razvijalce izrecno opozori na zaupanje trenutni kodi:

WireGuard še ni končan. Na to kodo se ne bi smeli zanašati. Ni bil opravljen ustrezne stopnje varnostne revizije in protokol se še vedno spreminja. Prizadevamo si za stabilno različico 1.0, vendar ta čas še ni prišel.

Kljub temu pa obstaja kar nekaj VPN-jev, ki se pripravljajo ali ponujajo trenutno podporo za WireGuard. Na tem mestu pa morate uporabljati samo WireGuard samo za namene testiranja.

2. Vprašanja in dnevniki glede zasebnosti WireGuarda

Čeprav lahko WireGuard nudi prednosti v smislu zmogljivosti in varnosti, oblikovanje ni dobro za zasebnost.

Številni ponudniki VPN so izrazili zaskrbljenost glede sposobnosti WireGuarda za uporabo brez dnevnikov in kako to lahko vpliva na zasebnost uporabnikov.

AzireVPN, eden prvih VPN-jev, ki je uvedel WireGuard, je to povedal že lani:

Pri AzireVPN skrbimo za svojo politiko brez beleženja, zato vsi naši strežniki delujejo na strojni opremi brez diska in vse datoteke dnevnika so v / dev / null.

Kadar gre za WireGuard, je privzeto vedenje, da ima končna točka in dovoljen-ip viden v strežniškem vmesniku, kar v resnici ne deluje z našo politiko zasebnosti. Ne bi smeli vedeti za vaš izvorni IP in ne moremo sprejeti, da bi bil viden na naših strežnikih.

 poskušal zaobiti te težave, tako da je najel Jason Donenfeld, da "napiše rootkit modul, ki odstrani zmožnost navadnega sistemskega skrbnika, da poizveduje končne točke ali podatke o dovoljenem ip o vrstnikih WireGuard in onemogoči možnost zaganjanja tcpdump" (glej tukaj).

Popolna zasebnost trdil, da je WireGuard "Ni uporaben brez dnevnikov" v zanimivem:

WireGuard nima dinamičnega upravljanja naslovov, naslovi odjemalcev so fiksni. To pomeni, da bi morali registrirati vsako aktivno napravo svojih strank in dodeliti statične naslove IP na vsakem od naših strežnikov VPN. Poleg tega bi morali za vsako napravo shraniti zadnji časovni žig za prijavo, da bi lahko ponovno uporabili neuporabljene naslove IP. Naši uporabniki potem po nekaj tednih ne bi mogli povezati naprav, ker bi bili naslovi dodeljeni.

Še posebej pomembno je, da sploh ne ustvarjamo in ne hranimo nobenih dnevnikov povezav. Zato ne moremo hraniti zgornjih podatkov o registraciji in prijavi, ki bi bili trenutno potrebni za delovanje WireGuarda.

VPN.ac zaskrbljenost glede napak na WireGuardu glede zasebnosti uporabnikov:

Upoštevanje zasebnosti: WireGuard po načrtu ni primeren za nobene / omejene pravilnike beleženja. Konkretno, zadnji javni uporabnikov IP bi bil shranjen v resnici, s katero se je povezal, in je ni mogoče odstraniti v enem dnevu, kot je določeno v trenutni politiki zasebnosti. Kasneje bomo verjetno naredili nekaj popravkov izvorne kode za saniranje ali odstranitev zadnjega uporabljenega javnega IP-ja.

ExpressVPN je še ena storitev VPN, ki je izrazila zaskrbljenost glede oblikovanja WireGuarda zaradi posledic za zasebnost:

Eden od izzivov, s katerimi se sooča WireGuard, je zagotoviti anonimnost VPN-jev. Nobenemu uporabniku ne sme statično dodeliti enega samega naslova IP niti v javnem niti v virtualnem omrežju. Uporabnikov notranji IP naslov lahko odkrije nasprotnik (na primer prek WebRTC), ki bi ga nato lahko primerjal z zapisi, pridobljenimi od ponudnika VPN (s krajo, prodajo ali zakonitim zasegom). Dober VPN ne sme biti takšen identifikator enak enemu uporabniku. Trenutno z WireGuardom te nastavitve ni enostavno doseči.

ExpressVPN bo podpiral prizadevanja za pregled in revizijo kode WireGuard, kot smo to storili v preteklosti z OpenVPN. Kadar koli bomo lahko prispevali kode in poročali o napakah ter neposredno povezovali vprašanja varnosti in zasebnosti z razvojno ekipo.

AirVPN je tudi pojasnil posledice WireGuarda za anonimnost, kot je pojasnjeno na njihovem forumu:

Wireguard v svojem trenutnem stanju ni samo nevaren, ker nima osnovnih funkcij in je eksperimentalna programska oprema, ampak tudi nevarno oslabi plast anonimnosti. Cilj naše storitve je zagotoviti plast anonimnosti, zato ne moremo upoštevati nečesa, kar jo tako močno oslabi.

Z veseljem bomo upoštevali Wireguard, ko doseže stabilno izdajo IN ponuja vsaj najosnovnejše možnosti, ki jih OpenVPN lahko ponudi od pred 15 leti. Infrastrukturo je mogoče prilagoditi, naše poslanstvo ne more.

Na njihovih forumih so še pojasnili, zakaj WireGuard preprosto ne izpolnjuje njihovih zahtev:

  • Wireguard nima dinamičnega upravljanja naslovov IP. Odjemalcu je treba vnaprej dodeliti vnaprej določen IP-naslov VPN, ki je na vsakem strežniku VPN edinstveno povezan s ključem. Vpliv na plast anonimnosti je katastrofalen;
  • Odjemalec Wireguard ne preveri identitete strežnika (funkcija je tako bistvena, da bo zagotovo izvedena, ko Wireguard ne bo več eksperimentalne programske opreme); vpliv na varnost, ki ga povzroča ta napaka, je zelo velik;
  • Podpora za TCP manjka (potrebna je tretja oseba ali vseeno dodatna koda, da TCP uporablja protokol za tuneliranje, kot predlagate, in to je grozno nazadovanje v primerjavi z OpenVPN);
  • ni podpore za povezovanje Wireguarda s strežnikom VPN prek nekaterih proxyjev z različnimi metodami preverjanja pristnosti.

Kljub tem pomislekom mnogi VPN storitve že ponujajo popolno podporo WireGuarda. Drugi VPN-jevi projekt spremljajo in so zainteresirani za izvajanje WireGuarda, potem ko je bil temeljito revidiran in izboljšan.

Medtem pa, kot je AirVPN navedel na svojem forumu:

"Naše stranke ne bomo uporabljali kot preizkuševalci."

3. Novo in nepreverjeno

Seveda ima OpenVPN svoje težave, vendar ima tudi dolgo izkušnje in je preizkušen protokol VPN z obsežno revizijo. Medtem ko lahko Donenfeld v različnih intervjujih navaja OpenVPN kot "zastarel", lahko drugi to vidijo kot preverjeno in zaupanja vredno - lastnosti, ki jih WireGuard trenutno nima..

Prvotno izšel leta 2001, ima OpenVPN zelo dolgo zgodovino. OpenVPN koristi tudi veliko uporabniško bazo in aktivni razvoj z rednimi posodobitvami. Maja 2017 je bila podvržena veliki reviziji OSTIF - Sklada za izboljšanje tehnologije z odprtimi viri.

Na tej točki se zdi, da je WireGuard bolj nišni projekt - vendar takšen, ki ima potencial za industrijo. Je zelo nov in še ni v fazi "težkega razvoja", čeprav je bil formalno preverjen. Tudi potem, ko je WireGuard uradno objavljen, bi bilo uporabnike pametno nadaljevati previdno.

4. Omejena uporaba (za zdaj)

Kot smo opisali zgoraj, je na področju sprejemanja WireGuarda v industriji nekaj velikih ovir:

  • Težava s ključnim upravljanjem in distribucijo (namesto s potrdili).
  • WireGuard potrebuje lastno infrastrukturo, ločeno od obstoječih strežnikov OpenVPN.
  • Združljivost z obstoječimi operacijami. Za ponudnike, ki so svoje storitve in funkcije zgradili okoli OpenVPN, WireGuard morda kmalu ne bo na karticah.

Popolna zasebnost, da WireGuard ni združljiv z njihovimi obstoječimi funkcijami na strani strežnika, kot so kaskade z več skoki VPN, TrackStop in NeuroRouting. Kljub temu sem se obrnil na Perfect Privacy in potrdili so, da bodo morda pozneje podprli WireGuard kot samostojno možnost..

Podobno je AirVPN tudi navedel, da je WireGuard s svojo infrastrukturo "popolnoma neuporaben":

Trenutno je tako popolnoma neuporaben v naši infrastrukturi ker nima podpore za TCP, nima dinamične dodelitve IP-ja VPN in (vsaj sestava, ki smo jo videli) nima nujno potrebne varnostne funkcije (preverjanje certifikata CA, ki ga ponuja strežnik, zato odjemalec ne more biti prepričan, da je na druga stran neka sovražna entiteta ne lažno predstavlja strežnik VPN).

Zaključek: ni priporočljivo

Glede na trenutno stanje WireGuarda, posledice za zasebnost in dejstvo, da ni bil revidiran, WireGuard ni priporočljiv za redno uporabo.

Poleg tega so pomisleki glede zasebnosti, ki so povezani z WireGuardom (po dizajnu!) Velika pomanjkljivost.

To se verjetno ne bo izboljšalo in prisiljava storitve VPN, da ustvarijo nekakšno edinstveno rešitev, ki je v pripravljenosti, da bi lahko delovale s svojimi pravilniki brez dnevnika, kot smo videli zgoraj pri AzireVPN. Ta pomanjkljivost ne vpliva na OpenVPN.

Kljub temu je WireGuard morda idealen za nekatere uporabnike, odvisno od njihovega modela grožnje in posebnih potreb. Trenutno bi bilo pametno ostati pri OpenVPN ali morda IPSec za redno uporabo.

Katere storitve VPN podpirajo WireGuard?

Tu so VPN-ji, ki trenutno podpirajo WireGuard ali so potrdili, da testirajo WireGuard z namenom, da protokol podpirajo, ko je pripravljen:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (še vedno v testiranju)
  7. Zasebni dostop do interneta (še vedno v testiranju)

Zdaj si bomo podrobneje ogledali vsako od teh spodnjih storitev WireGuard VPN.

1. AzireVPN - strežniki WireGuard živijo

AzireVPN je švedska VPN storitev, ki je osredotočena na zasebnost in varnost. Bil je eden izmed prvih sprejemov WireGuarda in ima razdelek WireGuard:

Razvili smo API za distribucijo ključev in si prizadevamo za dodajanje WireGuarda svoji stranki. Trenutno je ta protokol mogoče uporabiti v operacijskem sistemu Windows, Linux, macOS, Android in usmerjevalniki, na katerih se izvaja OpenWRT, vendar bo podpora za Windows kmalu. Preprosto se registrirajte, da se povežete z vsemi našimi strežniki WireGuard, ki so na voljo na vseh naših lokacijah.

Opomba: AzireVPN trenutno podpira uporabnike sistema Windows prek zunanjega odjemalca TunSafe VPN. Vendar zaenkrat še ni uradne podpore WireGuard za Windows in razvijalci priporočajo, da ne uporabljajo drugih strank:

Kmalu prihaja odjemalec Windows. Medtem vam močno svetujemo, da se ne oddaljite od odjemalcev sistema Windows, ki niso objavljeni na tem spletnem mestu, saj so kljub trženjskim naporom lahko nevarni za uporabo..

2. VPN.ac - WireGuard strežniki živijo

je romunska storitev VPN, ki jo uporabljam in preizkušam že več let (glej pregled VPN.ac).

VPN.ac je na svojem blogu sporočil, da so se po internem testiranju WireGuarda odločili podpreti protokol. Kot so pojasnili na svojem (blogu):

Sprva bo na voljo v beta različici. Izvedba je nekoliko zahtevna zaradi dizajna WireGuarda, ki ne omogoča, da bi se v našo infrastrukturo povsem prilagodil.

Želimo, da je izvedba čim bolj kakovostna in enostavna ter popolnoma avtomatizirana. To zahteva kar nekaj dela na zadnji strani: API-ji, strežniki za sinhronizacijo ključev in tako naprej. Ni tako enostavno kot zažiganje drugega strežnika, a vsekakor izvedljivo.

VPN.ac je določil tri faze za popolno vključitev WireGuarda v svoje storitve:

  • Prva faza: načrtovanje in uvajanje nadomestnih API-jev
  • Faza 2: razpoložljivost konfiguracijskega generatorja za ročno nastavitev / odjemalsko programsko opremo drugega proizvajalca
  • 3. faza: implementacija v naše odjemalske aplikacije VPN

Če želite preizkusiti WireGuard s VPN.ac, vam ponujajo (glejte stran s pogostimi vprašanji), ki vam omogoča enotedensko naročnino v celotni preskusni različici za 2 USD.

3. TorGuard - LiveGuard strežniki živijo

TorGuard je storitev VPN v ZDA, za katero sem ugotovila, da ponuja dobro delovanje in številne funkcije, vključno z e-poštnimi storitvami, namenskimi naslovi IP in pretočnimi svežnji.

Spletno mesto TorGuard ima različne vodiče za nastavitev TorGuarda na različne naprave.

4. Mullvad - WireGuard strežniki živijo

najboljši vpn za žično zaščito

Tako kot AzireVPN tudi Mullvad ima sedež na Švedskem in je bil eden prvih VPN-jev, ki je uvedel WireGuard.

Trenutno Mullvad podpira WireGuard v Linuxu, Mac OS, Androidu in nekaterih usmerjevalnikih. Poleg 281 OpenVPN strežnikov imajo tudi veliko mrežo aktivnih strežnikov WireGuard (skupaj 49).

https://mullvad.net/

5. IVPN - strežniki WireGuard v živo

žičnati ščitnik ivpn

IVPN je Gibraltarjeva VPN storitev, ki podpira tudi WireGuard. Zdi se, da je IVPN prvi ponudnik, ki je namestil WireGuard v svoje lastne odjemalce VPN, kot pojasnjujejo na svoji spletni strani, kar je zanimivo, saj je koda še v razvoju. Kot pojasnjuje IVPN na svojem spletnem mestu:

WireGuard je na voljo v naših macOS, iOS & Odjemalci Android. Lahko se povežete tudi z večino Linuxovih distros. WireGuard trenutno ni podprt v sistemu Windows.

IVPN ima trenutno 10 strežnikov WireGuard.

https://www.ivpn.net/

Ostali ponudniki VPG WireGuard

Obstaja tudi nekaj različnih VPN storitev, ki so javno povedale, da nameravajo dodati WireGuard, vendar še niso pripravljene za izvajanje.

NordVPN

NordVPN trenutno ne podpira WireGuarda, vendar ga aktivno preizkušajo in pripravljajo na izdajo, ko bo pripravljen.

Zasebni dostop do interneta

Zasebni dostop do interneta je velik podpornik WireGuarda in je zanj tudi doniral. Kljub temu zaradi trenutnega stanja in pomanjkljive revizije ni pripravljen potegniti sprožilca in uporabnikom ponuditi WireGuard, kot so pojasnili na redditu:

WireGuard je odličen, vendar je v aktivnem razvoju. To pomeni, da čakajo najti varnostne napake in lahko pride do resnih posledic za ponudnike VPN, ki so predčasno sprejeti. Kršitev varnosti ali zasebnosti je tveganje, ki ga ne moremo prevzeti kot organizacija.

Prihodnost WireGuard VPN

Torej, kaj ima prihodnost za WireGuard VPN?

Ko bo WireGuard v celoti izdan, presojen in odobren za redno uporabo, bo verjetno še naprej pridobival na priljubljenosti - ob predpostavki, da ga bo uporabniška baza VPN dobro sprejela. Z naraščajočo priljubljenostjo in povpraševanjem ste lahko prepričani, da bo več storitev VPN vključilo WireGuard v svojo infrastrukturo - tudi če to povzroča nekaj večjih bolečin. Medtem ko številne vrhunske storitve VPN trenutno ne podpirajo WireGuarda, se to lahko sčasoma spremeni.

Zaradi zanimanja uporabnikov že vidimo zgodnje uporabnike in različne ponudnike VPN, ki uporabljajo njihovo izvajanje WireGuard kot tržno orodje, s spremljajočimi sporočili za javnost (** kašelj ** samo za testiranje ** kašelj **). Ta trend se bo verjetno nadaljeval.

WireGuard lahko postane priljubljen protokol za mobilne uporabnike, kjer dejansko ponuja nekaj prednosti.

Če želite preizkusiti ta novi protokol VPN, ga lahko preizkusite z eno od zgornjih storitev WireGuard VPN. Ne pozabite upoštevati posledice za zasebnost in varnost glede na trenutno stanje projekta. Dokler WireGuard ne bo v celoti izdan in revidiran, bi bilo najbolje, da se za redno uporabo držite OpenVPN ali IPSec..

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me