wireguard


WireGuard е интересен нов VPN протокол, който има потенциал да внесе значителни промени в VPN индустрията. В сравнение със съществуващите VPN протоколи, като OpenVPN и IPSec, WireGuard може да предложи по-бързи скорости и по-добра надеждност с нови и подобрени стандарти за криптиране.

Въпреки че предлага някои обещаващи функции по отношение на простотата, скоростта и криптографията, WireGuard има и някои забележителни недостатъци, които ще обсъдим по-долу.

В това пет-частно ръководство за VPN на WireGuard ще разгледаме:

  1. Какво е WireGuard
  2. Плюсове на WireGuard
  3. Противопоказания на WireGuard (защо все още не се препоръчва)
  4. Кои VPN доставчици в момента поддържат WireGuard
  5. Бъдещето на WireGuard

Така че нека се потопим вътре!

Какво е WireGuard?

WireGuard е нов, експериментален VPN протокол, който има за цел да предложи по-просто, по-бързо и по-сигурно решение за VPN тунелиране от съществуващите VPN протоколи. WireGuard има някои основни разлики в сравнение с OpenVPN и IPSec, като размер на кода (под 4000 реда!), Скорост и стандарти за криптиране.

Разработчикът зад WireGuard е Джейсън Доненфелд, основателят на Edge Security. (Терминът „WireGuard“ е също регистрирана търговска марка на Donenfeld.) В едно интервю, което гледах, Donenfeld каза, че идеята за WireGuard е дошла, когато той живее в чужбина и се нуждае от VPN за Netflix.

Защо има толкова много бръмча около WireGuard?

Е, той предлага някои потенциални предимства пред съществуващите VPN протоколи, както ще разгледаме по-долу. Той дори привлече вниманието на Линус Торвалдс, разработчикът зад Linux, който трябваше да каже това в списъка за изпращане на ядрото на Linux:

Мога ли само за пореден път да заявя любовта си към [WireGuard] и се надявам скоро да се слее? Може би кодът не е перфектен, но аз го прегледах и в сравнение с ужасите, които са OpenVPN и IPSec, това е произведение на изкуството.

Нека първо разгледаме предимствата на WireGuard.

Плюсове на WireGuard

Ето някои от „плюсовете“, които WireGuard предлага:

1. Актуализирано криптиране

Както беше обяснено в различни интервюта, Джейсън Доненфелд искаше да надгради това, което смята за „остарели“ протоколи с OpenVPN и IPSec. WireGuard използва следните протоколи и примитиви, както е описано на уебсайта му:

  • ChaCha20 за симетрично криптиране, удостоверено с Poly1305, използвайки конструкцията AEAD на RFC7539
  • Крива25519 за ECDH
  • BLAKE2 за хеширане и хеширане с ключ, описани в RFC7693
  • SipHash24 за клавиши за бърз достъп
  • HKDF за ключово извличане, както е описано в RFC5869

Можете да научите повече за модерната криптография на WireGuard на официалния уебсайт или в техническата бяла книга.

2. Проста и минимална база от кодове

WireGuard наистина се откроява по отношение на своята кодова база, която в момента е около 3800 реда. Това е в пълен контраст с OpenVPN и OpenSSL, които в комбинация имат около 600 000 линии. IPSec също е обемист на около 400 000 общо линии с XFRM и StrongSwan заедно.

Какви са предимствата на по-малката кодова база?

  1. Много по-лесно е да се извърши одит. OpenVPN ще отнеме голям екип много дни, за да извърши одит. Един човек може да прочете кодовата база на WireGuard за няколко часа.
  2. По-лесен за одит = по-лесно намиране на уязвимости, което помага да се защити WireGuard
  3. Много по-малка повърхност за атака в сравнение с OpenVPN и IPSec
  4. По-добро представяне

Въпреки че по-малката кодова база наистина е предимство, тя отразява и някои ограничения, както ще разгледаме по-долу.

3. Подобрения в производителността

Скоростите могат да бъдат ограничаващ фактор при VPN мрежи - по много различни причини. WireGuard е проектиран да предложи значителни подобрения в областта на производителността:

Комбинация от изключително бързи криптографски примитиви и фактът, че WireGuard живее вътре в ядрото на Linux означава, че сигурната мрежа може да бъде много висока скорост. Подходящ е както за малки вградени устройства като смартфони, така и за напълно заредени гръбни рутери.

Теоретично, WireGuard трябва да предлага подобрена производителност по отношение на:

  • По-бързи скорости
  • По-добър живот на батерията с телефони / таблети
  • По-добра поддръжка за роуминг (мобилни устройства)
  • Повече надеждност
  • По-бързо при установяване на връзки / връзки (по-бързо ръкостискане)

WireGuard трябва да бъде от полза за потребителите на мобилни VPN. С WireGuard, ако вашето мобилно устройство промени мрежови интерфейси, като например превключване от WiFi към мобилни / клетъчни данни, връзката ще остане, докато VPN клиентът продължава да изпраща удостоверени данни на VPN сървъра.

4. Крос-платформа лекота на използване

Въпреки че все още не е готов за първи път, WireGuard трябва да работи много добре в различни платформи. WireGuard поддържа Mac OS, Android, iOS и Linux, като поддръжката на Windows все още е в разработка.

Друга интересна функция на WireGuard е, че той използва публични ключове за идентификация и криптиране, докато OpenVPN използва сертификати. Това създава някои проблеми за използването на WireGuard в VPN клиент, като например генериране на ключове и управление.

Противопоказания

vpn услуга на телената охранаВъпреки че WireGuard предлага много вълнуващи предимства, в момента той има някои забележителни недостатъци.

1. Все още в „тежко“ развитие, не е готов, не е одитиран

Въпреки факта, че WireGuard остава под „тежко развитие“ и все още не е готов за обща употреба, има много хора, които искат да го използват веднага като основен VPN протокол. Можете да намерите много промоция на WireGuard в reddit и различни форуми - т.е. да преследвате най-новата тенденция за VPN.

Трябва да се отбележи, че WireGuard не е завършен, не е преминал одит за сигурност и разработчиците изрично предупреждават да се доверят на текущия код:

WireGuard все още не е завършен. Не трябва да разчитате на този код. Той не е преминал правилни степени на одит на сигурността и протоколът все още подлежи на промяна. Работим за стабилна версия 1.0, но това време все още не е дошло.

Независимо от това, има няколко VPN мрежи, които се подготвят или предлагат поддръжка на WireGuard в момента. На този етап обаче трябва да използвате само WireGuard само за тестване.

2. Загриженост за поверителност и регистрационни файлове на WireGuard

Въпреки че WireGuard може да предложи предимства по отношение на производителността и сигурността, дизайнът не е добър за поверителност.

Редица доставчици на VPN изразиха опасения относно способността на WireGuard да се използва без регистрационни файлове и как това може да повлияе на поверителността на потребителите.

AzireVPN, един от първите VPN, които въведоха WireGuard, каза това през миналата година:

В AzireVPN ние се грижим за нашата политика за без регистрация, затова всички наши сървъри работят на хардуер без диск и всички файлове на журнала са тръбани към / dev / null.

Но що се отнася до WireGuard, поведението по подразбиране е да има крайна точка и разрешен-ip видими в сървърния интерфейс, което всъщност не работи с нашата политика за поверителност. Не трябва да знаем за вашия източник на IP и не можем да приемем да го вижда на нашите сървъри.

 се опита да заобиколи тези проблеми, като нае Джейсън Доненфелд да „напише подобен на rootkit модул, който премахва способността на обикновен системен администратор да запитва крайната точка или разрешава-ip информация за връстниците на WireGuard и да деактивира възможността да стартира tcpdump“ (вижте тук).

Перфектна поверителност твърдеше, че WireGuard е „Не може да се използва без регистрационни файлове“ в интересно:

WireGuard няма динамично управление на адресите, клиентските адреси са фиксирани. Това означава, че ще трябва да регистрираме всяко активно устройство на нашите клиенти и да присвояваме статичните IP адреси на всеки от нашите VPN сървъри. Освен това ще трябва да съхраняваме последната отметка за влизане за всяко устройство, за да възстановим неизползваните IP адреси. След това нашите потребители няма да могат да свържат вашите устройства след няколко седмици, защото адресите биха били преназначени.

За нас е особено важно, че изобщо не създаваме или съхраняваме никакви дневници за връзка. Следователно, не можем да съхраним горните данни за регистрация и вход, които в момента биха били необходими за функционирането на WireGuard.

VPN.ac повдигна подобни опасения относно недостатъците на WireGuard по отношение на поверителността на потребителите:

Съображения за поверителност: по дизайн WireGuard не е подходящ за никакви / ограничени политики за регистрация. По-конкретно, последният публичен IP адрес на потребителя ще бъде запазен в сериала, използван за свързване, и той не може да бъде премахнат в рамките на един ден според настоящата ни политика за поверителност. На по-късна дата вероятно ще направим някои промени в изходния код, за да дезинфекцираме или премахнем последния използван публичен IP адрес.

ExpressVPN е друга VPN услуга, която изрази загриженост относно дизайна на WireGuard за последствията от него за поверителност:

Едно от предизвикателствата, пред които е изправен WireGuard, е осигуряването на анонимност за VPN. На нито един потребител не трябва да се разпределя статично един IP адрес, нито в обществена, нито във виртуална мрежа. Вътрешен IP адрес на потребителя може да бъде открит от противник (например чрез WebRTC, например), който след това може да може да го съпостави с записи, придобити от VPN доставчик (чрез кражба, продажба или законно изземване). Добрият VPN не трябва да може да сравни такъв идентификатор с един потребител. В момента тази настройка не се постига лесно с WireGuard.

ExpressVPN ще подкрепя усилията за преглед и одит на кода WireGuard, както правехме в миналото с OpenVPN. Ще допринасяме с код и ще съобщаваме за грешки винаги, когато можем, и ще повдигаме въпросите за сигурността и поверителността директно с екипа за разработка.

AirVPN обясни във връзка с последиците от WireGuard за анонимност, както е обяснено във техния форум:

Wireguard, в сегашното си състояние, е не само опасен, тъй като му липсват основни функции и е експериментален софтуер, но и отслабва опасно анонимността. Услугата ни има за цел да осигури някакъв слой на анонимност, затова не можем да вземем под внимание нещо, което го отслабва толкова дълбоко.

С удоволствие ще вземем под внимание Wireguard, когато достигне стабилна версия И предлага поне най-основните опции, които OpenVPN може да предложи от преди 15 години. Инфраструктурата може да бъде адаптирана, нашата мисия не може.

В техните форуми допълнително обясниха защо WireGuard просто не отговаря на техните изисквания:

  • На проводника няма динамично управление на IP адреси. Клиентът трябва да му бъде предварително зададен предварително определен VPN IP адрес, уникално свързан с неговия ключ на всеки VPN сървър. Въздействието върху слоя за анонимност е катастрофално;
  • Клиентът на Wireguard не проверява самоличността на сървъра (функция, която е толкова важна, че със сигурност ще бъде внедрена, когато Wireguard вече няма да бъде експериментален софтуер); въздействието върху сигурността, причинено от този недостатък, е много голямо;
  • Липсва поддръжка на TCP (необходима е трета страна или така или иначе допълнителен код, за да се използва TCP като протокол за тунелиране, както предполагате, и това е ужасяваща регресия в сравнение с OpenVPN);
  • няма поддръжка за свързване на Wireguard към VPN сървър през някои прокси с различни методи за удостоверяване.

Въпреки тези опасения, много VPN услуги вече въвеждат пълна поддръжка на WireGuard. Други VPN наблюдават проекта и се интересуват от прилагането на WireGuard, след като той е бил щателно одитиран и подобрен.

Междувременно обаче, както AirVPN заяви във форума си:

„Няма да използваме нашите клиенти като тестери.“

3. Нови и непроверени

Разбира се, OpenVPN има своите проблеми, но също така има дълъг опит и е доказан VPN протокол с обширен одит. Докато Доненфелд може да посочи OpenVPN като „остарял“ в различни интервюта, други могат да го разглеждат като доказани и надеждни - качества, които понастоящем липсват WireGuard.

Първоначално пуснат през 2001 г., OpenVPN има много дълга история. OpenVPN също се възползва от голяма потребителска база и активно развитие с редовни актуализации. През май 2017 г. тя премина през основен одит от OSTIF, Фонда за подобряване на технологиите с отворен код.

На този етап WireGuard изглежда по-скоро нишов проект - но такъв с потенциал за индустрията. Той е много нов и все още не е в фазата на „тежкото развитие“, въпреки че е преминал официална проверка. Дори след официалното пускане на WireGuard, потребителите би било разумно да продължат с повишено внимание.

4. Ограничено осиновяване (засега)

Както разгледахме по-горе, има някои големи препятствия в начина на приемане на WireGuard в цялата индустрия:

  • Проблемът с управлението и разпространението на ключове (вместо използването на сертификати).
  • WireGuard се нуждае от собствена инфраструктура, отделна от съществуващите OpenVPN сървъри.
  • Съвместимост със съществуващите операции. За доставчици, които са изградили своята услуга и функции около OpenVPN, WireGuard може да не бъде в картата скоро.

Перфектна поверителност, че WireGuard не е съвместима със съществуващите им функции от страна на сървъра, като мулти-хоп VPN каскади, TrackStop и NeuroRouting. Въпреки това се обърнах към Perfect Privacy и те потвърдиха, че могат да поддържат WireGuard като самостоятелна опция на по-късна дата.

По подобен начин AirVPN също заяви, че WireGuard е „напълно неизползваем“ с тяхната инфраструктура:

В момента е така напълно неизползваем в нашата инфраструктура тъй като му липсва TCP поддръжка, липсва динамично VPN IP присвояване и (поне изграждането, което видяхме) липсва строго необходима функция за защита (проверка на сертификата за CA, предоставен от сървъра, следователно клиентът не може да бъде сигурен, че в от друга страна, някакво враждебно образувание не се представя за VPN сървър).

Заключение: не се препоръчва

Имайки предвид текущото състояние на WireGuard, последиците за поверителността и факта, че той не е одитиран, WireGuard не се препоръчва за редовна употреба.

Освен това опасенията за поверителност, които са присъщи на WireGuard (по дизайн!), Са основен недостатък.

Това вероятно няма да се подобри и това принуждава VPN услугите да създадат някакво уникално решение за изчерпване на кутията, за да може да работи с техните политики без регистрация, както видяхме по-горе при AzireVPN. Този недостатък не засяга OpenVPN.

Независимо от това, WireGuard може да е идеален за някои потребители, в зависимост от техния модел на заплаха и специфични нужди. Понастоящем обаче би било разумно да останете с OpenVPN или може би IPSec за редовна употреба.

Кои VPN услуги поддържат WireGuard?

Ето VPN, които в момента поддържат WireGuard или са потвърдили, че тестват WireGuard с намерението да поддържат протокола, когато е готов:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (все още тества)
  7. Частен достъп до Интернет (все още се тества)

Сега ще разгледаме по-подробно всяка от тези WireGuard VPN услуги по-долу.

1. AzireVPN - сървърите на WireGuard на живо

AzireVPN е базирана в Швеция VPN услуга, която е фокусирана върху поверителността и сигурността. Той беше един от най-ранните осиновители на WireGuard и има секция WireGuard:

Ние сме разработили API за разпределение на ключовете и се стремим да добавим WireGuard към нашия клиент. В момента този протокол може да се използва в Windows, Linux, macOS, Android и рутери, работещи с OpenWRT, но скоро поддръжката за Windows. Просто се регистрирайте, за да се свържете с всички наши сървъри на WireGuard, налични във всяко от нашите места.

Забележка: AzireVPN понастоящем поддържа потребители на Windows чрез външен клиент TunSafe VPN на трети страни. Понастоящем обаче няма официална поддръжка на WireGuard за Windows и разработчикът препоръчва да не използвате клиенти на трети страни:

Клиентът на Windows идва скоро. Междувременно силно препоръчваме да се държите далеч от клиентите на Windows, които не са пуснати от този сайт, тъй като те могат да бъдат опасни за използване, въпреки маркетинговите усилия.

2. VPN.ac - WireGuard сървърите живеят

е румънска VPN услуга, която използвам и тествам от няколко години (вижте прегледа VPN.ac).

VPN.ac обяви в своя блог, че след като са тествали WireGuard вътрешно, те са решили да подкрепят протокола. Както обясниха в своя (блог):

Първоначално той ще бъде наличен в бета версия. Изпълнението е малко предизвикателно поради дизайна на WireGuard, който не го прави да се вписва извън нашата инфраструктура.

Искаме внедряването да бъде възможно най-добро и просто от нулата и изцяло автоматизирано. Това изисква доста работа от задния край: API, сървъри за синхронизиране на ключове и т.н. Не е толкова лесно, колкото пускането на още един сървър, но определено изпълним.

VPN.ac е определил три етапа за пълно интегриране на WireGuard в тяхната услуга:

  • Етап 1: проектиране и внедряване на бек-ин API
  • Етап 2: наличие на предния край на конфигуратор за ръчна настройка / клиентски софтуер на трети страни
  • Етап 3: внедряване в нашите VPN клиентски приложения

Ако искате да тествате WireGuard с VPN.ac, те предлагат (вижте страницата с често задавани въпроси), която ви дава едноседмичен пълен пробен абонамент за $ 2.

3. TorGuard - WireGuard сървърите живеят

TorGuard е американска VPN услуга, за която открих, че предлага добри резултати и много функции, включително имейл услуги, специализирани IP адреси и поточни пакети.

Уебсайтът TorGuard има различни ръководства за настройка на TorGuard на различни устройства.

4. Mullvad - WireGuard сървърите живеят

най-добрият vpn за телена охрана

Подобно на AzireVPN, Mullvad също е базиран в Швеция и беше един от първите VPN, които въведоха WireGuard.

Понастоящем Mullvad поддържа WireGuard на Linux, Mac OS, Android и някои рутери. Те имат и голяма мрежа от активни сървъри WireGuard (общо 49) в допълнение към 281 сървъра OpenVPN.

https://mullvad.net/

5. IVPN - WireGuard сървърите живеят

ivpn телена охрана

IVPN е базирана на Гибралтар VPN услуга, която също поддържа WireGuard. Изглежда IVPN е първият доставчик, който изгражда WireGuard в своите собствени VPN клиенти, както обясняват на своя уебсайт, което е интересно, тъй като кодът все още е в процес на разработка. Както обяснява IVPN на своя уебсайт:

WireGuard се предлага на нашите macOS, iOS & Клиенти за Android. Можете също да се свържете, като използвате повечето Linux дистрибуции. Понастоящем WireGuard не се поддържа в Windows.

В момента IVPN има 10 локации на сървъра на WireGuard.

https://www.ivpn.net/

Други WireGuard VPN доставчици

Има и няколко различни VPN услуги, които публично са заявили намеренията си да добавят WireGuard, но все още не са готови за внедряване.

NordVPN

Понастоящем NordVPN не поддържа WireGuard, но активно го тестват и се подготвят за издаване, когато е готово.

Частен достъп до Интернет

Частният интернет достъп е голям привърженик на WireGuard и също е дарил за каузата. Независимо от това, той не е готов да натисне спусъка и да предложи WireGuard на своите потребители поради текущото състояние и липсата на одит, както обясниха на reddit:

WireGuard е страхотен, но е в процес на активно развитие. Това означава, че има грешки в сигурността, които чакат да бъдат намерени и може да има сериозни последици за доставчиците на VPN, които са рано приети. Нарушаването на сигурността или поверителността е риск, който не можем да поемем като организация.

Бъдещето на WireGuard VPN

И така, какво има бъдещето за WireGuard VPN?

След като WireGuard бъде напълно освободен, получи одит и бъде разрешен за редовна употреба, той вероятно ще продължи да придобива популярност - ако приемем, че е добре приет от VPN потребителската база. С увеличаването на популярността и търсенето можете да сте сигурни, че повече VPN услуги ще включват WireGuard в своята инфраструктура - дори ако това идва с някои нарастващи болки. Въпреки че много от най-добрите VPN услуги понастоящем не поддържа WireGuard, това може да се промени с течение на времето.

Поради интереса на потребителите, ние вече виждаме ранни осиновители и различни доставчици на VPN, използващи тяхното внедряване на WireGuard като маркетингово средство, с придружаващи прессъобщения (** кашлица ** само за тестване ** кашлица **). Тази тенденция вероятно ще продължи.

WireGuard може да се превърне в популярен протокол за мобилни потребители, където наистина предлага някои предимства.

Ако искате да изпробвате този нов VPN протокол, можете да го тествате с някоя от VPG услугите на WireGuard по-горе. Не забравяйте да вземете предвид последици за поверителността и сигурността предвид текущото състояние на проекта. Докато WireGuard бъде напълно освободен и одитиран, обаче, най-добре е да се придържате към OpenVPN или IPSec за редовна употреба.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me