protector de cable


WireGuard es un nuevo e interesante protocolo VPN que tiene el potencial de traer cambios importantes a la industria VPN. En comparación con los protocolos VPN existentes, como OpenVPN e IPSec, WireGuard puede ofrecer velocidades más rápidas y una mayor confiabilidad con estándares de cifrado nuevos y mejorados.

Si bien ofrece algunas características prometedoras en términos de simplicidad, velocidad y criptografía, WireGuard también tiene algunos inconvenientes notables, que discutiremos más adelante..

En esta guía de cinco partes de WireGuard VPN cubriremos:

  1. ¿Qué es WireGuard?
  2. WireGuard Pros
  3. Contras WireGuard (por qué aún no se recomienda)
  4. Qué proveedores de VPN admiten actualmente WireGuard
  5. El futuro de WireGuard

Así que vamos a sumergirnos!

¿Qué es WireGuard??

WireGuard es un nuevo protocolo VPN experimental que tiene como objetivo ofrecer una solución más simple, más rápida y más segura para el túnel VPN que los protocolos VPN existentes. WireGuard tiene algunas diferencias importantes en comparación con OpenVPN e IPSec, como el tamaño del código (¡menos de 4.000 líneas!), La velocidad y los estándares de cifrado.

El desarrollador detrás de WireGuard es Jason Donenfeld, el fundador de Edge Security. (El término "WireGuard" también es una marca registrada de Donenfeld). En una entrevista que vi, Donenfeld dijo que la idea de WireGuard surgió cuando vivía en el extranjero y necesitaba una VPN para Netflix.

¿Por qué hay tanto ruido alrededor de WireGuard??

Bueno, ofrece algunas ventajas potenciales sobre los protocolos VPN existentes, como veremos más adelante. Incluso ha llamado la atención de Linus Torvalds, el desarrollador detrás de Linux, quien dijo esto en la lista de correo del kernel de Linux:

¿Puedo expresar una vez más mi amor por [WireGuard] y esperar que se fusione pronto? Tal vez el código no sea perfecto, pero lo he leído, y comparado con los horrores de OpenVPN e IPSec, es una obra de arte..

Primero examinemos las ventajas de WireGuard.

WireGuard Pros

Estos son algunos de los "profesionales" que ofrece WireGuard:

1. Cifrado actualizado

Como se explicó en varias entrevistas, Jason Donenfeld quería actualizar lo que consideraba protocolos "obsoletos" con OpenVPN e IPSec. WireGuard utiliza los siguientes protocolos y primitivas, como se describe en su sitio web:

  • ChaCha20 para cifrado simétrico, autenticado con Poly1305, utilizando la construcción AEAD de RFC7539
  • Curve25519 para ECDH
  • BLAKE2s para hashing y hash con clave, descrito en RFC7693
  • SipHash24 para claves de tabla hash
  • HKDF para derivación de clave, como se describe en RFC5869

Puede obtener más información sobre la criptografía moderna de WireGuard en el sitio web oficial o en el documento técnico..

2. Base de código simple y mínima

WireGuard realmente se destaca en términos de su base de código, que actualmente es de unas 3.800 líneas. Esto está en marcado contraste con OpenVPN y OpenSSL, que combinados tienen alrededor de 600,000 líneas. IPSec también es voluminoso en alrededor de 400,000 líneas totales con XFRM y StrongSwan juntos.

¿Cuáles son las ventajas de una base de código más pequeña??

  1. Es mucho más fácil auditar. OpenVPN llevaría un gran equipo muchos días para auditar. Una persona puede leer la base de código de WireGuard en unas pocas horas..
  2. Más fácil de auditar = más fácil de encontrar vulnerabilidades, lo que ayuda a mantener seguro a WireGuard
  3. Superficie de ataque mucho más pequeña en comparación con OpenVPN e IPSec
  4. Mejor interpretación

Si bien la base de código más pequeña es una ventaja, también refleja algunas limitaciones, como veremos más adelante..

3. Mejoras de rendimiento

Las velocidades pueden ser un factor limitante con las VPN, por muchas razones diferentes. WireGuard está diseñado para ofrecer mejoras significativas en el área de rendimiento:

Una combinación de primitivas criptográficas de extremadamente alta velocidad y el hecho de que WireGuard vive dentro del kernel de Linux significa que la red segura puede ser de muy alta velocidad. Es adecuado tanto para pequeños dispositivos integrados como teléfonos inteligentes y enrutadores troncales completamente cargados.

Teóricamente, WireGuard debería ofrecer un rendimiento mejorado en la forma de:

  • Velocidades más rápidas
  • Mejor duración de la batería con teléfonos / tabletas
  • Mejor soporte de roaming (dispositivos móviles)
  • Más fiabilidad
  • Más rápido al establecer conexiones / reconexiones (apretón de manos más rápido)

WireGuard debería ser beneficioso para los usuarios de VPN móviles. Con WireGuard, si su dispositivo móvil cambia las interfaces de red, como cambiar de WiFi a datos móviles / celulares, la conexión permanecerá mientras el cliente VPN continúe enviando datos autenticados al servidor VPN..

4. Facilidad de uso multiplataforma

Aunque todavía no está listo para el horario estelar, WireGuard debería funcionar muy bien en diferentes plataformas. WireGuard es compatible con Mac OS, Android, iOS y Linux, con soporte de Windows aún en desarrollo.

Otra característica interesante de WireGuard es que utiliza claves públicas para identificación y cifrado, mientras que OpenVPN usa certificados. Sin embargo, esto crea algunos problemas para utilizar WireGuard en un cliente VPN, como la generación y administración de claves.

Contras WireGuard

servicio vpn wireguardSi bien WireGuard ofrece muchas ventajas interesantes, actualmente tiene algunos inconvenientes notables.

1. Aún en desarrollo "pesado", no listo, no auditado

A pesar del hecho de que WireGuard permanece bajo "desarrollo pesado" y aún no está listo para uso general, hay muchas personas que buscan usarlo de inmediato como su protocolo VPN principal. Puede encontrar muchas promociones de WireGuard en reddit y en varios foros, es decir, persiguiendo la última tendencia de VPN.

Debe señalarse que WireGuard no está completo, no ha pasado una auditoría de seguridad y los desarrolladores advierten explícitamente sobre confiar en el código actual:

WireGuard aún no está completo. No debes confiar en este código. No se ha sometido a los niveles adecuados de auditoría de seguridad y el protocolo aún está sujeto a cambios. Estamos trabajando para lograr una versión 1.0 estable, pero ese momento aún no ha llegado.

Sin embargo, hay un puñado de VPN que se están preparando u ofreciendo soporte WireGuard en este momento. En este punto, sin embargo, solo debe usar WireGuard solo con fines de prueba.

2. Problemas y registros de privacidad de WireGuard

Si bien WireGuard puede ofrecer ventajas en términos de rendimiento y seguridad, por diseño no es bueno para la privacidad.

Varios proveedores de VPN han expresado su preocupación por la capacidad de WireGuard de ser utilizada sin registros, y cómo esto puede afectar la privacidad del usuario.

AzireVPN, Una de las primeras VPN en implementar WireGuard, dijo esto el año pasado:

En AzireVPN, nos importa nuestra política de no registro, es por eso que todos nuestros servidores se ejecutan en hardware sin disco y todos los archivos de registro se canalizan a / dev / null.

Pero cuando se trata de WireGuard, el comportamiento predeterminado es tener el punto final y permitido-ip visible en la interfaz del servidor, lo que realmente no funciona con nuestra política de privacidad. No debemos saber acerca de su IP de origen y no podemos aceptar que sea visible en nuestros servidores.

 intentó solucionar estos problemas contratando a Jason Donenfeld para "escribir un módulo similar al rootkit que elimine la capacidad de un administrador de sistema ordinario de consultar información de punto final o IP permitida sobre pares de WireGuard y deshabilite la capacidad de ejecutar tcpdump" (ver aquí).

Privacidad perfecta argumentó que WireGuard es "No utilizable sin registros" en un interesante:

WireGuard no tiene administración de direcciones dinámicas, las direcciones de los clientes son fijas. Eso significa que tendríamos que registrar todos los dispositivos activos de nuestros clientes y asignar las direcciones IP estáticas en cada uno de nuestros servidores VPN. Además, tendríamos que almacenar la última marca de tiempo de inicio de sesión para cada dispositivo para reclamar las direcciones IP no utilizadas. Nuestros usuarios no podrán conectar sus dispositivos después de unas semanas porque las direcciones se habrían reasignado.

Es particularmente importante para nosotros que no creemos ni almacenemos ningún registro de conexión. Por lo tanto, no podemos almacenar los datos de registro e inicio de sesión anteriores que actualmente serían necesarios para que WireGuard funcione.

VPN.ac planteó preocupaciones similares sobre las fallas de WireGuard con respecto a la privacidad del usuario:

Consideraciones de privacidad: por diseño, WireGuard no es adecuado para ninguna / políticas de registro limitadas. Específicamente, la última IP pública del usuario se guardaría en el servidor utilizado para conectarse y no se puede eliminar dentro de un día según nuestra política de privacidad actual. En una fecha posterior, probablemente haremos algunos ajustes al código fuente para desinfectar o eliminar la última IP pública utilizada.

ExpressVPN es otro servicio de VPN que expresó preocupación por el diseño de WireGuard y sus implicaciones para la privacidad:

Uno de los desafíos que enfrenta WireGuard es garantizar el anonimato para las VPN. Ningún usuario individual debe tener asignada estáticamente una única dirección IP, ni en una red pública ni en una red virtual. La dirección IP interna de un usuario podría ser descubierta por un adversario (a través de WebRTC, por ejemplo), que luego podría compararla con los registros adquiridos de un proveedor de VPN (por robo, venta o embargo legal). Una buena VPN debe ser incapaz de hacer coincidir dicho identificador con un solo usuario. Actualmente, esta configuración no se logra fácilmente con WireGuard.

ExpressVPN respaldará los esfuerzos para revisar y auditar el código WireGuard, como lo hemos hecho en el pasado con OpenVPN. Contribuiremos con el código y reportaremos errores siempre que podamos y plantearemos problemas de seguridad y privacidad directamente con el equipo de desarrollo.

AirVPN también intervino sobre las implicaciones de WireGuard para el anonimato, como se explica en su foro:

Wireguard, en su estado actual, no solo es peligroso porque carece de características básicas y es un software experimental, sino que también debilita peligrosamente la capa de anonimato. Nuestro servicio tiene como objetivo proporcionar una capa de anonimato, por lo tanto, no podemos tener en cuenta algo que lo debilita tan profundamente.

Con mucho gusto tendremos en cuenta a Wireguard cuando alcance una versión estable Y ofrezca al menos las opciones más básicas que OpenVPN ha podido ofrecer desde hace 15 años. La infraestructura se puede adaptar, nuestra misión no se puede.

En sus foros, explicaron por qué WireGuard simplemente no cumple con sus requisitos:

  • Wireguard carece de una gestión dinámica de la dirección IP. El cliente debe tener asignada de antemano una dirección IP VPN predefinida vinculada de forma exclusiva a su clave en cada servidor VPN. El impacto en la capa de anonimato es catastrófico;
  • El cliente Wireguard no verifica la identidad del servidor (una característica tan esencial que seguramente se implementará cuando Wireguard ya no sea un software experimental); el impacto en la seguridad causado por este defecto es muy alto;
  • Falta el soporte de TCP (como se sugiere, se requiere un código de terceros o de todos modos adicional para usar TCP como protocolo de túnel, y esa es una regresión horrible en comparación con OpenVPN);
  • no hay soporte para conectar Wireguard a un servidor VPN a través de algún proxy con una variedad de métodos de autenticación.

A pesar de estas preocupaciones, muchos servicios de VPN ya están implementando el soporte completo de WireGuard. Otras VPN están observando el proyecto y están interesadas en implementar WireGuard después de que se haya auditado y mejorado exhaustivamente..

Mientras tanto, sin embargo, como AirVPN declaró en su foro:

"No utilizaremos a nuestros clientes como probadores".

3. Nuevo y no probado

Claro, OpenVPN tiene sus problemas, pero también tiene un largo historial y es un protocolo VPN comprobado con una extensa auditoría. Si bien Donenfeld puede referirse a OpenVPN como "desactualizado" en varias entrevistas, otros pueden verlo como comprobado y confiable, cualidades que a WireGuard le faltan actualmente..

Inicialmente lanzado en 2001, OpenVPN tiene una historia muy larga. OpenVPN también se beneficia de una gran base de usuarios y un desarrollo activo con actualizaciones periódicas. En mayo de 2017 se sometió a una importante auditoría por parte de OSTIF, el Fondo de Mejora de Tecnología de Código Abierto.

En este punto, WireGuard parece ser más un proyecto de nicho, pero uno con potencial para la industria. Es muy nuevo y aún no está fuera de la fase de "desarrollo pesado", aunque se ha sometido a una verificación formal. Sin embargo, incluso después de que WireGuard sea lanzado oficialmente, los usuarios deberían proceder con precaución..

4. Adopción limitada (por ahora)

Como cubrimos anteriormente, hay algunos grandes obstáculos en el camino de la adopción de WireGuard en toda la industria:

  • El problema con la administración y distribución de claves (en lugar de usar certificados).
  • WireGuard necesita su propia infraestructura, separada de los servidores OpenVPN existentes.
  • Compatibilidad con operaciones existentes. Para los proveedores que han desarrollado su servicio y características en torno a OpenVPN, WireGuard puede no estar en las tarjetas en el corto plazo.

Privacidad perfecta que WireGuard no es compatible con sus funciones existentes del lado del servidor, como cascadas VPN de salto múltiple, TrackStop y NeuroRouting. No obstante, contacté a Perfect Privacy y me confirmaron que podrían admitir WireGuard como una opción independiente en una fecha posterior..

Del mismo modo, AirVPN también declaró que WireGuard es "totalmente inutilizable" con su infraestructura:

Por el momento es totalmente inutilizable en nuestra infraestructura porque carece de soporte TCP, carece de asignación dinámica de IP VPN y (al menos la compilación que hemos visto) carece de una característica de seguridad estrictamente necesaria (verificación del certificado de CA proporcionado por el servidor, por lo tanto, el cliente no puede estar seguro de que en el Por otro lado, alguna entidad hostil no se hace pasar por un servidor VPN).

Conclusión: no recomendado

Teniendo en cuenta el estado actual de WireGuard, las implicaciones de privacidad y el hecho de que no ha sido auditado, no se recomienda el uso regular de WireGuard.

Además, las preocupaciones de privacidad que son inherentes a WireGuard (¡por diseño!) Son un gran inconveniente.

No es probable que esto mejore y obliga a los servicios de VPN a crear algún tipo de solución única y lista para usar para que funcione con sus políticas de no registros, como vimos anteriormente con AzireVPN. Este inconveniente no afecta a OpenVPN.

No obstante, WireGuard puede ser ideal para algunos usuarios, según su modelo de amenaza y sus necesidades específicas. En la actualidad, sin embargo, sería aconsejable quedarse con OpenVPN o tal vez IPSec para un uso regular.

Qué servicios VPN son compatibles con WireGuard?

Estas son las VPN que actualmente admiten WireGuard o han confirmado que están probando WireGuard con la intención de admitir el protocolo cuando esté listo:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (todavía en prueba)
  7. Acceso privado a Internet (todavía en prueba)

Ahora veremos más de cerca cada uno de estos servicios de WireGuard VPN a continuación..

1. AzireVPN - Servidores WireGuard en vivo

AzireVPN es un servicio VPN con sede en Suecia que se centra en la privacidad y la seguridad. Fue uno de los primeros en adoptar WireGuard y tiene una sección de WireGuard:

Hemos desarrollado una API para la distribución de claves y estamos buscando agregar WireGuard a nuestro cliente. Por el momento, este protocolo se puede usar en Windows, Linux, macOS, Android y enrutadores que ejecutan OpenWRT, pero pronto se admitirá Windows. Simplemente regístrese para conectarse a todos nuestros servidores WireGuard, disponibles en cada una de nuestras ubicaciones.

Nota: AzireVPN actualmente es compatible con usuarios de Windows a través del cliente VPN TunSafe de terceros. Sin embargo, no hay soporte oficial de WireGuard para Windows en este momento y el desarrollador recomienda no usar clientes de terceros:

Un cliente de Windows llegará pronto. Mientras tanto, se recomienda encarecidamente mantenerse alejado de los clientes de Windows que no se publican en este sitio, ya que pueden ser peligrosos de usar, a pesar de los esfuerzos de marketing..

2. VPN.ac - servidores WireGuard en vivo

es un servicio VPN rumano que he estado usando y probando durante varios años (vea la revisión de VPN.ac).

VPN.ac anunció en su blog que después de haber probado WireGuard internamente, han decidido admitir el protocolo. Como explicaron en su (blog):

Inicialmente estará disponible en beta. La implementación es un poco desafiante, debido al diseño de WireGuard que no hace que se ajuste a nuestra infraestructura desde el primer momento..

Queremos que la implementación sea lo mejor y simple posible desde cero, y que esté completamente automatizada. Esto requiere bastante trabajo en el lado de back-end: API, servidores que sincronizan claves, etc. No es tan fácil como encender otro servidor, pero definitivamente es factible.

VPN.ac ha establecido tres etapas para integrar completamente WireGuard en su servicio:

  • Etapa 1: diseñe e implemente las API de back-end
  • Etapa 2: disponibilidad frontal del generador de configuración para la configuración manual / software de cliente de terceros
  • Etapa 3: implementación en nuestras aplicaciones cliente VPN

Si desea probar WireGuard con VPN.ac, ofrecen (consulte la página de preguntas frecuentes), que le ofrece una suscripción de prueba completa de una semana por $ 2.

3. TorGuard - servidores WireGuard en vivo

TorGuard es un servicio VPN de EE. UU. Que he encontrado que ofrece un buen rendimiento y muchas funciones, incluidos servicios de correo electrónico, direcciones IP dedicadas y paquetes de transmisión.

El sitio web de TorGuard tiene varias guías para configurar TorGuard en diferentes dispositivos.

4. Mullvad: servidores WireGuard en vivo

mejor vpn para wireguard

Al igual que AzireVPN, Mullvad también tiene su sede en Suecia y fue una de las primeras VPN en implementar WireGuard.

Mullvad actualmente admite WireGuard en Linux, Mac OS, Android y algunos enrutadores. También tienen una gran red de servidores WireGuard activos (49 en total) además de 281 servidores OpenVPN.

https://mullvad.net/

5. IVPN - Servidores WireGuard en vivo

ivpn wireguard

IVPN es un servicio VPN basado en Gibraltar que también es compatible con WireGuard. Parece que IVPN es el primer proveedor en construir WireGuard en sus propios clientes VPN, como explican en su sitio web, lo cual es interesante ya que el código aún está en desarrollo. Como explica IVPN en su sitio web:

WireGuard está disponible en nuestro macOS, iOS & Clientes Android. También puedes conectarte usando la mayoría de las distribuciones de Linux. WireGuard no es compatible con Windows en este momento.

IVPN actualmente tiene 10 ubicaciones de servidores WireGuard.

https://www.ivpn.net/

Otros proveedores de VPN WireGuard

También hay algunos servicios VPN diferentes que han declarado públicamente sus intenciones de agregar WireGuard, pero aún no están listos para la implementación.

NordVPN

NordVPN actualmente no es compatible con WireGuard, pero lo están probando activamente y se están preparando para un lanzamiento cuando esté listo.

Acceso privado a internet

Private Internet Access es un gran defensor de WireGuard y también ha donado a la causa. Sin embargo, no está listo para apretar el gatillo y ofrecer WireGuard a sus usuarios debido al estado actual y la falta de una auditoría, como explicaron en reddit:

WireGuard es excelente, pero está en desarrollo activo. Esto significa que hay errores de seguridad a la espera de ser encontrados, y podría haber graves consecuencias para los proveedores de VPN que son los primeros en adoptar. Una violación de seguridad o privacidad es un riesgo que no podemos tomar como organización.

El futuro de WireGuard VPN

Entonces, ¿qué depara el futuro para WireGuard VPN??

Una vez que WireGuard se haya lanzado por completo, se audite y se autorice su uso regular, es probable que continúe ganando popularidad, suponiendo que sea bien recibido por la base de usuarios de VPN. Con una creciente popularidad y demanda, puede estar seguro de que más servicios VPN incorporarán WireGuard en su infraestructura, incluso si eso conlleva algunos dolores de crecimiento. Si bien muchos de los principales servicios de VPN actualmente no son compatibles con WireGuard, eso puede cambiar con el tiempo.

Debido al interés del usuario, ya estamos viendo que los primeros usuarios y varios proveedores de VPN utilizan su implementación WireGuard como herramienta de marketing, con comunicados de prensa (** tos **) solo para probar **tos**). Esta tendencia probablemente continuará.

WireGuard puede convertirse en un protocolo popular para usuarios móviles, donde de hecho ofrece algunas ventajas.

Si desea probar este nuevo protocolo VPN, puede probarlo con uno de los servicios VPN de WireGuard anteriores. Asegúrese de considerar el implicaciones de privacidad y seguridad dado el estado actual del proyecto. Sin embargo, hasta que WireGuard sea completamente lanzado y auditado, sería mejor seguir con OpenVPN o IPSec para un uso regular.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me