wireguard


WireGuard je zaujímavý nový protokol VPN, ktorý má potenciál priniesť zásadné zmeny v odvetví VPN. V porovnaní s existujúcimi protokolmi VPN, ako sú OpenVPN a IPSec, môže WireGuard ponúkať vyššie rýchlosti a vyššiu spoľahlivosť pomocou nových a vylepšených štandardov šifrovania..

Hoci program WireGuard ponúka niekoľko sľubných funkcií, pokiaľ ide o jednoduchosť, rýchlosť a kryptografiu, má aj niekoľko pozoruhodných nevýhod, o ktorých sa budeme podrobnejšie zaoberať nižšie..

V tejto päťdielnej príručke WireGuard VPN sa zaoberáme:

  1. Čo je WireGuard
  2. WireGuard Pros
  3. WireGuard Cons (prečo to ešte nie je odporúčané)
  4. Ktorí poskytovatelia VPN v súčasnosti podporujú WireGuard
  5. Budúcnosť WireGuard

Poďme sa teda ponoriť!

Čo je WireGuard?

WireGuard je nový experimentálny protokol VPN, ktorého cieľom je ponúknuť jednoduchšie, rýchlejšie a bezpečnejšie riešenie tunelov VPN ako existujúce protokoly VPN. WireGuard má v porovnaní s OpenVPN a IPSec niektoré významné rozdiely, ako napríklad veľkosť kódu (do 4 000 riadkov!), Rýchlosť a štandardy šifrovania.

Vývojár za WireGuardom je Jason Donenfeld, zakladateľ spoločnosti Edge Security. (Termín „WireGuard“ je tiež registrovaná ochranná známka spoločnosti Donenfeld.) V jednom rozhovore, ktorý som sledoval, Donenfeld povedal, že nápad pre WireGuard prišiel, keď žil v zámorí a potreboval VPN pre Netflix..

Prečo je okolo WireGuard toľko bzučania?

Ponúka niektoré potenciálne výhody oproti existujúcim protokolom VPN, ako sa budeme venovať ďalej v texte. Zaujala dokonca aj Linusa Torvaldsa, vývojára za Linuxom, ktorý mal toto slovo v Linux Mailing List:

Môžem ešte raz vyjadriť svoju lásku k [WireGuard] a dúfať, že sa čoskoro zlúči? Možno, že kód nie je dokonalý, ale skreslil som ho a v porovnaní s hrôzami, ktoré sú OpenVPN a IPSec, je to umelecké dielo.

Pozrime sa najprv na výhody WireGuard.

WireGuard Pros

Tu sú niektoré z „výhod“, ktoré ponúka WireGuard:

1. Aktualizované šifrovanie

Ako bolo vysvetlené v rôznych rozhovoroch, Jason Donenfeld chcel upgradovať to, čo považoval za „zastarané“ protokoly s OpenVPN a IPSec. WireGuard používa nasledujúce protokoly a primitívy, ako je opísané na jeho webovej stránke:

  • ChaCha20 pre symetrické šifrovanie, overené pomocou Poly1305, pomocou konštrukcie AFC RFC7539
  • Krivka 25519 pre ECDH
  • BLAKE2 pre hashovanie a hasenie pomocou kľúčov, opísané v RFC7693
  • SipHash24 pre hashtable kľúče
  • HKDF na odvodenie kľúča, ako je opísané v RFC5869

Viac informácií o modernej kryptografii WireGuard nájdete na oficiálnych webových stránkach alebo v technickej dokumentácii.

2. Jednoduchá a minimálna základňa kódu

WireGuard skutočne vyniká svojou kódovou základňou, ktorá je v súčasnosti asi 3 800 riadkov. To je v ostrom protiklade k OpenVPN a OpenSSL, ktoré dohromady majú okolo 600 000 riadkov. IPSec je tiež objemný na približne 400 000 riadkoch spolu s XFRM a StrongSwan dohromady.

Aké sú výhody menšej kódovej základne?

  1. Audit je omnoho ľahší. OpenVPN by auditovaniu trvalo veľa dní. Jedna osoba môže prečítať kódovú databázu WireGuard za pár hodín.
  2. Ľahšie auditovať = ľahšie nájsť zraniteľné miesta, čo pomáha udržiavať WireGuard v bezpečí
  3. Oveľa menšia útočná plocha v porovnaní s OpenVPN a IPSec
  4. Lepší výkon

Aj keď menšia základňa kódov je skutočne výhodou, odráža aj niektoré obmedzenia, ako sa uvádza nižšie.

3. Vylepšenia výkonu

Rýchlosti môžu byť obmedzujúcim faktorom pri VPN - z mnohých rôznych dôvodov. Program WireGuard je navrhnutý tak, aby poskytoval významné vylepšenia v oblasti výkonu:

Kombinácia extrémne vysokorýchlostných kryptografických primitívov a skutočnosti, že program WireGuard žije v jadre systému Linux, znamená, že zabezpečené siete môžu byť veľmi vysoké. Je vhodný pre malé vstavané zariadenia, ako sú smartphony a plne naložené chrbticové smerovače.

Teoreticky by program WireGuard mal ponúkať lepší výkon v podobe:

  • Rýchlejšie rýchlosti
  • Lepšia výdrž batérie s telefónom / tabletom
  • Lepšia podpora roamingu (mobilné zariadenia)
  • Viac spoľahlivosti
  • Rýchlejšie nadviazanie spojení / opätovných pripojení (rýchlejšie podanie ruky)

WireGuard by mal byť výhodný pre používateľov mobilných sietí VPN. Ak vaše zariadenie WireGuard zmení sieťové rozhrania, ako je napríklad prepínanie medzi dátami WiFi a mobilnými / bunkovými dátami, pripojenie zostane, pokiaľ klient VPN naďalej odosiela autentifikované údaje na server VPN..

4. Jednoduché použitie na viacerých platformách

Hoci program WireGuard ešte nie je pripravený na hlavný čas, mal by fungovať veľmi dobre na rôznych platformách. WireGuard podporuje Mac OS, Android, iOS a Linux, pričom podpora Windows sa stále vyvíja.

Ďalšou zaujímavou vlastnosťou programu WireGuard je to, že využíva verejné kľúče na identifikáciu a šifrovanie, zatiaľ čo OpenVPN používa certifikáty. Vytvára sa to niekoľko problémov s využívaním programu WireGuard v klientovi VPN, napríklad generovanie kľúčov a správa.

Nevýhody WireGuard

služba drôtového strážcuAj keď program WireGuard ponúka veľa zaujímavých výhod, v súčasnosti má niekoľko pozoruhodných nevýhod.

1. Stále pod „ťažkým“ vývojom, nie je pripravený, neauditovaný

Napriek tomu, že program WireGuard zostáva pod „veľkým vývojom“ a ešte nie je pripravený na všeobecné použitie, existuje veľa ľudí, ktorí ho chcú okamžite použiť ako svoj primárny protokol VPN. Nájdete veľa propagácie WireGuard na reddite a rôznych fórach - t. J. Naháňate najnovší trend VPN.

Je potrebné zdôrazniť, že WireGuard nie je kompletný, neprešiel bezpečnostným auditom a vývojári výslovne varujú pred dôveryhodnosťou súčasného kódu:

WireGuard ešte nie je dokončený. Na tento kód by ste sa nemali spoliehať. Nevykonal riadny stupeň bezpečnostného auditu a protokol sa stále môže meniť. Pracujeme na stabilnom vydaní verzie 1.0, ale tento čas ešte neprišiel.

Existuje však niekoľko sietí VPN, ktoré sa práve pripravujú alebo ponúkajú podporu WireGuard. V tomto okamihu by ste však mali používať iba program WireGuard iba na účely testovania.

2. WireGuard sa týka ochrany osobných údajov a protokolov

Aj keď program WireGuard môže ponúkať výhody, pokiaľ ide o výkon a bezpečnosť, z hľadiska ochrany osobných údajov to nie je dobré.

Niekoľko poskytovateľov VPN vyjadrilo obavy týkajúce sa schopnosti programu WireGuard používať ho bez protokolov a ako to môže ovplyvniť súkromie používateľov..

AzireVPN, jedna z prvých VPN, ktorá implementovala WireGuard, mala minulý rok povedať:

V spoločnosti AzireVPN nám záleží na našich zásadách bez protokolovania, preto všetky naše servery bežia na bezdiskových hardvéroch a všetky protokolové súbory sa posielajú do / dev / null.

Pokiaľ však ide o WireGuard, predvoleným správaním je mať v rozhraní servera viditeľný koncový bod a povolené ip, čo v skutočnosti nie je v súlade s našimi pravidlami ochrany osobných údajov. Nemali by sme vedieť o vašej zdrojovej IP a nemôžeme akceptovať, aby bola viditeľná na našich serveroch.

 sa pokúsil obísť tieto problémy prijatím Jasona Donenfelda, aby „napísal modul typu rootkit, ktorý odstraňuje schopnosť bežného správcu systému zisťovať informácie o koncových bodoch alebo povolených informáciách o rovnocenných programoch WireGuard a deaktivovať schopnosť spúšťať tcpdump“ (pozri tu).

Perfektné súkromie tvrdil, že WireGuard je „Nepoužiteľné bez protokolov“ v zaujímavom:

WireGuard nemá žiadnu dynamickú správu adries, adresy klientov sú pevné. To znamená, že by sme museli zaregistrovať každé aktívne zariadenie našich zákazníkov a prideliť statické adresy IP na každom z našich serverov VPN. Aby sme mohli získať späť nevyužité adresy IP, museli by sme si pre každé zariadenie uložiť poslednú časovú pečiatku prihlásenia. Naši používatelia by potom neboli schopní pripojiť vaše zariadenia po niekoľkých týždňoch, pretože by sa adresy pridelili znova.

Obzvlášť dôležité je, aby sme nevytvárali ani neuchovávali žiadne protokoly o pripojení. Preto nemôžeme ukladať vyššie uvedené registračné a prihlasovacie údaje, ktoré by boli v súčasnosti potrebné na fungovanie programu WireGuard.

VPN.ac vzniesol podobné obavy týkajúce sa nedostatkov WireGuard, pokiaľ ide o súkromie používateľov:

Aspekty ochrany osobných údajov: WireGuard už z hľadiska návrhu nie je vhodný pre žiadne / obmedzené pravidlá protokolovania. Konkrétne, posledná verejná adresa IP používateľa by sa uložila na sever používaný na pripojenie a podľa súčasných pravidiel ochrany osobných údajov ho nemožno odstrániť do jedného dňa. Neskôr pravdepodobne urobíme nejaké vylepšenia zdrojového kódu, aby sme dezinfikovali alebo odstránili poslednú použitú verejnú IP.

ExpressVPN je ďalšou službou VPN, ktorá vyjadrila obavy v súvislosti s návrhom systému WireGuard a jeho dôsledkami na ochranu súkromia:

Jednou z výziev, ktorým WireGuard čelí, je zaistiť anonymitu VPN. Jedinému používateľovi by nemala byť staticky pridelená jedna adresa IP, a to ani vo verejnej, ani vo virtuálnej sieti. Internú adresu IP používateľa môže zistiť protivník (napríklad prostredníctvom WebRTC), ktorý by potom mohol byť schopný priradiť ho k záznamom získaným od poskytovateľa VPN (krádežou, predajom alebo legálnym zabavením). Dobrá VPN nesmie byť schopná priradiť takýto identifikátor jednému používateľovi. V súčasnosti sa toto nastavenie nedá ľahko dosiahnuť pomocou programu WireGuard.

ExpressVPN bude podporovať úsilie o kontrolu a audit kódu WireGuard, ako sme to urobili v minulosti s OpenVPN. Budeme prispievať kódmi a hlásiť chyby vždy, keď to bude možné, a upozorníme priamo na vývojový tím v oblasti bezpečnosti a ochrany osobných údajov.

AirVPN tiež poukázal na vplyv WireGuard na anonymitu, ako je vysvetlené na ich fóre:

Wireguard je v súčasnom stave nielen nebezpečný, pretože nemá základné vlastnosti a je experimentálnym softvérom, ale tiež nebezpečne oslabuje vrstvu anonymity. Cieľom našej služby je poskytnúť určitú anonymnú vrstvu, preto nemôžeme brať do úvahy niečo, čo by ju tak hlboko oslabilo.

Radi vezmeme do úvahy Wireguard, keď dosiahne stabilné vydanie a ponúka aspoň tie najzákladnejšie možnosti, ktoré OpenVPN ponúka už pred 15 rokmi. Infraštruktúru je možné prispôsobiť, naše poslanie nie.

Na svojich fórach ďalej vysvetlili, prečo WireGuard jednoducho nespĺňa ich požiadavky:

  • Wireguard nemá dynamickú správu IP adries. Klientovi musí byť vopred pridelená vopred definovaná adresa IP VPN VPN jedinečne prepojená s jeho kľúčom na každom serveri VPN. Dopad na vrstvu anonymity je katastrofický;
  • Wireguard klient neoveruje totožnosť servera (funkcia taká nevyhnutná, že bude určite implementovaná, keď Wireguard už nebude experimentálnym softvérom); vplyv na bezpečnosť spôsobený touto chybou je veľmi vysoký;
  • Chýba podpora protokolu TCP (na to, ako navrhujete, je potrebný dodatočný kód tretej strany alebo tak, aby ste mohli použiť protokol TCP ako protokol tunelovania, čo je v porovnaní s OpenVPN hrozná regresia);
  • Neexistuje podpora na pripojenie Wireguardu k serveru VPN cez proxy server s rôznymi metódami autentifikácie.

Napriek týmto obavám mnohé služby VPN už zavádzajú plnú podporu WireGuard. Ostatné siete VPN sledujú tento projekt a majú záujem o implementáciu programu WireGuard po jeho dôkladnom audite a zlepšení.

Medzitým však, ako uviedla spoločnosť AirVPN na svojom fóre:

"Nebudeme využívať našich zákazníkov ako testerov."

3. Nové a netestované

Iste, OpenVPN má svoje problémy, ale má tiež dlhoročné skúsenosti a je osvedčeným protokolom VPN s rozsiahlym auditom. Zatiaľ čo Donenfeld môže v rôznych rozhovoroch označovať OpenVPN za „zastarané“, iní to môžu považovať za overené a dôveryhodné - vlastnosti, ktorým WireGuard v súčasnosti chýba.

OpenVPN, pôvodne vydané v roku 2001, má veľmi dlhú históriu. OpenVPN tiež ťaží z veľkej užívateľskej základne a aktívneho vývoja s pravidelnými aktualizáciami. V máji 2017 prešiel hlavným auditom spoločnosti OSTIF, fondu na zlepšovanie technológií otvorených zdrojov.

V tomto okamihu sa program WireGuard javí skôr ako špecializovaný projekt - ale projekt s potenciálom pre dané odvetvie. Je veľmi nová a ešte nie je vo fáze „ťažkého rozvoja“, hoci prešla formálnym overením. Aj po oficiálnom uvedení programu WireGuard by však používatelia boli múdri, aby postupovali opatrne.

4. Obmedzené adopcie (zatiaľ)

Ako sme už uviedli vyššie, v spôsobe prijatia protokolu WireGuard v celom odvetví existujú veľké prekážky:

  • Problém s riadením a distribúciou kľúčov (namiesto použitia certifikátov).
  • WireGuard potrebuje svoju vlastnú infraštruktúru, oddelenú od existujúcich serverov OpenVPN.
  • Zlučiteľnosť s existujúcimi operáciami. Pre poskytovateľov, ktorí si vybudovali svoje služby a funkcie okolo OpenVPN, nemusí byť program WireGuard čoskoro na kartách.

Perfektné súkromie, ktoré WireGuard nie je kompatibilný s ich existujúcimi funkciami na strane servera, ako sú multi-hop VPN kaskády, TrackStop a NeuroRouting. Napriek tomu som oslovil Perfect Privacy a potvrdili, že môžu WireGuard podporovať ako samostatnú možnosť neskôr..

AirVPN tiež uviedla, že WireGuard je so svojou infraštruktúrou „úplne nepoužiteľný“:

Momentálne je to tak úplne nepoužiteľné v našej infraštruktúre pretože mu chýba podpora protokolu TCP, chýba mu dynamické priradenie adresy IP VPN a (aspoň stavba, ktorú sme videli) chýba prísne nevyhnutná bezpečnostná funkcia (overenie certifikátu CA poskytnutého serverom, preto si klient nemôže byť istý, že na serveri na druhú stranu niektorá nepriateľská entita nevydáva server VPN).

Záver: neodporúča sa

Vzhľadom na súčasný stav programu WireGuard, dôsledky na súkromie a skutočnosť, že nebol skontrolovaný, sa program WireGuard neodporúča na pravidelné používanie..

Zásadnou nevýhodou sú navyše obavy týkajúce sa ochrany osobných údajov, ktoré súvisia s programom WireGuard (podľa návrhu!).

Nie je to pravdepodobné, že by sa to zlepšilo, a to núti služby VPN, aby vytvorili nejaký jedinečný out-of-the-box riešenie, aby fungovalo s ich politikami bez protokolov, ako sme videli vyššie v prípade AzireVPN. Táto nevýhoda nemá vplyv na OpenVPN.

WireGuard však môže byť pre niektorých používateľov ideálny v závislosti od modelu hrozby a konkrétnych potrieb. V súčasnosti by však bolo vhodné zostať s OpenVPN alebo pravdepodobne IPSec na pravidelné používanie.

Ktoré služby VPN podporujú WireGuard?

Tu sú VPN, ktoré v súčasnosti podporujú WireGuard alebo potvrdili, že testujú WireGuard s cieľom podporovať protokol, keď bude pripravený:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (stále sa testuje)
  7. Súkromný prístup na internet (stále sa testuje)

Teraz sa bližšie pozrieme na každú z týchto služieb VPN WireGuard uvedených nižšie.

1. AzireVPN - živé servery WireGuard

AzireVPN je švédska služba VPN založená vo Švédsku, ktorá je zameraná na ochranu súkromia a bezpečnosť. Bol jedným z prvých prijímateľov WireGuard a má sekciu WireGuard:

Vyvinuli sme API na distribúciu kľúčov a uvažujeme o pridaní WireGuard k nášmu klientovi. V súčasnosti je možné tento protokol použiť na Windows, Linux, MacOS, Android a smerovačoch so systémom OpenWRT, podpora systému Windows sa však čoskoro dostane. Jednoducho sa zaregistrujte a pripojte sa ku všetkým našim serverom WireGuard, ktoré sú k dispozícii v každom z našich miest.

Poznámka: AzireVPN v súčasnosti podporuje používateľov systému Windows prostredníctvom klienta VPN tretej strany TunSafe. V súčasnosti však pre systém Windows neexistuje žiadna oficiálna podpora WireGuard a vývojár odporúča nepoužívať klientov tretích strán:

Klient systému Windows už čoskoro príde. Medzitým sa dôrazne odporúčame vyhýbať sa klientom Windows, ktorí nie sú prepustení z tohto webu, pretože ich používanie môže byť nebezpečné, a to napriek marketingovému úsiliu..

2. VPN.ac - servery WireGuard živé

je rumunská služba VPN, ktorú už niekoľko rokov používam a testujem (pozri prehľad VPN.ac).

VPN.ac na svojom blogu oznámila, že po internom testovaní WireGuard sa rozhodli protokol podporovať. Ako vysvetlili na svojom blogu:

Spočiatku bude k dispozícii v beta verzii. Implementácia je trochu náročná z dôvodu dizajnu WireGuard, ktorý ju nezmestí do našej infraštruktúry..

Chceme, aby bola implementácia čo najkvalitnejšia a najjednoduchšia a úplne automatizovaná. Vyžaduje si to dosť práce na strane back-end: API, servery synchronizujúce kľúče atď. Nie je to také ľahké ako spustenie ďalšieho servera, ale určite uskutočniteľné.

VPN.ac stanovil tri fázy pre úplnú integráciu WireGuard do svojich služieb:

  • Krok 1: navrhnite a nasaďte rozhrania API back-end
  • Fáza 2: front-end dostupnosť konfiguračného generátora pre manuálne nastavenie / klientsky softvér tretích strán
  • Etapa 3: implementácia do našich klientskych aplikácií VPN

Ak chcete testovať program WireGuard pomocou VPN.ac, ponúkajú ho (pozrite si stránku s častými otázkami), ktorá vám dáva týždenné úplné skúšobné predplatné za 2 doláre..

3. TorGuard - servery WireGuard živé

TorGuard je služba VPN v USA, o ktorej som zistil, že ponúka dobrý výkon a mnoho funkcií vrátane e-mailových služieb, vyhradených adries IP a balíkov streamovania..

Webová stránka TorGuard obsahuje rôznych sprievodcov na nastavenie TorGuard na rôznych zariadeniach.

4. Mullvad - servery WireGuard živé

najlepšie vpn pre vodičov

Rovnako ako AzireVPN, aj Mullvad má sídlo vo Švédsku a bol jedným z prvých VPN, ktorý implementoval WireGuard.

Mullvad v súčasnosti podporuje WireGuard v systémoch Linux, Mac OS, Android a niektorých smerovačoch. Okrem 281 serverov OpenVPN majú tiež rozsiahlu sieť aktívnych serverov WireGuard (celkom 49).

https://mullvad.net/

5. IVPN - živé servery WireGuard

ivpn drôtový chránič

IVPN je služba VPN založená na Gibraltári, ktorá tiež podporuje WireGuard. Zdá sa, že IVPN je prvým poskytovateľom, ktorý zabudoval WireGuard do svojich vlastných klientov VPN, ako to vysvetľujú na svojich webových stránkach, čo je zaujímavé, pretože kód sa stále vyvíja. Ako spoločnosť IVPN vysvetľuje na svojej webovej stránke:

Program WireGuard je k dispozícii na našich makrách iOS & Klienti Android. Môžete sa tiež pripojiť pomocou väčšiny distribúcií systému Linux. Program WireGuard nie je v súčasnosti v systéme Windows podporovaný.

IVPN má momentálne 10 umiestnení servera WireGuard.

https://www.ivpn.net/

Ostatní poskytovatelia VPN WireGuard

Existuje tiež niekoľko rôznych služieb VPN, ktoré verejne vyjadrili svoj zámer pridať WireGuard, ale ešte nie sú pripravené na implementáciu..

NordVPN

NordVPN v súčasnosti nepodporuje WireGuard, ale aktívne ho testuje a pripravuje sa na vydanie, keď bude pripravené.

Súkromný prístup na internet

Súkromný prístup na internet je veľkým zástancom WireGuard a venoval sa aj tejto veci. Napriek tomu nie je pripravená aktivovať spúšťač a ponúkať používateľom WireGuard jeho súčasný stav a nedostatok auditu, ako to vysvetlilo reddit:

WireGuard je skvelý, ale je v aktívnom vývoji. To znamená, že existujú bezpečnostné chyby, ktoré čakajú na nájdenie, a pre poskytovateľov VPN, ktorí sa čoskoro osvojujú, by to mohlo mať vážne následky. Porušenie bezpečnosti alebo súkromia je riziko, ktoré nemôžeme ako organizácia podstúpiť.

Budúcnosť WireGuard VPN

Čo teda čaká budúcnosť siete WireGuard VPN?

Po úplnom prepustení produktu WireGuard, jeho audite a jeho schválení na pravidelné používanie bude pravdepodobne pokračovať v získaní popularity - za predpokladu, že je dobre prijatý užívateľskou základňou VPN. S rastúcou popularitou a dopytom si môžete byť istí, že ďalšie služby VPN začlenia WireGuard do svojej infraštruktúry - aj keď to má rastúce bolesti. Aj keď veľa špičkových služieb VPN v súčasnosti nepodporuje WireGuard, môže sa časom zmeniť.

Z dôvodu záujmu používateľov sme už svedkami skorých osvojiteľov a rôznych poskytovateľov VPN, ktorí používajú svoju implementáciu WireGuard ako marketingový nástroj so sprievodnými tlačovými správami (** kašeľ ** len na testovanie ** kašeľ **). Tento trend bude pravdepodobne pokračovať.

WireGuard sa môže stať populárnym protokolom pre mobilných používateľov, ak skutočne ponúka určité výhody.

Ak by ste chceli vyskúšať tento nový protokol VPN, môžete ho otestovať pomocou jednej z vyššie uvedených služieb VPN WireGuard. Nezabudnite vziať do úvahy Dôsledky ochrany súkromia a bezpečnosti vzhľadom na aktuálny stav projektu. Kým nebude WireGuard plne vydaný a auditovaný, bolo by lepšie držať sa OpenVPN alebo IPSec pre bežné použitie.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me