wireguard


O WireGuard é um novo protocolo VPN interessante que tem o potencial de trazer grandes mudanças para o setor de VPN. Em comparação com os protocolos VPN existentes, como OpenVPN e IPSec, o WireGuard pode oferecer velocidades mais rápidas e maior confiabilidade com novos e aprimorados padrões de criptografia.

Embora ofereça alguns recursos promissores em termos de simplicidade, velocidade e criptografia, o WireGuard também possui algumas desvantagens notáveis, as quais discutiremos detalhadamente abaixo.

Neste guia de cinco partes da WireGuard VPN, abordaremos:

  1. O que é o WireGuard
  2. Profissionais do WireGuard
  3. Contras WireGuard (por que ainda não é recomendado)
  4. Quais provedores de VPN atualmente suportam o WireGuard
  5. O futuro do WireGuard

Então vamos mergulhar!

O que é o WireGuard?

O WireGuard é um novo protocolo de VPN experimental que visa oferecer uma solução mais simples, rápida e segura para o encapsulamento de VPN do que os protocolos de VPN existentes. O WireGuard tem algumas diferenças importantes quando comparado ao OpenVPN e IPSec, como o tamanho do código (menos de 4.000 linhas!), A velocidade e os padrões de criptografia.

O desenvolvedor do WireGuard é Jason Donenfeld, fundador da Edge Security. (O termo “WireGuard” também é uma marca registrada da Donenfeld.) Em uma entrevista que assisti, Donenfeld disse que a idéia do WireGuard surgiu quando ele morava no exterior e precisava de uma VPN para a Netflix..

Por que há tanta agitação em torno do WireGuard?

Bem, ele oferece algumas vantagens em potencial sobre os protocolos VPN existentes, como discutiremos mais abaixo. Ele chamou a atenção de Linus Torvalds, o desenvolvedor do Linux, que tinha isso a dizer na lista de discussão do kernel do Linux:

Posso apenas declarar novamente meu amor pelo [WireGuard] e espero que ele seja mesclado em breve? Talvez o código não seja perfeito, mas eu o examinei e, comparado aos horrores do OpenVPN e IPSec, é uma obra de arte.

Vamos primeiro examinar as vantagens do WireGuard.

Profissionais do WireGuard

Aqui estão alguns dos "profissionais" que o WireGuard oferece:

1. Criptografia atualizada

Como explicado em várias entrevistas, Jason Donenfeld queria atualizar o que considerava protocolos "desatualizados" com o OpenVPN e o IPSec. O WireGuard usa os seguintes protocolos e primitivos, conforme descrito em seu site:

  • ChaCha20 para criptografia simétrica, autenticada com Poly1305, usando a construção AEAD do RFC7539
  • Curve25519 para ECDH
  • BLAKE2s para hash e hash com chave, descritos em RFC7693
  • SipHash24 para chaves de hashtable
  • HKDF para derivação de chave, conforme descrito na RFC5869

Você pode aprender mais sobre a criptografia moderna do WireGuard no site oficial ou no white paper técnico.

2. Base de código simples e mínima

O WireGuard realmente se destaca em termos de base de código, atualmente com cerca de 3.800 linhas. Isso contrasta fortemente com o OpenVPN e o OpenSSL, que combinados têm cerca de 600.000 linhas. O IPSec também é volumoso em cerca de 400.000 linhas totais com XFRM e StrongSwan juntos.

Quais são as vantagens de uma base de código menor?

  1. É muito mais fácil auditar. O OpenVPN levaria uma grande equipe muitos dias para auditar. Uma pessoa pode ler a base de código do WireGuard em poucas horas.
  2. Mais fácil de auditar = mais fácil de encontrar vulnerabilidades, o que ajuda a manter o WireGuard seguro
  3. Superfície de ataque muito menor em comparação com OpenVPN e IPSec
  4. Melhor performance

Embora a base de código menor seja realmente uma vantagem, ela também reflete algumas limitações, como discutiremos abaixo.

3. Melhorias de desempenho

A velocidade pode ser um fator limitante nas VPNs - por vários motivos diferentes. O WireGuard foi projetado para oferecer melhorias significativas na área de desempenho:

Uma combinação de primitivas criptográficas de velocidade extremamente alta e o fato de o WireGuard viver dentro do kernel Linux significa que a rede segura pode ser de alta velocidade. É adequado para pequenos dispositivos incorporados, como smartphones e roteadores de backbone totalmente carregados.

Teoricamente, o WireGuard deve oferecer desempenho aprimorado da seguinte maneira:

  • Velocidades mais rápidas
  • Melhor duração da bateria com telefones / tablets
  • Melhor suporte de roaming (dispositivos móveis)
  • Mais confiabilidade
  • Mais rápido no estabelecimento de conexões / reconexões (handshake mais rápido)

O WireGuard deve ser benéfico para usuários de VPN móvel. Com o WireGuard, se o seu dispositivo móvel alterar as interfaces de rede, como mudar de Wi-Fi para dados móveis / de celular, a conexão permanecerá enquanto o cliente VPN continuar enviando dados autenticados ao servidor VPN.

4. Facilidade de uso entre plataformas

Embora ainda não esteja pronto para o horário nobre, o WireGuard deve funcionar muito bem em diferentes plataformas. O WireGuard suporta Mac OS, Android, iOS e Linux, com o suporte do Windows ainda em desenvolvimento.

Outro recurso interessante do WireGuard é que ele utiliza chaves públicas para identificação e criptografia, enquanto o OpenVPN usa certificados. No entanto, isso cria alguns problemas para a utilização do WireGuard em um cliente VPN, como geração e gerenciamento de chaves.

Contras do WireGuard

serviço wireguard vpnEmbora o WireGuard ofereça muitas vantagens interessantes, atualmente ele apresenta algumas desvantagens notáveis.

1. Ainda em desenvolvimento “pesado”, não pronto, não auditado

Apesar de o WireGuard permanecer em "desenvolvimento pesado" e ainda não estar pronto para uso geral, muitas pessoas procuram usá-lo imediatamente como seu principal protocolo VPN. Você pode encontrar muitas promoções do WireGuard no reddit e em vários fóruns - ou seja, acompanhando as últimas tendências da VPN.

É importante ressaltar que o WireGuard não está completo, não passou em uma auditoria de segurança e os desenvolvedores alertam explicitamente sobre a confiança no código atual:

O WireGuard ainda não está completo. Você não deve confiar neste código. Não foi submetido a graus adequados de auditoria de segurança e o protocolo ainda está sujeito a alterações. Estamos trabalhando para uma versão 1.0 estável, mas esse momento ainda não chegou.

No entanto, existem algumas VPNs que estão se preparando ou oferecendo suporte ao WireGuard no momento. Neste ponto, no entanto, você só deve usar o WireGuard apenas para fins de teste.

2. Preocupações e registros de privacidade do WireGuard

Embora o WireGuard possa oferecer vantagens em termos de desempenho e segurança, por design não é bom para a privacidade.

Vários fornecedores de VPN manifestaram preocupação com a capacidade do WireGuard de ser usado sem registros e como isso pode afetar a privacidade do usuário.

AzireVPN, uma das primeiras VPNs a implementar o WireGuard, tinha isso a dizer no ano passado:

Na AzireVPN, nos preocupamos com nossa política de não registro em log, é por isso que todos os nossos servidores estão executando em hardware sem disco e todos os arquivos de log são canalizados para / dev / null.

Mas quando se trata de WireGuard, o comportamento padrão é ter o endpoint e o IP permitido visíveis na interface do servidor, o que realmente não funciona com nossa política de privacidade. Não devemos saber sobre o seu IP de origem e não podemos aceitá-lo em nossos servidores..

 tentou contornar esses problemas contratando Jason Donenfeld para "escrever um módulo semelhante ao rootkit que remove a capacidade de um administrador de sistema comum de consultar informações sobre pontos de extremidade ou IP permitido sobre pares do WireGuard e desativar a capacidade de executar o tcpdump" (consulte aqui).

Privacidade perfeita argumentou que o WireGuard é "Não utilizável sem registros" de uma maneira interessante:

O WireGuard não possui gerenciamento de endereços dinâmico, os endereços do cliente são fixos. Isso significa que teríamos que registrar todos os dispositivos ativos de nossos clientes e atribuir os endereços IP estáticos em cada um de nossos servidores VPN. Além disso, teríamos que armazenar o último registro de data e hora de login para cada dispositivo, a fim de recuperar endereços IP não utilizados. Nossos usuários não poderão conectar seus dispositivos depois de algumas semanas porque os endereços teriam sido reatribuídos.

É particularmente importante para nós que não criamos nem armazenamos nenhum registro de conexão. Portanto, não podemos armazenar os dados de registro e login acima que atualmente seriam necessários para o WireGuard operar.

VPN.ac levantou preocupações semelhantes sobre as falhas do WireGuard em relação à privacidade do usuário:

Considerações de privacidade: por padrão, o WireGuard não é adequado para políticas de registro inexistentes / limitadas. Especificamente, o último IP público do usuário seria salvo no servidor usado para se conectar e não poderá ser removido dentro de um dia, conforme nossa política de privacidade atual. Em uma data posterior, provavelmente faremos alguns ajustes no código-fonte para higienizar ou remover o último IP público usado.

ExpressVPN é outro serviço de VPN que manifestou preocupação com o design do WireGuard e suas implicações para a privacidade:

Um dos desafios que o WireGuard enfrenta é garantir o anonimato das VPNs. Nenhum usuário único deve receber estaticamente um único endereço IP, nem em uma rede pública nem em uma rede virtual. O endereço IP interno de um usuário pode ser descoberto por um adversário (por meio do WebRTC, por exemplo), que poderá combiná-lo com os registros adquiridos de um provedor de VPN (por roubo, venda ou apreensão legal). Uma boa VPN deve não conseguir corresponder esse identificador a um único usuário. Atualmente, essa configuração não é facilmente alcançada com o WireGuard.

O ExpressVPN apoiará os esforços para revisar e auditar o código do WireGuard, como fizemos no passado com o OpenVPN. Contribuiremos com códigos e reportaremos erros sempre que pudermos e levantaremos preocupações de segurança e privacidade diretamente com a equipe de desenvolvimento.

AirVPN também abordou as implicações do WireGuard para o anonimato, conforme explicado em seu fórum:

O Wireguard, em seu estado atual, não é apenas perigoso porque não possui recursos básicos e é um software experimental, mas também enfraquece perigosamente a camada de anonimato. Nosso serviço visa fornecer uma camada de anonimato, portanto, não podemos levar em consideração algo que a enfraquece tão profundamente.

Teremos o prazer de levar o Wireguard em consideração quando atingir um lançamento estável E oferecer pelo menos as opções mais básicas que o OpenVPN tem sido capaz de oferecer desde 15 anos atrás. A infraestrutura pode ser adaptada, nossa missão não pode.

Em seus fóruns, explicou ainda mais por que o WireGuard simplesmente não atende aos seus requisitos:

  • O Wireguard não possui gerenciamento dinâmico de endereços IP. O cliente precisa ser previamente designado a um endereço IP da VPN predefinido, vinculado exclusivamente à sua chave em cada servidor VPN. O impacto na camada de anonimato é catastrófico;
  • O cliente Wireguard não verifica a identidade do servidor (um recurso tão essencial que certamente será implementado quando o Wireguard não for mais um software experimental); o impacto na segurança causado por essa falha é muito alto;
  • O suporte ao TCP está ausente (é necessário um código adicional de terceiros ou de qualquer maneira para usar o TCP como protocolo de encapsulamento, como você sugere, e isso é uma regressão horrível quando comparada ao OpenVPN);
  • não há suporte para conectar o Wireguard a um servidor VPN através de algum proxy com uma variedade de métodos de autenticação.

Apesar dessas preocupações, muitos serviços VPN já estão implementando suporte completo ao WireGuard. Outras VPNs estão assistindo o projeto e estão interessadas em implementar o WireGuard depois que ele foi completamente auditado e aprimorado.

Enquanto isso, no entanto, como o AirVPN declarou em seu fórum:

"Não usaremos nossos clientes como testadores".

3. Novo e não testado

Certamente, o OpenVPN tem seus problemas, mas também possui um longo histórico e é um protocolo VPN comprovado, com ampla auditoria. Embora Donenfeld possa se referir ao OpenVPN como "desatualizado" em várias entrevistas, outros podem vê-lo como comprovado e confiável - qualidades que o WireGuard atualmente não possui.

Lançado inicialmente em 2001, o OpenVPN tem uma história muito longa. O OpenVPN também se beneficia de uma grande base de usuários e desenvolvimento ativo com atualizações regulares. Em maio de 2017, foi submetida a uma grande auditoria do OSTIF, o Open Source Technology Improvement Fund.

Nesse ponto, o WireGuard parece ser mais um projeto de nicho - mas com potencial para o setor. É muito novo e ainda não saiu da fase de "desenvolvimento pesado", embora tenha sido submetido a uma verificação formal. Mesmo após o lançamento oficial do WireGuard, no entanto, é prudente que os usuários procedam com cautela.

4. Adoção limitada (por enquanto)

Como abordamos acima, existem alguns grandes obstáculos no caminho da adoção do WireGuard em todo o setor:

  • O problema com o gerenciamento e distribuição de chaves (em vez de usar certificados).
  • O WireGuard precisa de sua própria infraestrutura, separada dos servidores OpenVPN existentes.
  • Compatibilidade com operações existentes. Para provedores que criaram seus serviços e recursos em torno do OpenVPN, o WireGuard pode não estar nos cartões tão cedo.

Privacidade perfeita, pois o WireGuard não é compatível com os recursos existentes no servidor, como cascatas VPN multi-hop, TrackStop e NeuroRouting. No entanto, entrei em contato com a Perfect Privacy e eles confirmaram que podem apoiar o WireGuard como uma opção independente posteriormente..

Da mesma forma, o AirVPN também afirmou que o WireGuard é "totalmente inutilizável" com sua infraestrutura:

No momento é totalmente inutilizável em nossa infraestrutura porque não possui suporte TCP, não possui atribuição dinâmica de IP de VPN e (pelo menos a compilação que vimos) não possui um recurso de segurança estritamente necessário (verificação do certificado de CA fornecido pelo servidor, portanto, o cliente não pode ter certeza de que no outro lado, alguma entidade hostil não está se passando por um servidor VPN).

Conclusão: não recomendado

Considerando o estado atual do WireGuard, as implicações de privacidade e o fato de não ter sido auditado, o WireGuard não é recomendado para uso regular.

Além disso, as preocupações de privacidade inerentes ao WireGuard (por design!) São uma grande desvantagem.

É improvável que isso melhore e força os serviços de VPN a criar algum tipo de solução pronta para uso imediata para fazê-lo funcionar com suas políticas de não registro, como vimos acima com o AzireVPN. Essa desvantagem não afeta o OpenVPN.

No entanto, o WireGuard pode ser ideal para alguns usuários, dependendo do modelo de ameaças e necessidades específicas. No momento, no entanto, seria aconselhável permanecer com o OpenVPN ou talvez o IPSec para uso regular.

Quais serviços VPN suportam o WireGuard?

Aqui estão as VPNs que atualmente suportam o WireGuard ou confirmaram que estão testando o WireGuard com a intenção de oferecer suporte ao protocolo quando estiver pronto:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (ainda em teste)
  7. Acesso privado à Internet (ainda em teste)

Agora, examinaremos cada um desses serviços de VPN WireGuard abaixo.

1. AzireVPN - servidores WireGuard ativos

O AzireVPN é um serviço de VPN baseado na Suécia focado em privacidade e segurança. Foi um dos primeiros a adotar o WireGuard e possui uma seção do WireGuard:

Desenvolvemos uma API para distribuição de chaves e estamos pensando em adicionar o WireGuard ao nosso cliente. No momento, esse protocolo pode ser usado no Windows, Linux, macOS, Android e roteadores executando o OpenWRT, mas o suporte ao Windows está disponível em breve. Basta se inscrever para se conectar a todos os nossos servidores WireGuard, disponíveis em cada um dos nossos locais.

Nota: O AzireVPN atualmente suporta usuários do Windows por meio do cliente VPN TunSafe de terceiros. No entanto, não há suporte oficial do WireGuard para Windows no momento e o desenvolvedor recomenda não usar clientes de terceiros:

Um cliente Windows está chegando em breve. Enquanto isso, é altamente recomendável ficar longe de clientes Windows que não são liberados deste site, pois eles podem ser perigosos, apesar dos esforços de marketing.

2. VPN.ac - servidores WireGuard ativos

é um serviço de VPN romeno que uso e testo há vários anos (consulte a revisão VPN.ac).

O VPN.ac anunciou em seu blog que, depois de testar o WireGuard internamente, eles decidiram dar suporte ao protocolo. Como eles explicaram em seu (blog):

Inicialmente, estará disponível na versão beta. A implementação é um pouco desafiadora, devido ao design do WireGuard, que não o encaixa em nossa infraestrutura imediatamente..

Queremos que a implementação seja a melhor e mais simples possível do zero e totalmente automatizada. Isso requer bastante trabalho no lado de back-end: APIs, servidores que sincronizam chaves e assim por diante. Não é tão fácil quanto iniciar outro servidor, mas definitivamente factível.

O VPN.ac estabeleceu três estágios para integrar totalmente o WireGuard em seus serviços:

  • Etapa 1: projetar e implantar as APIs de back-end
  • Etapa 2: disponibilidade front-end do gerador de configuração para configuração manual / software cliente de terceiros
  • Etapa 3: implementação em nossos aplicativos clientes VPN

Se você deseja testar o WireGuard com o VPN.ac, eles oferecem (consulte a página de Perguntas frequentes), que oferece uma assinatura de avaliação completa de uma semana por US $ 2.

3. TorGuard - servidores WireGuard ativos

O TorGuard é um serviço de VPN dos EUA que achei que oferece bom desempenho e muitos recursos, incluindo serviços de email, endereços IP dedicados e pacotes de streaming.

O site do TorGuard possui vários guias para configurar o TorGuard em diferentes dispositivos.

4. Mullvad - servidores WireGuard ativos

melhor vpn para wireguard

Como o AzireVPN, o Mullvad também está sediado na Suécia e foi uma das primeiras VPNs a implementar o WireGuard.

Atualmente, o Mullvad suporta o WireGuard no Linux, Mac OS, Android e alguns roteadores. Eles também têm uma grande rede de servidores WireGuard ativos (49 no total), além de 281 servidores OpenVPN.

https://mullvad.net/

5. IVPN - servidores WireGuard ativos

ivpn wireguard

O IVPN é um serviço VPN baseado em Gibraltar que também suporta o WireGuard. Parece que o IVPN é o primeiro provedor a incorporar o WireGuard em seus próprios clientes VPN, como explicam em seu site, o que é interessante, pois o código ainda está em desenvolvimento. Como o IVPN explica em seu site:

O WireGuard está disponível em nosso macOS, iOS & Clientes Android. Você também pode se conectar usando a maioria das distribuições Linux. No momento, o WireGuard não é suportado no Windows.

Atualmente, a IVPN possui 10 locais de servidor WireGuard.

https://www.ivpn.net/

Outros provedores de VPN WireGuard

Existem também alguns serviços VPN diferentes que declararam publicamente suas intenções de adicionar o WireGuard, mas ainda não estão prontos para implementação.

NordVPN

O NordVPN atualmente não suporta o WireGuard, mas eles o estão testando ativamente e se preparando para um lançamento quando estiver pronto.

Acesso Privado à Internet

O acesso privado à Internet é um grande apoiador do WireGuard e também doou para a causa. No entanto, ele não está pronto para puxar o gatilho e oferecer o WireGuard a seus usuários devido ao status atual e à falta de uma auditoria, conforme explicado no reddit:

O WireGuard é ótimo, mas está em desenvolvimento ativo. Isso significa que existem bugs de segurança aguardando para serem encontrados e pode haver sérias conseqüências para os provedores de VPN que são adotantes precoces. Uma violação de segurança ou privacidade é um risco que não podemos assumir como organização.

O futuro da VPN WireGuard

Então, o que o futuro reserva para a VPN WireGuard?

Depois que o WireGuard for totalmente lançado, auditado e liberado para uso regular, provavelmente continuará ganhando popularidade - supondo que seja bem recebido pela base de usuários da VPN. Com a crescente popularidade e demanda, você pode ter certeza de que mais serviços VPN incorporarão o WireGuard em sua infraestrutura - mesmo que isso aconteça com algumas dificuldades crescentes. Embora muitos dos principais serviços de VPN atualmente não sejam compatíveis com o WireGuard, isso pode mudar com o tempo..

Devido ao interesse do usuário, já estamos vendo adotantes precoces e vários provedores de VPN usando a implementação do WireGuard como uma ferramenta de marketing, com os comunicados de imprensa que acompanham (** tosse ** apenas para testar **tosse**). Essa tendência provavelmente continuará.

O WireGuard pode se tornar um protocolo popular para usuários móveis, onde de fato oferece algumas vantagens.

Se você quiser experimentar esse novo protocolo VPN, poderá testá-lo com um dos serviços VPN WireGuard acima. Certifique-se de considerar o implicações de privacidade e segurança dado o estado atual do projeto. Até o WireGuard ser totalmente lançado e auditado, no entanto, seria melhor usar o OpenVPN ou IPSec para uso regular.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me