wireguard


WireGuard je zanimljiv novi VPN protokol koji može donijeti velike promjene u VPN industriji. U usporedbi s postojećim VPN protokolima, kao što su OpenVPN i IPSec, WireGuard može ponuditi veće brzine i bolju pouzdanost s novim i poboljšanim standardima šifriranja.

Iako nudi neke obećavajuće značajke u pogledu jednostavnosti, brzine i kriptografije, WireGuard također ima neke značajne nedostatke, o kojima ćemo detaljnije govoriti u nastavku.

U ovom petodijelnom WireGuard VPN vodiču obradit ćemo:

  1. Što je WireGuard
  2. Profesionalni WireGuard
  3. WireGuard kontra (zašto se još ne preporučuje)
  4. Koji VPN pružatelji trenutno podržavaju WireGuard
  5. Budućnost WireGuarda

Pa, zaronimo unutra!

Što je WireGuard?

WireGuard je novi, eksperimentalni VPN protokol koji ima za cilj ponuditi jednostavnije, brže i sigurnije rješenje za VPN tuneliranje od postojećih VPN protokola. WireGuard ima neke velike razlike u odnosu na OpenVPN i IPSec, poput veličine koda (ispod 4.000 linija!), Brzine i standarda šifriranja.

Programer koji stoji iza WireGuarda je Jason Donenfeld, osnivač Edge Security-a. (Izraz "WireGuard" također je registrirani zaštitni znak Donenfelda.) U jednom intervjuu koji sam gledao, Donenfeld je rekao da je ideja za WireGuard nastala kada živi u inozemstvu i treba mu VPN za Netflix.

Zašto postoji toliko zujanje oko WireGuarda?

Pa, nudi neke potencijalne prednosti u odnosu na postojeće VPN protokole, o čemu ćemo dalje raspravljati. To je čak privuklo pažnju Linusa Torvaldsa, razvojnog programera iza Linuxa, koji je to imao reći na Linux Kernel Mailing Listu:

Mogu li samo još jednom iskazati svoju ljubav prema [WireGuardu] i nadam se da će se uskoro spojiti? Možda kôd nije savršen, ali prekrižio sam ga, i u usporedbi sa hororom koji su OpenVPN i IPSec, to je umjetničko djelo.

Prvo istražimo prednosti WireGuarda.

Profesionalni WireGuard

Evo nekih "prednosti" koje WireGuard nudi:

1. Ažurirano šifriranje

Kako je objašnjeno u raznim intervjuima, Jason Donenfeld želio je nadograditi ono što je smatrao "zastarjelim" protokolima s OpenVPN i IPSec. WireGuard koristi sljedeće protokole i primitive, kako je opisano na njegovoj web stranici:

  • ChaCha20 za simetrično šifriranje, ovjereno sa Poly1305, korištenjem RFC7539 konstrukcije AEAD
  • Krivulja25519 za ECDH
  • BLAKE2 za raspršivanje i raspršivanje, opisano u RFC7693
  • SipHash24 za ključeve raspršivanja
  • HKDF za izvođenje ključa, kako je opisano u RFC5869

Više o modernoj kriptografiji WireGuarda možete saznati na službenom web mjestu ili u tehničkom bijelom papiru.

2. Jednostavna i minimalna baza kodova

WireGuard se zaista ističe po svojoj bazi kodova, koja trenutno iznosi oko 3.800 linija. To je u velikoj suprotnosti s OpenVPN-om i OpenSSL-om, koji u kombinaciji imaju oko 600.000 linija. IPSec je također glomazan na ukupno 400 000 linija sa XFRM i StrongSwan zajedno.

Koje su prednosti manje baze kodova?

  1. Mnogo je lakše izvršiti reviziju. OpenVPN-u bi trebalo mnogo dana da provede reviziju. Jedna osoba može pročitati WireGuard-ovu kodnu bazu za nekoliko sati.
  2. Lakša za reviziju = lakše pronalaženje ranjivosti što pomaže u održavanju WireGuarda sigurno
  3. Znatno manja površina napada u odnosu na OpenVPN i IPSec
  4. Bolja izvedba

Iako je manja baza koda doista prednost, ona odražava i neka ograničenja, o čemu ćemo raspravljati u nastavku.

3. Poboljšanje performansi

Brzina može biti ograničavajući faktor kod VPN-a iz više različitih razloga. WireGuard osmišljen je da ponudi značajna poboljšanja u području performansi:

Kombinacija kriptografskih primitiva iznimno velike brzine i činjenica da WireGuard živi unutar Linux kernela znači da sigurno umrežavanje može biti vrlo brzo. Prikladan je za male ugrađene uređaje poput pametnih telefona i potpuno opterećene okosnice usmjerivača.

Teoretski, WireGuard bi trebao ponuditi poboljšane performanse na način:

  • Veće brzine
  • Bolji vijek trajanja baterije s telefonima / tabletima
  • Bolja podrška u roamingu (mobilni uređaji)
  • Više pouzdanosti
  • Brži pri uspostavljanju veza / ponovnog povezivanja (brži stisak ruke)

WireGuard trebao bi biti koristan za korisnike mobilnih VPN-a. Pomoću WireGuarda, ako vaš mobilni uređaj promijeni mrežna sučelja, kao što je prebacivanje s WiFi-a na mobilne / ćelijske podatke, veza će ostati sve dok VPN klijent nastavi slati ovjerene podatke na VPN poslužitelj..

4. Jednostavna upotreba na više platformi

Iako još nije spreman za premijeru, WireGuard bi trebao vrlo dobro raditi na različitim platformama. WireGuard podržava Mac OS, Android, iOS i Linux, a podrška za Windows još uvijek je u razvoju.

Još jedna zanimljivost značajke WireGuarda je da on koristi javne ključeve za identifikaciju i šifriranje, dok OpenVPN koristi certifikate. Ovo stvara probleme zbog korištenja WireGuarda u VPN klijentu, poput stvaranja i upravljanja ključevima.

Procjene WireGuard-a

usluga čuvara vpnIako WireGuard nudi brojne uzbudljive prednosti, trenutačno ima neke značajne nedostatke.

1. Još uvijek pod „teškim“ razvojem, nije spremna, nije revidirana

Unatoč činjenici da je WireGuard i dalje pod „teškim razvojem“ i još nije spreman za opću upotrebu, mnogi ljudi ga žele koristiti odmah kao svoj primarni VPN protokol. Možete pronaći puno WireGuard promocija na redditu i raznim forumima - tj. Juriti za najnovijim VPN trendom.

Moramo istaknuti da WireGuard nije dovršen, nije prošao sigurnosnu reviziju, a programeri izričito upozoravaju na povjerenje trenutnom kodu:

WireGuard još nije dovršen. Ne biste se trebali oslanjati na ovaj kôd. Nije prošla odgovarajuće stupnjeve revizije sigurnosti i protokol je još uvijek podložan promjenama. Radimo na stabilnom izdanju 1.0, ali to vrijeme još nije došlo.

Bez obzira na to, trenutačno se nalazi nekoliko VPN-ova koji se pripremaju ili nude podršku za WireGuard. U ovom trenutku, međutim, trebali biste koristiti samo WireGuard samo u svrhu testiranja.

2. Pitanja i evidencije o privatnosti WireGuarda

Iako WireGuard može ponuditi prednosti u pogledu performansi i sigurnosti, dizajn nije dobar za privatnost.

Brojni davatelji VPN-a izrazili su zabrinutost zbog mogućnosti WireGuarda da se koristi bez zapisnika i kako to može utjecati na privatnost korisnika.

AzireVPN, jedan od prvih VPN-ova koji su implementirali WireGuard, imao je to za reći prošle godine:

Na AzireVPN-u nam je stalo do naše politike zapisivanja bez obzira što svi naši poslužitelji rade na hardveru bez diska i sve datoteke dnevnika su pipirane na / dev / null.

Ali kad je u pitanju WireGuard, zadano ponašanje je imati krajnju točku i dozvoljeni-ip vidljiv na sučelju poslužitelja, što zapravo ne funkcionira s našim pravilima o privatnosti. Ne bismo trebali znati za vaš izvorni IP i ne možemo prihvatiti da se to vidi na našim poslužiteljima.

 pokušao je zaobići ove probleme angažirajući Jason Donenfelda da "napiše rootkit modul koji uklanja sposobnost običnog administratora sustava za upit o krajnjoj točki ili dopuštene ip podatke o vršnjacima WireGuarda i onemogućuje mogućnost pokretanja tcpdump" (vidi ovdje).

Savršena privatnost tvrdio da je WireGuard „Nije korisno bez trupaca“ u zanimljivo:

WireGuard nema dinamično upravljanje adresama, adrese klijenata su fiksne. To znači da bismo morali registrirati svaki aktivni uređaj naših kupaca i dodijeliti statičke IP adrese na svakom našem VPN poslužitelju. Pored toga, morali bismo pohraniti posljednju vremensku oznaku za prijavu za svaki uređaj da bismo ponovno dobili neiskorištene IP adrese. Naši korisnici tada ne bi mogli povezati vaše uređaje nakon nekoliko tjedana jer bi adrese bile dodijeljene.

Naročito nam je važno to što uopće ne stvaramo i ne pohranjujemo zapisnike veza. Stoga ne možemo pohraniti gore navedene podatke o registraciji i prijavi koji bi trenutno bili potrebni za funkcioniranje WireGuarda.

VPN.ac postavila je sličnu zabrinutost zbog nedostataka WireGuarda u pogledu privatnosti korisnika:

Pitanja privatnosti: dizajn DesignGuard nije prikladan za nijednu / ograničenu politiku bilježenja. Konkretno, posljednja javna IP adresa korisnika spremala bi se u grupu s kojom se povezivao i ne može se ukloniti u roku jednog dana prema našim trenutnim pravilima o privatnosti. Kasnije ćemo vjerojatno napraviti podešavanje izvornog koda kako bismo sanirali ili uklonili posljednji korišteni javni IP.

ExpressVPN je još jedna VPN usluga koja je izrazila zabrinutost zbog dizajniranja WireGuarda njegovih posljedica na privatnost:

Jedan od izazova s ​​kojim je WireGuard suočen je osigurati anonimnost VPN-ova. Ni jednom korisniku ne bi trebao statički dodijeliti jednu IP adresu, niti na javnoj niti u virtualnoj mreži. Korisnikovu internu IP adresu mogao bi otkriti protivnik (na primjer, putem WebRTC-a) koji bi je potom mogao uskladiti s zapisima stečenim od pružatelja VPN-a (krađom, prodajom ili legalnim oduzimanjem). Dobar VPN ne smije biti u mogućnosti uspoređivati ​​takav identifikator s jednim korisnikom. Trenutno, ovo postavljanje nije lako postići putem WireGuarda.

ExpressVPN će podržavati napore za pregled i reviziju WireGuard koda, kao što smo to činili u prošlosti s OpenVPN-om. Doprinosićemo kod i prijaviti greške kad god možemo i izravno razviti pitanja sigurnosti i privatnosti izravno s razvojnim timom.

AirVPN također je zabranio za implikacije anonimnosti WireGuarda, kako je objašnjeno na njihovom forumu:

Provodnik žičara, u svom trenutnom stanju, ne samo da je opasan jer nema osnovne značajke i predstavlja eksperimentalni softver, nego također opasno slabi sloj anonimnosti. Naša usluga ima za cilj pružiti neki sloj anonimnosti, stoga ne možemo uzeti u obzir nešto što ga tako duboko slabi.

Rado ćemo uzeti u obzir Wireguard kada dosegne stabilno izdanje I nudi barem najosnovnije opcije koje OpenVPN može ponuditi od prije 15 godina. Infrastruktura se može prilagoditi, naša misija ne može.

Na svojim forumima dodatno su objasnili zašto WireGuard jednostavno ne ispunjava njihove zahtjeve:

  • Wireguard-u nedostaje dinamično upravljanje IP adresama. Klijentu je potrebno unaprijed dodijeliti unaprijed definiranu VPN IP adresu koja je na svakom VPN poslužitelju jedinstveno povezana s njegovim ključem. Utjecaj na sloj anonimnosti je katastrofalan;
  • Wireguard klijent ne provjerava identitet poslužitelja (značajka je toliko bitna da će se sigurno primijeniti kada Wireguard više neće biti eksperimentalni softver); utjecaj na sigurnost uzrokovan ovom pogreškom vrlo je velik;
  • TCP podrška ne postoji (treća strana ili je u svakom slučaju potreban dodatni kôd da bi se TCP koristio kao protokol za tuneliranje, kao što sugerirate, a to je užasna regresija u usporedbi s OpenVPN);
  • ne postoji podrška za povezivanje Wireguarda na VPN poslužitelj preko nekog proxyja s različitim metodama provjere autentičnosti.

Unatoč tim zabrinutostima, mnoge VPN usluge već uvedu punu WireGuard podršku. Ostale VPN-ove promatraju projekt i zainteresirane su za implementaciju WireGuarda nakon što je on temeljito revidiran i poboljšan.

U međuvremenu, međutim, kako je AirVPN izjavio na svom forumu:

"Nećemo koristiti naše kupce kao testere."

3. Novo i neprovjereno

Naravno, OpenVPN ima svojih problema, ali ima i dugo iskustvo i dokazan je VPN protokol s opsežnom revizijom. Dok Donenfeld u raznim intervjuima može nazvati OpenVPN "zastarjelim", drugi ga mogu smatrati dokazanim i pouzdanim - kvalitetama koje trenutno nedostaju WireGuardu.

Prvotno objavljen 2001., OpenVPN ima vrlo dugu povijest. OpenVPN također ima koristi od velike korisničke baze i aktivnog razvoja uz redovna ažuriranja. U svibnju 2017. prošla je veliku reviziju OSTIF-a, Fonda za unapređenje tehnologije s otvorenim kodom.

U ovom se trenutku čini da je WireGuard više nišni projekt - ali onaj s potencijalom za industriju. Vrlo je novo i još nije u fazi „teškog razvoja“, iako je prošao formalnu provjeru. Iako je WireGuard službeno objavljen, korisnici bi bili mudri postupiti oprezno.

4. Ograničeno usvajanje (za sada)

Kao što smo gore opisali, postoje neke velike prepreke u načinu usvajanja WireGuarda u cijeloj industriji:

  • Problem s upravljanjem i distribucijom ključeva (umjesto korištenjem certifikata).
  • WireGuard treba vlastitu infrastrukturu, odvojenu od postojećih OpenVPN poslužitelja.
  • Kompatibilnost s postojećim operacijama. Za davatelje koji su izgradili svoje usluge i značajke oko OpenVPN-a, WireGuard uskoro neće biti na karticama.

Savršena privatnost da WireGuard nije kompatibilna s njihovim postojećim značajkama na strani poslužitelja, poput multi-hop VPN kaskada, TrackStop i NeuroRouting. Unatoč tome, obratio sam se Perfect Privacy i potvrdili su da kasnije mogu podržati WireGuard kao samostalnu opciju..

Slično tome, AirVPN je također izjavio da je WireGuard "potpuno neupotrebljiv" sa svojom infrastrukturom:

Trenutno je potpuno neupotrebljiv u našoj infrastrukturi jer mu nedostaje TCP podrška, nedostaje mu dinamičko dodjeljivanje VPN IP-a i (barem nadogradnja koju smo vidjeli) nedostaje strogo potrebna sigurnosna značajka (provjera CA certifikata koji je pružio poslužitelj, pa klijent ne može biti siguran da se na s druge strane neki neprijateljski entitet ne lažno predstavlja VPN poslužitelj).

Zaključak: ne preporučuje se

S obzirom na trenutno stanje WireGuarda, implikacije na privatnost i činjenicu da nije revidirana, WireGuard se ne preporučuje za redovitu upotrebu.

Nadalje, problemi s privatnošću koji su urođeni WireGuardom (po dizajnu!) Glavni su nedostatak.

To se vjerojatno neće poboljšati i prisiljava VPN usluge na stvaranje nekakvog jedinstvenog out-of-the-box rješenja, kako bi to moglo raditi sa svojim pravilima bez zapisnika, kao što smo vidjeli gore s AzireVPN-om. Taj nedostatak ne utječe na OpenVPN.

Ipak, WireGuard može biti idealan za neke korisnike, ovisno o njihovom modelu prijetnji i specifičnim potrebama. U ovom trenutku, međutim, bilo bi pametno redovito koristiti OpenVPN ili možda IPSec.

Koje VPN usluge podržavaju WireGuard?

Evo VPN-ova koji trenutno podržavaju WireGuard ili su potvrdili da testiraju WireGuard s namjerom da podrže protokol kad je spreman:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (još uvijek u testiranju)
  7. Privatni pristup internetu (još uvijek u testiranju)

Sada ćemo detaljnije pogledati svaku od ovih WireGuard VPN usluga u nastavku.

1. AzireVPN - serveri WireGuard uživo

AzireVPN je VPN usluga sa sjedištem u Švedskoj koja je usmjerena na privatnost i sigurnost. Bio je jedan od prvih usvajanja WireGuarda i ima WireGuard odjeljak:

Razvili smo API za distribuciju ključeva i želimo uključiti WireGuard našem klijentu. Trenutno se ovaj protokol može koristiti u Windowsima, Linuxu, macOS-u, Androidu i usmjerivačima koji pokreću OpenWRT, ali podrška za Windows uskoro dolazi. Jednostavno se registrirajte da biste se povezali sa svim našim WireGuard poslužiteljima koji su dostupni na svakoj od naših lokacija.

Bilješka: AzireVPN trenutno podržava Windows korisnike putem treće strane TunSafe VPN klijenta. No, trenutačno nema službene podrške WireGuarda za Windows i programer preporučuje da ne koriste treće klijente:

Uskoro dolazi Windows klijent. U međuvremenu se toplo savjetuje da se držite podalje od Windows klijenata koji nisu objavljeni sa ove web stranice, jer mogu biti opasni za upotrebu, usprkos marketinškim naporima.

2. VPN.ac - LiveGuard poslužitelji uživo

je rumunjska VPN usluga koju koristim i testiram već duži niz godina (pogledajte pregled VPN.ac).

VPN.ac objavio je na svom blogu da su, nakon što su interno testirali WireGuard, odlučili podržati protokol. Kao što su objasnili na svom (blogu):

U početku će biti dostupan u beta verziji. Implementacija je pomalo izazovna zbog dizajna WireGuarda koji se ne može uklopiti u našu infrastrukturu..

Želimo da implementacija bude što bolja i jednostavnija od nule i potpuno automatizirana. Ovo zahtijeva prilično posla s zadnje strane: API-ji, tipke za sinkronizaciju poslužitelja i tako dalje. Nije lako kao pokretanje još jednog poslužitelja, ali definitivno izvedivo.

VPN.ac je postavio tri faze za potpuno integriranje WireGuarda u njihovu uslugu:

  • Prva faza: osmisliti i implementirati back-end API-je
  • Faza 2: dostupnost konfiguracijskih generatora za ručno postavljanje / klijentski softver treće strane
  • Treća faza: implementacija u naše VPN aplikacije klijenta

Ako želite testirati WireGuard pomoću VPN.ac, oni nude (pogledajte stranicu s FAQ-om) koja vam omogućava pretplatu s potpunom probnom pretplatom za tjedan dana u iznosu od 2 USD.

3. TorGuard - WireGuard poslužitelji uživo

TorGuard je američka VPN usluga za koju sam pronašao da nudi dobre performanse i brojne značajke, uključujući usluge e-pošte, namjenske IP adrese i pakete za strujanje..

Web stranica TorGuard sadrži različite vodiče za postavljanje TorGuarda na različite uređaje.

4. Mullvad - LiveGuard serveri uživo

najbolji vpn za žičare

Kao i AzireVPN, Mullvad je također sjedište u Švedskoj i bio je jedan od prvih VPN-a koji su implementirali WireGuard.

Mullvad trenutno podržava WireGuard na Linuxu, Mac OS-u, Androidu i nekim usmjerivačima. Također imaju veliku mrežu aktivnih WireGuard poslužitelja (ukupno 49) pored 281 OpenVPN poslužitelja.

https://mullvad.net/

5. IVPN - WireGuard poslužitelji uživo

ivpn žičara

IVPN je Gibraltarska VPN usluga koja također podržava WireGuard. Izgleda da je IVPN prvi dobavljač koji je ugradio WireGuard u svoje VPN klijente, kako objašnjavaju na svojoj web stranici, što je zanimljivo jer je kod još uvijek u fazi izrade. Kao što IVPN objašnjava na svojoj web stranici:

WireGuard dostupan je na našem macOS-u, iOS-u & Android klijenti. Možete se povezati i pomoću većine Linux distribucija. Trenutačno nije podržan WireGuard na Windowsima.

IVPN trenutno ima 10 lokacija WireGuard poslužitelja.

https://www.ivpn.net/

Ostali davatelji VPG mreža

Postoji i nekoliko različitih VPN usluga koje su javno izjavile svoje namjere za dodavanje WireGuarda, ali još nisu spremne za implementaciju.

NordVPN

NordVPN trenutno ne podržava WireGuard, ali ga aktivno testiraju i pripremaju se za izdanje kad bude spremno.

Privatni pristup internetu

Privatni pristup internetu veliki je pobornik WireGuarda i također je donirao za njega. Bez obzira na to, nije spreman aktivirati okidač i ponuditi WireGuard svojim korisnicima zbog trenutnog statusa i nedostatka revizije, kako su objasnili na redditu:

WireGuard je odličan, ali pod aktivnim je razvojem. To znači da postoje sigurnosni propusti koji čekaju da budu pronađeni, a moglo bi doći do ozbiljnih posljedica za VPN davatelje koji su rano usvojeni. Kršenje sigurnosti ili privatnosti rizik je koji ne možemo preuzeti kao organizacija.

Budućnost WireGuard VPN-a

Pa što budućnost ima za WireGuard VPN?

Nakon što se WireGuard u potpunosti izda, bude podvrgnut reviziji i odobren je za redovitu upotrebu, vjerojatno će i dalje steći popularnost - pod pretpostavkom da ga dobro primi VPN korisnička baza. S povećanjem popularnosti i potražnje, možete biti sigurni da će više VPN usluga ugraditi WireGuard u svoju infrastrukturu - čak i ako to dolazi s nekim rastućim bolovima. Iako mnoge od najboljih VPN usluga trenutno ne podržavaju WireGuard, to se s vremenom može promijeniti.

Zbog interesa korisnika već vidimo rane usvajače i razne VPN davatelje koji koriste njihovu implementaciju WireGuarda kao marketinški alat, uz prateća priopćenja za javnost (** kašalj ** samo radi testiranja **kašalj**). Ovaj će se trend vjerojatno nastaviti.

WireGuard može postati popularan protokol za mobilne korisnike, gdje doista nudi neke prednosti.

Ako želite isprobati ovaj novi VPN protokol, možete ga testirati s jednom od WireGuard VPN usluga gore. Svakako razmislite implikacije na privatnost i sigurnost s obzirom na trenutno stanje projekta. Sve dok WireGuard ne bude u potpunosti izdan i revidiran, bilo bi najbolje držati se OpenVPN ili IPSec za redovitu upotrebu.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me