wireguard


WireGuard is een interessant nieuw VPN-protocol dat de VPN-industrie aanzienlijk kan veranderen. In vergelijking met bestaande VPN-protocollen, zoals OpenVPN en IPSec, biedt WireGuard mogelijk hogere snelheden en betere betrouwbaarheid met nieuwe en verbeterde coderingsstandaarden.

Hoewel het een aantal veelbelovende functies biedt op het gebied van eenvoud, snelheid en cryptografie, heeft WireGuard ook enkele opmerkelijke nadelen, die we hieronder uitvoerig zullen bespreken.

In deze vijfdelige WireGuard VPN-gids behandelen we:

  1. Wat is WireGuard
  2. WireGuard Pro's
  3. WireGuard Nadelen (waarom het nog niet wordt aanbevolen)
  4. Welke VPN-providers ondersteunen momenteel WireGuard
  5. De toekomst van WireGuard

Dus laten we erin duiken!

Wat is WireGuard?

WireGuard is een nieuw, experimenteel VPN-protocol dat als doel heeft een eenvoudiger, snellere en veiligere oplossing te bieden voor VPN-tunneling dan de bestaande VPN-protocollen. WireGuard heeft enkele grote verschillen in vergelijking met OpenVPN en IPSec, zoals de codegrootte (minder dan 4000 regels!), Snelheid en coderingsstandaarden.

De ontwikkelaar achter WireGuard is Jason Donenfeld, de oprichter van Edge Security. (De term "WireGuard" is ook een gedeponeerd handelsmerk van Donenfeld.) In een interview dat ik zag, zei Donenfeld dat het idee voor WireGuard kwam toen hij in het buitenland woonde en een VPN voor Netflix nodig had.

Waarom is er zoveel geroezemoes rondom WireGuard?

Welnu, het biedt een aantal potentiële voordelen ten opzichte van bestaande VPN-protocollen, zoals we hieronder verder zullen bespreken. Het heeft zelfs de aandacht getrokken van Linus Torvalds, de ontwikkelaar achter Linux, die dit te zeggen had in de Linux Kernel Mailing List:

Kan ik gewoon nogmaals mijn liefde voor [WireGuard] uitspreken en hopen dat deze snel wordt samengevoegd? Misschien is de code niet perfect, maar ik heb hem afgeroomd en vergeleken met de gruwelen die OpenVPN en IPSec zijn, is het een kunstwerk.

Laten we eerst de voordelen van WireGuard bekijken.

WireGuard Pro's

Hier zijn enkele van de 'pluspunten' die WireGuard biedt:

1. Bijgewerkte codering

Zoals uitgelegd in verschillende interviews, wilde Jason Donenfeld een upgrade uitvoeren van wat hij als "verouderde" protocollen beschouwde met OpenVPN en IPSec. WireGuard gebruikt de volgende protocollen en primitieven, zoals beschreven op haar website:

  • ChaCha20 voor symmetrische codering, geverifieerd met Poly1305, met behulp van RFC7539's AEAD-constructie
  • Curve25519 voor ECDH
  • BLAKE2s voor hashing en keyed hashing, beschreven in RFC7693
  • SipHash24 voor hashtable sleutels
  • HKDF voor sleutelafleiding, zoals beschreven in RFC5869

U kunt meer informatie vinden over de moderne cryptografie van WireGuard op de officiële website of in de technische whitepaper.

2. Eenvoudige en minimale codebasis

WireGuard onderscheidt zich echt door zijn codebasis, die momenteel ongeveer 3.800 regels heeft. Dit staat in schril contrast met OpenVPN en OpenSSL, die samen ongeveer 600.000 lijnen hebben. IPSec is ook omvangrijk met ongeveer 400.000 lijnen in totaal met XFRM en StrongSwan samen.

Wat zijn de voordelen van een kleinere codebasis?

  1. Het is veel eenvoudiger om te controleren. OpenVPN zou vele dagen nodig hebben om een ​​audit uit te voeren. Eén persoon kan de codebase van WireGuard binnen enkele uren lezen.
  2. Gemakkelijker te controleren = gemakkelijker om kwetsbaarheden te vinden, wat helpt WireGuard veilig te houden
  3. Veel kleiner aanvalsoppervlak in vergelijking met OpenVPN en IPSec
  4. Betere prestatie

Hoewel de kleinere codebasis inderdaad een voordeel is, weerspiegelt het ook enkele beperkingen, zoals we hieronder zullen bespreken.

3. Prestatieverbeteringen

Snelheden kunnen een beperkende factor zijn met VPN's - om verschillende redenen. WireGuard is ontworpen om aanzienlijke verbeteringen op het gebied van prestaties te bieden:

Een combinatie van extreem snelle cryptografische primitieven en het feit dat WireGuard in de Linux-kernel woont, betekent dat veilig netwerken zeer snel kan zijn. Het is geschikt voor zowel kleine ingebedde apparaten zoals smartphones als volledig geladen backbone-routers.

Theoretisch zou WireGuard verbeterde prestaties moeten bieden op het gebied van:

  • Hogere snelheden
  • Betere levensduur van de batterij met telefoons / tablets
  • Betere ondersteuning voor roaming (mobiele apparaten)
  • Meer betrouwbaarheid
  • Sneller verbindingen tot stand brengen / opnieuw verbinden (snellere handshake)

WireGuard zou voordelig moeten zijn voor mobiele VPN-gebruikers. Met WireGuard blijft uw verbinding behouden als uw mobiele apparaat netwerkinterfaces verandert, zoals het overschakelen van WiFi naar mobiele / mobiele gegevens, zolang de VPN-client geverifieerde gegevens naar de VPN-server blijft verzenden..

4. Platformoverschrijdend gebruiksgemak

Hoewel nog niet klaar voor prime time, zou WireGuard heel goed moeten werken op verschillende platforms. WireGuard ondersteunt Mac OS, Android, iOS en Linux, met Windows-ondersteuning nog in ontwikkeling.

Een ander interessant kenmerk van WireGuard is dat het openbare sleutels gebruikt voor identificatie en codering, terwijl OpenVPN certificaten gebruikt. Dit veroorzaakt echter wel enkele problemen bij het gebruik van WireGuard in een VPN-client, zoals het genereren en beheren van sleutels.

WireGuard Cons

wireguard VPN-serviceHoewel WireGuard vele opwindende voordelen biedt, heeft het momenteel enkele opmerkelijke nadelen.

1. Nog steeds in "zware" ontwikkeling, niet klaar, niet gecontroleerd

Ondanks het feit dat WireGuard nog steeds 'zwaar ontwikkeld' is en nog niet klaar is voor algemeen gebruik, zijn er veel mensen die het meteen willen gebruiken als hun primaire VPN-protocol. Je kunt veel WireGuard-promotie vinden op reddit en op verschillende forums, d.w.z. de nieuwste VPN-trend volgen.

Er moet op worden gewezen dat WireGuard niet compleet is, geen beveiligingsaudit heeft doorstaan ​​en de ontwikkelaars waarschuwen expliciet voor het vertrouwen in de huidige code:

WireGuard is nog niet compleet. Vertrouw niet op deze code. Het heeft geen goede beveiligingscontroles ondergaan en het protocol kan nog worden gewijzigd. We werken aan een stabiele 1.0-release, maar die tijd is nog niet gekomen.

Desalniettemin zijn er nu een handvol VPN's die zich gereed maken of WireGuard-ondersteuning bieden. Op dit moment moet u echter alleen WireGuard gebruiken alleen voor testdoeleinden.

2. Draadsbeperkingen en logboeken van WireGuard

Hoewel WireGuard voordelen kan bieden op het gebied van prestaties en beveiliging, is het qua ontwerp niet goed voor de privacy.

Een aantal VPN-providers hebben hun bezorgdheid geuit over het vermogen van WireGuard om zonder logboeken te worden gebruikt en hoe dit de privacy van gebruikers kan beïnvloeden.

AzireVPN, een van de eerste VPN's die WireGuard implementeerden, zei vorig jaar:

Bij AzireVPN geven we om ons beleid om niet te loggen, daarom draaien al onze servers op schijfloze hardware en worden alle logboekbestanden doorgestuurd naar / dev / null.

Maar als het gaat om WireGuard is het standaardgedrag om eindpunt en toegestaan-ip zichtbaar te hebben in de serverinterface, wat niet echt werkt met ons privacybeleid. We moeten niets weten over uw bron-IP en kunnen niet accepteren dat deze zichtbaar is op onze servers.

 heeft geprobeerd deze problemen te omzeilen door Jason Donenfeld in te huren om “een rootkit-achtige module te schrijven die de mogelijkheid van een gewone systeembeheerder om informatie over eindpunt- of toegestane IP-adressen over WireGuard-peers op te vragen en de mogelijkheid om tcpdump uit te schakelen, uitschakelt” (zie hier).

Perfecte privacy beweerde dat WireGuard dat is “Niet bruikbaar zonder logs” in een interessante:

WireGuard heeft geen dynamisch adresbeheer, de klantadressen zijn vast. Dat betekent dat we elk actief apparaat van onze klanten moeten registreren en de statische IP-adressen op elk van onze VPN-servers moeten toewijzen. Bovendien moeten we voor elk apparaat de laatste aanmeldingstijdstempel opslaan om ongebruikte IP-adressen terug te vorderen. Onze gebruikers zouden dan na enkele weken geen verbinding meer kunnen maken met uw apparaten omdat de adressen opnieuw zouden zijn toegewezen.

We vinden het bijzonder belangrijk dat we helemaal geen verbindingslogboeken maken of opslaan. Daarom kunnen we de bovenstaande registratie- en inloggegevens niet opslaan die momenteel nodig zijn om WireGuard te laten werken.

VPN.ac heeft vergelijkbare zorgen geuit over de tekortkomingen van WireGuard met betrekking tot de privacy van gebruikers:

Privacyoverwegingen: door het ontwerp is WireGuard niet geschikt voor geen / beperkt logbeleid. In het bijzonder zou het laatste openbare IP-adres van de gebruiker worden opgeslagen op de server die wordt gebruikt om verbinding mee te maken en het kan niet binnen een dag worden verwijderd volgens ons huidige privacybeleid. Op een later tijdstip zullen we waarschijnlijk enkele aanpassingen in de broncode aanbrengen om het laatst gebruikte openbare IP-adres op te schonen of te verwijderen.

ExpressVPN is een andere VPN-service die bezorgdheid uitte over het ontwerp van WireGuard en de implicaties voor privacy:

Een van de uitdagingen van WireGuard is het waarborgen van anonimiteit voor VPN's. Geen enkele gebruiker mag statisch een enkel IP-adres krijgen, noch op een openbaar, noch op een virtueel netwerk. Het interne IP-adres van een gebruiker kan worden ontdekt door een tegenstander (bijvoorbeeld via WebRTC), die het vervolgens kan koppelen aan records die zijn verkregen van een VPN-provider (door diefstal, verkoop of gerechtelijke inbeslagname). Een goede VPN moet een dergelijke identificatie niet aan één gebruiker kunnen koppelen. Momenteel is deze installatie niet gemakkelijk te bereiken met WireGuard.

ExpressVPN zal inspanningen ondersteunen om de WireGuard-code te herzien en te controleren, zoals we in het verleden hebben gedaan met OpenVPN. We zullen code bijdragen en bugs rapporteren wanneer we maar kunnen en beveiligings- en privacykwesties rechtstreeks met het ontwikkelteam bespreken.

AirVPN heeft ook ingehaald over de implicaties van WireGuard voor anonimiteit, zoals uitgelegd op hun forum:

Wireguard is in zijn huidige staat niet alleen gevaarlijk omdat het basisfuncties mist en experimentele software is, maar het verzwakt ook gevaarlijk de anonimiteitslaag. Onze service is bedoeld om een ​​anonimiteitslaag te bieden, daarom kunnen we geen rekening houden met iets dat het zo diep verzwakt.

We houden graag rekening met Wireguard wanneer het een stabiele release bereikt EN biedt ten minste de meest elementaire opties die OpenVPN sinds 15 jaar geleden kan bieden. De infrastructuur kan worden aangepast, onze missie niet.

In hun fora, verder uitgelegd waarom WireGuard gewoon niet voldoet aan hun eisen:

  • Wireguard mist dynamisch IP-adresbeheer. De client moet vooraf een vooraf gedefinieerd VPN IP-adres toegewezen krijgen dat uniek gekoppeld is aan zijn sleutel op elke VPN-server. De impact op de anonimiteitslaag is catastrofaal;
  • Wireguard-client verifieert de serveridentiteit niet (een functie die zo essentieel is dat deze zeker zal worden geïmplementeerd wanneer Wireguard geen experimentele sofware meer zal zijn); de impact op de beveiliging als gevolg van deze fout is zeer groot;
  • TCP-ondersteuning ontbreekt (derde partij of hoe dan ook aanvullende code is vereist om TCP te gebruiken als het tunnelingprotocol, zoals u suggereert, en dat is een vreselijke regressie in vergelijking met OpenVPN);
  • er is geen ondersteuning om Wireguard met een VPN-server te verbinden via een proxy met verschillende verificatiemethoden.

Ondanks deze zorgen, zijn veel VPN-services nu al beschikbaar voor volledige ondersteuning van WireGuard. Andere VPN's volgen het project en zijn geïnteresseerd in het implementeren van WireGuard nadat het grondig is gecontroleerd en verbeterd.

In de tussentijd echter, zoals AirVPN in hun forum verklaarde:

"We zullen onze klanten niet als testers gebruiken."

3. Nieuw en niet getest

Natuurlijk, OpenVPN heeft zijn problemen, maar het heeft ook een lange staat van dienst en is een bewezen VPN-protocol met uitgebreide controle. Hoewel Donenfeld in verschillende interviews naar OpenVPN kan verwijzen als "verouderd", kunnen anderen het als bewezen en betrouwbaar beschouwen - kwaliteiten die WireGuard momenteel mist.

OpenVPN, oorspronkelijk uitgebracht in 2001, heeft een zeer lange geschiedenis. OpenVPN profiteert ook van een groot gebruikersbestand en actieve ontwikkeling met regelmatige updates. In mei 2017 onderging het een grote audit door OSTIF, het Open Source Technology Improvement Fund.

Op dit moment lijkt WireGuard meer een nicheproject te zijn - maar een project met potentieel voor de industrie. Het is erg nieuw en bevindt zich nog niet in de fase van de "zware ontwikkeling", hoewel het een formele verificatie heeft ondergaan. Zelfs nadat WireGuard officieel is vrijgegeven, is het echter verstandig om voorzichtig te werk te gaan.

4. Beperkte adoptie (voorlopig)

Zoals we hierboven hebben besproken, zijn er enkele grote hindernissen bij de invoering van WireGuard in de hele industrie:

  • Het probleem met sleutelbeheer en distributie (in plaats van het gebruik van certificaten).
  • WireGuard heeft een eigen infrastructuur nodig, los van bestaande OpenVPN-servers.
  • Compatibiliteit met bestaande bewerkingen. Voor providers die hun service en functies rondom OpenVPN hebben opgebouwd, is WireGuard mogelijk niet snel beschikbaar.

Perfecte privacy dat WireGuard niet compatibel is met hun bestaande server-side functies, zoals multi-hop VPN-cascades, TrackStop en NeuroRouting. Desondanks heb ik contact gezocht met Perfect Privacy en ze hebben bevestigd dat ze WireGuard mogelijk op een later tijdstip als zelfstandige optie ondersteunen.

Op dezelfde manier verklaarde AirVPN ook dat WireGuard "volledig onbruikbaar" is met hun infrastructuur:

Op dit moment is het volledig onbruikbaar in onze infrastructuur omdat het TCP-ondersteuning mist, dynamische VPN IP-toewijzing ontbreekt, en (tenminste de build die we hebben gezien) een strikt noodzakelijke beveiligingsfunctie mist (verificatie van het CA-certificaat dat door de server wordt verstrekt, daarom kan de client er niet zeker van zijn dat op de andere kant imiteert een vijandige entiteit niet als een VPN-server).

Conclusie: niet aanbevolen

Gezien de huidige status van WireGuard, de implicaties voor de privacy en het feit dat het niet is gecontroleerd, wordt WireGuard niet aanbevolen voor regelmatig gebruik.

Bovendien zijn de privacykwesties die inherent zijn aan WireGuard (door het ontwerp!) Een groot nadeel.

Dit zal waarschijnlijk niet verbeteren en het dwingt VPN-services om een ​​soort van unieke out-of-the-box oplossing te maken om het te laten werken met hun no-logs beleid, zoals we hierboven zagen met AzireVPN. Dit nadeel heeft geen invloed op OpenVPN.

Niettemin kan WireGuard ideaal zijn voor sommige gebruikers, afhankelijk van hun dreigingsmodel en specifieke behoeften. Op dit moment is het echter verstandig om bij OpenVPN of misschien IPSec te blijven voor regelmatig gebruik.

Welke VPN-services ondersteunen WireGuard?

Hier zijn de VPN's die momenteel WireGuard ondersteunen of hebben bevestigd dat ze WireGuard testen met de bedoeling het protocol te ondersteunen wanneer het klaar is:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (nog in test)
  7. Private Internet Access (nog in test)

Nu zullen we elk van deze WireGuard VPN-services hieronder nader bekijken.

1. AzireVPN - WireGuard-servers live

AzireVPN is een in Zweden gevestigde VPN-service die gericht is op privacy en beveiliging. Het was een van de eerste gebruikers van WireGuard en heeft een WireGuard-sectie:

We hebben een API ontwikkeld voor sleuteldistributie en onderzoeken hoe WireGuard aan onze klant kan worden toegevoegd. Op dit moment kan dit protocol worden gebruikt op Windows, Linux, macOS, Android en routers met OpenWRT, maar ondersteuning voor Windows komt binnenkort. Meld u eenvoudig aan om verbinding te maken met al onze WireGuard-servers, beschikbaar op elk van onze locaties.

Notitie: AzireVPN ondersteunt momenteel Windows-gebruikers via de TunSafe VPN-client van derden. Er is momenteel echter geen officiële WireGuard-ondersteuning voor Windows en de ontwikkelaar beveelt aan geen externe clients te gebruiken:

Er komt binnenkort een Windows-client aan. In de tussentijd wordt u dringend geadviseerd om weg te blijven van Windows-clients die niet van deze site zijn vrijgegeven, omdat ze ondanks marketinginspanningen gevaarlijk kunnen zijn om te gebruiken.

2. VPN.ac - WireGuard-servers live

is een Roemeense VPN-service die ik al een aantal jaren gebruik en test (zie de VPN.ac review).

VPN.ac kondigde op hun blog aan dat ze, nadat ze WireGuard intern hadden getest, besloten hebben het protocol te ondersteunen. Zoals ze hebben uitgelegd op hun (blog):

In eerste instantie zal het beschikbaar zijn in bèta. De implementatie is een beetje uitdagend, vanwege het ontwerp van WireGuard waardoor het niet uit de doos in onze infrastructuur past.

We willen dat de implementatie vanaf het begin zo goed en eenvoudig mogelijk is en volledig geautomatiseerd. Dit vereist behoorlijk wat werk aan de achterkant: API's, servers die sleutels synchroniseren, enzovoort. Niet zo eenvoudig als het opstarten van nog een andere server, maar zeker uitvoerbaar.

VPN.ac heeft drie fasen uitgezet om WireGuard volledig in hun service te integreren:

  • Fase 1: ontwerp en implementeer de back-end API's
  • Fase 2: front-end beschikbaarheid van configuratiegenerator voor handmatige installatie / clientsoftware van derden
  • Fase 3: implementatie in onze VPN-client-apps

Als u WireGuard met VPN.ac wilt testen, bieden ze (zie pagina met veelgestelde vragen), waarmee u een volledig proefabonnement van één week krijgt voor $ 2.

3. TorGuard - WireGuard-servers live

TorGuard is een Amerikaanse VPN-service die naar mijn mening goede prestaties en veel functies biedt, waaronder e-mailservices, speciale IP-adressen en streamingbundels.

De TorGuard-website heeft verschillende handleidingen voor het instellen van TorGuard op verschillende apparaten.

4. Mullvad - WireGuard-servers live

beste VPN voor wireguard

Net als AzireVPN is Mullvad ook gevestigd in Zweden en was het een van de eerste VPN's die WireGuard implementeerde.

Mullvad ondersteunt momenteel WireGuard op Linux, Mac OS, Android en sommige routers. Ze hebben ook een groot netwerk van actieve WireGuard-servers (49 in totaal) naast 281 OpenVPN-servers.

https://mullvad.net/

5. IVPN - WireGuard-servers live

ivpn wireguard

IVPN is een op Gibraltar gebaseerde VPN-service die ook WireGuard ondersteunt. Het lijkt erop dat IVPN de eerste provider is die WireGuard heeft ingebouwd in hun eigen VPN-clients, zoals ze op hun website uitleggen, wat interessant is omdat de code nog in ontwikkeling is. Zoals IVPN uitlegt op haar website:

WireGuard is beschikbaar op onze macOS, iOS & Android-clients. Je kunt ook verbinding maken met de meeste Linux-distributies. WireGuard wordt momenteel niet ondersteund op Windows.

IVPN heeft momenteel 10 WireGuard-serverlocaties.

https://www.ivpn.net/

Andere WireGuard VPN-providers

Er zijn ook een paar verschillende VPN-services die publiekelijk hun intenties hebben aangekondigd om WireGuard toe te voegen, maar die nog niet klaar zijn voor implementatie.

NordVPN

NordVPN ondersteunt momenteel WireGuard niet, maar ze testen het actief en bereiden zich voor op een release wanneer het klaar is.

Prive internettoegang

Private Internet Access is een groot voorstander van WireGuard en heeft ook gedoneerd aan de zaak. Het is echter niet klaar om de trekker over te halen en WireGuard aan zijn gebruikers aan te bieden vanwege de huidige status en het ontbreken van een audit, zoals ze hebben uitgelegd op reddit:

WireGuard is geweldig, maar het is in actieve ontwikkeling. Dit betekent dat er beveiligingsbugs wachten om gevonden te worden, en er kunnen ernstige gevolgen zijn voor VPN-providers die early adopters zijn. Een inbreuk op de beveiliging of privacy is een risico dat we als organisatie niet kunnen nemen.

De toekomst van WireGuard VPN

Dus wat ziet de toekomst voor WireGuard VPN?

Zodra WireGuard volledig is vrijgegeven, wordt gecontroleerd en is vrijgegeven voor regelmatig gebruik, zal het waarschijnlijk aan populariteit blijven winnen - ervan uitgaande dat het goed wordt ontvangen door de VPN-gebruikersbasis. Met de toenemende populariteit en vraag, kunt u er zeker van zijn dat meer VPN-services WireGuard in hun infrastructuur zullen opnemen - zelfs als dat met wat groeipijnen gepaard gaat. Hoewel veel van de beste VPN-services momenteel geen ondersteuning bieden voor WireGuard, kan dit in de loop van de tijd veranderen.

Vanwege interesse van gebruikers zien we early adopters en verschillende VPN-providers al hun WireGuard-implementatie gebruiken als marketingtool, met bijbehorende persberichten (** hoest **) alleen voor het testen **hoesten**). Deze trend zal zich waarschijnlijk voortzetten.

WireGuard kan een populair protocol worden voor mobiele gebruikers, waar het inderdaad enkele voordelen biedt.

Als u dit nieuwe VPN-protocol wilt proberen, kunt u het testen met een van de WireGuard VPN-services hierboven. Overweeg de implicaties voor privacy en veiligheid gezien de huidige status van het project. Totdat WireGuard volledig is vrijgegeven en gecontroleerd, zou het echter het beste zijn om bij OpenVPN of IPSec te blijven voor regelmatig gebruik.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me