Co to jest protokół WireGuard VPN?

WireGuard to protokół VPN nowej generacji do bezpiecznego tunelowania, opracowany przez Jasona Donenfelda. Jest to bezpieczny tunel sieciowy warstwy 3 dla IPv4 i IPv6, który wykorzystuje "konserwatywne nowoczesne protokoły kryptograficzne". Jest oparty na UDP i ma wbudowany tryb ukrycia, który pozwala mu przebijać się przez zapory ogniowe. Model uwierzytelniania dla WireGuard oparty jest na kluczach uwierzytelnionych SSH.

W porównaniu do ustalonych protokołów tunelowania VPN, takich jak IPSec i OpenVPN, WireGuard jest niewielki. Ważący zaledwie 3782 wierszy kodu (w porównaniu do 329 853 dla OpenVPN), ekonomiczny rozmiar WireGuarda znacznie ułatwia kontrolę. Oznacza to, że sprawdzenie bezpieczeństwa platformy jest znacznie tańsze i może być wykonane po południu przez tylko jedną osobę.

WireGuard został zaprojektowany jako VPN ogólnego przeznaczenia do pracy na wbudowanych interfejsach. Chociaż WireGuard został pierwotnie zaprojektowany dla jądra Linuksa, teraz został zaimplementowany dla Androida, MacOS i Windows. W rzeczywistości WireGuard jest chwalony jako aplikacja mobilna VPN - ponieważ jego funkcje ukrywania oznaczają, że nigdy nie przesyła pakietów, chyba że istnieją rzeczywiste dane do wysłania. W rezultacie, w przeciwieństwie do innych protokołów VPN, które są energochłonne, WireGuard nie wyczerpuje baterii.

Wireguard 2

Czym różni się WireGuard?

Twórca WireGuard, Jason Donenfeld, jest założycielem Edge Security. Obciął zęby w branży bezpieczeństwa, pracując w ofensywie i obronie. Opracował metody ekstrakcji zestawu tras, które pozwoliły mu pozostać w sieci bez wykrycia.

„Gdy pracujesz w sieci, oceniając czerwony zespół i test penetracyjny, chcesz być w stanie utrzymać trwałość w sieci przez czas trwania zadania. Chcesz mieć możliwość ekstrakcji danych w sposób ukryty - aby uniknąć wykrycia - i wydobywania danych w bezpieczny i niewykryty sposób. ”

Donenfeld mówi, że w trakcie pracy nad bezpieczeństwem uświadomił sobie, że jego metody można również wdrożyć w celu bezpiecznej komunikacji:

„Zdałem sobie sprawę, że wiele tych samych technik, których potrzebowałem do bezpiecznej eksfiltracji, są w rzeczywistości idealne dla defensywnej sieci VPN. WireGuard ma wiele wbudowanych funkcji ukrywania się, w których nie można skanować go w Internecie. Jest niewykrywalny, chyba że wiesz, gdzie on jest. Nie reaguje na nieuwierzytelnione pakiety ”.

Według Donenfelda wynikiem jest tunel VPN, który jest bardziej godny zaufania niż jego poprzednicy i opiera się na nowym kodzie, w przeciwieństwie do tego, co nazywa „przestarzałymi technologiami z lat 90.”.

Bardzo mały Wireguard

Dlaczego Wireguard jest taki mały??

Jednym z kluczowych celów Donenfelda w rozwoju WireGuard było uproszczenie kodu. Według Donenfelda było to zainspirowane jego ogólnym brakiem zaufania do ogromnych rozmiarów istniejących protokołów VPN. Mówiąc o OpenVPN i IPsec, Donenfeld wyjaśnił:

„Nawet po tak wielu ocenach i zespołach kontrolujących te bazy kodów ludzie wciąż znajdują błędy, ponieważ są po prostu zbyt duże i złożone”.

Donenfeld mówi, że jego pragnienie, aby WireGuard był minimalny i prosty, doprowadziło do opracowania kryptografii protokołu, która ma „małą implementację”, z mniej możliwymi exploitami i podatnościami:

„Na przykład wszystkie pola w protokole mają stałą długość, więc nie musimy mieć żadnych analizatorów składni. A jeśli nie ma parserów, to nie ma błędów parsera. ”

Mówiąc o samej kryptografii, WireGuard (i klienci WireGuard, tacy jak TunSafe) wdrażają sprawdzone nowoczesne prymitywy, takie jak Curve25519 (dla krzywej eliptycznej Diffie Hellman), ChaCha20 (dla mieszania), Poly1305 i BLAKE2 (dla uwierzytelnionego szyfrowania) oraz SipHash2-4 (dla tablic skrótów). Donenfeld tak mówi "co ważne, nie ma zwinności szyfru". Jest to kluczowa część protokołu, która czyni go bardziej bezpiecznym niż jego poprzednicy.

"Jeśli szyfr jest zepsuty, dokonujesz aktualizacji i nie zezwalasz na zepsute szyfry w sieci. W tej chwili te [prymitywy] są najmilsze, ale jeśli staną się przestarzałe w dowolnym momencie, zmienimy je."

Kolejną ekscytującą rzeczą w Wireguard jest to, że zwiększa przepustowość nawet sześciokrotnie w porównaniu z OpenVPN. Teoretycznie oznacza to, że znacznie lepiej nadaje się do zadań wymagających dużej ilości danych, takich jak gry lub przesyłanie strumieniowe w HD.

Wielkie plany

Wielkie plany dotyczące WireGuard w systemie Linux

Obecnie WireGuard jest modułem „out of tree” dla jądra Linuksa - więc przy zakupie dystrybucji Linuksa nie jest on fabrycznie załadowany jak XFS lub inne sterowniki. Oznacza to, że jeśli chcesz korzystać z WireGuard, musisz wyśledzić źródło i samodzielnie je skompilować - lub znaleźć godne zaufania źródło, które już je skompilowało dla twojej wersji jądra Linuksa.

Donenfeld chce, żeby to się zmieniło. Twórca WireGuard chce, aby Linux domyślnie dodał kod do jądra, aby wszystkie dystrybucje Linuksa były dostarczane wraz z nim. Jeśli propozycja złożona przez Donenfeld w zeszły wtorek się powiedzie, do jądra Linuksa zostanie dodany zestaw łatek w celu zintegrowania bezpiecznego kodu tunelowania VPN jako oficjalnego sterownika sieciowego.

Znaki zapytania

Czy możesz spodziewać się, że WireGuard zostanie wdrożony w komercyjnym kliencie VPN w najbliższym czasie?

Na razie WireGuard jest wciąż niesprawdzony. Chociaż został poddany formalnej weryfikacji pod kątem jego kryptograficznej implementacji, nie jest jeszcze uważany za bezpieczny. Oznacza to, że ma jeszcze wiele do zrobienia, zanim będzie stanowić wyzwanie dla OpenVPN.

Nawet programiści WireGuard przyznają, że:

„WireGuard nie jest jeszcze ukończony. Nie powinieneś polegać na tym kodzie. Nie przeszedł odpowiedniego stopnia kontroli bezpieczeństwa, a protokół nadal może ulec zmianie. Pracujemy nad stabilną wersją 1.0, ale ten czas jeszcze nie nadszedł. ”

Ponadto brak obsługi wymiany kluczy przez WireGuard stanowi problem dla komercyjnych sieci VPN, które potrzebują swojego interfejsu API, aby móc obsługiwać udostępnianie kluczy między wieloma serwerami na całym świecie w bezpieczny i wydajny sposób.

Mimo to rozmowa o dodaniu WireGuard do projektu jądra Linuksa jest ekscytująca i pokazuje, że istnieją duże nadzieje na ten nowatorski protokół VPN. Na razie prawdopodobnie pozostanie na marginesie - używany tylko przez osoby, które chcą dodatkowego bezpieczeństwa związanego z konfiguracją własnego węzła VPN.

Emanuel Morgan, CIO w NordVPN, mówi, że uważa WireGuard za bardzo interesujący, ale powiedział ProPrivacy.com, że komercyjni dostawcy VPN będą musieli „poczekać, aż dojrzeje”, zanim rozważą wdrożenie:

„W chwili obecnej brakuje zbyt wielu części, aby wdrożyć go na dużą skalę i nie ma standardowego sposobu dystrybucji kluczy. Bez dystrybucji kluczy WireGuard jest mniej pożądany jako komercyjna aplikacja VPN.

"Użytkownicy muszą mieć pewność, że łączą się z legalnym serwerem VPN, a certyfikaty serwera OpenVPN rozwiązują ten problem w prosty, bezpieczny i wydajny sposób. ”

Zdjęcia: New Design ilustracje / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me