WireGuard este un protocol de VPN de tunelare sigur pentru generație nouă, dezvoltat de Jason Donenfeld. Este un tunel de rețea securizat Layer 3 pentru IPv4 și IPv6 care folosește "protocoale criptografice moderne conservatoare". Este bazat pe UDP și are încorporat stealth, ceea ce îi permite să lovească prin firewall-uri. Modelul de autentificare pentru WireGuard se bazează pe SSH's autentified_keys.

În comparație cu protocoalele de tunel VPN consacrate, cum ar fi IPSec și OpenVPN, WireGuard este mic. Cu doar 3782 de linii de cod (comparativ cu 329.853 pentru OpenVPN), dimensiunea economică a WireGuard facilitează auditul. Aceasta înseamnă că verificarea securității platformei este mult mai puțin costisitoare și poate fi efectuată după-amiază de o singură persoană.

WireGuard este proiectat să fie un VPN cu scop general pentru rularea pe interfețe încorporate. Deși WireGuard a fost inițial proiectat pentru kernel-ul Linux, acum a fost implementat pentru Android, MacOS și Windows. De fapt, WireGuard este lăudat ca o aplicație VPN mobilă - deoarece caracteristicile sale sigure înseamnă că nu transmite niciodată pachete decât dacă există date efective care trebuie trimise. Rezultatul este că, spre deosebire de alte protocoale VPN, care sunt înfometate, WireGuard nu scurge constant bateria.

Protejă 2

Ce este diferit despre WireGuard?

Dezvoltatorul WireGuard, Jason Donenfeld, este fondatorul Edge Security. Și-a tăiat dinții în industria securității, lucrând în aplicații ofensive și defensive. El a dezvoltat metode de exfiltrare a kitului de rute care i-au permis să rămână în interiorul unei rețele fără a fi detectat.


„Când vă aflați într-o rețea care face un test de evaluare și penetrare a unei echipe roșii, doriți să puteți menține o persistență în rețea pe toată durata misiunii. Vrei să poți exfiltra datele într-un mod sigur - astfel încât să poți evita detectarea - și să scoți datele într-un mod sigur și nedetectat. "

Donenfeld spune că pe parcursul activității sale de securitate, a devenit conștient că metodele sale pot fi implementate și pentru comunicații sigure:

„Mi-am dat seama că multe din aceleași tehnici de care aveam nevoie pentru o exfiltrare sigură sunt de fapt perfecte pentru un VPN defensiv. Așadar, WireGuard are o mulțime de aceste funcții fantastice frumoase, încorporate acolo unde nu o poți scana pe internet, este nedetectabil dacă nu știi unde se află. Nu va răspunde la pachete neautentificate. ”

Rezultatul, potrivit lui Donenfeld, este un tunel VPN care este mai de încredere decât predecesorii săi și care se bazează pe un cod nou, spre deosebire de ceea ce el face referire drept „tehnologii datate din anii ’90”.

Foarte mic protecție de sârmă

De ce este Wireguard atât de mic?

Unul dintre obiectivele cheie ale Donenfeld în dezvoltarea WireGuard a fost menținerea codului simplu. Potrivit lui Donenfeld, aceasta s-a inspirat din lipsa sa generală de încredere în dimensiunea masivă a protocoalelor VPN existente. Vorbind despre OpenVPN și IPsec, Donenfeld a explicat:

„Chiar și după atâtea evaluări și echipe care verifică aceste baze de date, oamenii încă găsesc bug-uri, pentru că sunt prea mari și complexe.”

Donenfeld spune că dorința sa de a menține WireGuard minim și simplu a dus la dezvoltarea unei criptografii de protocol care are o „implementare minusculă”, cu exploatări și vulnerabilități mai puțin posibile:

„De exemplu, toate câmpurile din protocol au o lungime fixă, deci nu trebuie să avem analize. Și dacă nu există parsers, atunci nu există bug-uri parser. "

Pentru a vorbi despre criptografia în sine, clienții WireGuard (și clienții WireGuard, cum ar fi TunSafe) implementează primitive moderne dovedite, cum ar fi Curve25519 (pentru curba eliptică Diffie Hellman), ChaCha20 (pentru hashing), Poly1305 și BLAKE2 (pentru criptarea autentificată) și SipHash2-4 (pentru tabelele cu hash). Donenfeld spune că "important, nu există agilitate de cifrare". Aceasta este o parte cheie a protocolului care îl face mai sigur decât predecesorii săi.

"Dacă cifrarea este spartă, atunci faceți upgrade și nu permiteți cifrări rupte în rețea. Momentan aceste [primitive] sunt cele mai frumoase, dar dacă devin învechite în orice moment le vom schimba."

Un alt lucru interesant în privința Wireguard este că crește randamentul cu până la șase ori în comparație cu OpenVPN. În teorie, asta înseamnă că este mult mai bine pentru sarcini cu date intensive, cum ar fi jocuri sau streaming în HD.

Planuri mari

Planuri mari pentru WireGuard pe Linux

În prezent, WireGuard este un modul în afara arborelui pentru nucleul Linux - așa că atunci când achiziționați o distribuție Linux, acesta nu este preîncărcat ca XFS sau alți drivere. Acest lucru înseamnă că, dacă doriți să utilizați WireGuard, trebuie să urmăriți sursa și să o compilați singuri - sau să găsiți o sursă de încredere care a compilat-o deja pentru versiunea de kernel Linux..

Donenfeld vrea să se schimbe. Dezvoltatorul WireGuard dorește ca Linux să adauge codul în Kernel în mod implicit, astfel încât toate distribuțiile Linux să fie livrate cu acesta. Dacă propunerea pe care Donenfeld a depus-o marți trecute are succes, un set de patch-uri ar fi adăugate la nucleul Linux pentru a integra codul de tunel VPN sigur ca driver de rețea oficial.

Semne de întrebare

Puteți aștepta să vedeți WireGuard implementat într-un client VPN comercial oricând în curând?

Deocamdată WireGuard nu este încă dovedit. Deși a fost supusă unor verificări formale pentru implementarea sa criptografică, încă nu este considerată sigură. Acest lucru înseamnă că are un fel de parcurs înainte de a contesta OpenVPN.

Chiar și dezvoltatorii WireGuard admit:

„WireGuard nu este încă complet. Nu trebuie să vă bazați pe acest cod. Nu a fost supus unor grade adecvate de audit de securitate, iar protocolul este încă susceptibil de a fi modificat. Lucrăm spre o versiune de 1.0 stabilă, dar acest timp nu a venit încă. "

În plus, ne-manevrarea schimbului de chei de la WireGuard este o problemă pentru VPN-urile comerciale, care au nevoie de API-ul lor pentru a putea gestiona cheile de partajare între mai multe servere situate pe glob într-o manieră sigură și eficientă.

În ciuda acestui fapt, discuția despre adăugarea WireGuard la proiectul de kernel Linux este captivantă și arată că există speranțe mari pentru acest nou protocol VPN. Deocamdată, este probabil să rămână pe margine - folosit doar de către persoanele care doresc securitatea suplimentară implicată în configurarea propriului nod VPN.

Emanuel Morgan, CIO la NordVPN, spune că consideră că WireGuard este extrem de interesant, dar a declarat pentru ProPrivacy.com că furnizorii de VPN-uri comerciale vor trebui să „aștepte până când s-a maturizat suficient” înainte de a lua în considerare punerea în aplicare a acestuia:

„În momentul de față, lipsesc prea multe piese pentru a o implementa la scară și nu există nici un mod standard de a distribui cheile. Fără distribuirea cheilor, WireGuard este mai puțin de dorit ca aplicație VPN comercială.

"Utilizatorii trebuie să fie siguri că se conectează la un server VPN legitim și certificatele de server OpenVPN rezolvă această problemă într-un mod simplu, sigur și eficient. "

Credite de imagine: New Design Illustrations / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me