WireGuard je VPN protokol sigurnog tuneliranja nove generacije otvorenog koda koji je razvio Jason Donenfeld. To je sigurni mrežni tunel razine 3 za IPv4 i IPv6 koji koristi "konzervativni moderni kriptografski protokoli". Temeljen je na UDP-u i ima ugrađenu stealth koja mu omogućuje probijanje kroz vatrozidove. Model provjere autentičnosti za WireGuard zasnovan je na SSH-ovim potvrđenim ključevima.

U odnosu na uspostavljene VPN protokole za tuneliranje poput IPSec i OpenVPN, WireGuard je mali. Teži samo 3782 retka koda (u usporedbi s 329.853 za OpenVPN), ekonomska veličina WireGuarda znatno olakšava reviziju. To znači da je provjera sigurnosti platforme mnogo jeftinija, a može ih popodne obaviti samo jedna osoba.

WireGuard dizajniran je kao VPN opće namjene za izvođenje na ugrađenim sučeljima. Iako je WireGuard izvorno dizajniran za Linux Kernel, sada je implementiran za Android, MacOS i Windows. U stvari, WireGuard je hvaljen kao mobilna VPN aplikacija - jer njegove prikrivene značajke znače da nikada ne šalje pakete, osim ako postoje stvarni podaci koji se šalju. Rezultat je taj da za razliku od ostalih VPN protokola, koji su gladni napajanja, WireGuard ne prazni bateriju stalno.

Čuvarica 2

Po čemu se WireGuard razlikuje?

Jason Donenfeld, programer WireGuarda, osnivač je Edge Security-a. Rezao je zube u sigurnosnoj industriji radeći u uvredljivim i obrambenim aplikacijama. Razvio je metode eksfiltracije kompleta ruta koje su mu omogućile da ostane unutar mreže bez otkrivanja.


"Kada u mreži radite procjenu i prodornost testa crvene ekipe, želite biti uporni u mreži tijekom zadatka. Želite biti u mogućnosti izmamiti podatke neprimjetno - kako biste izbjegli otkrivanje - i izvadili podatke na siguran i neotkriven način. "

Donenfeld kaže da je tijekom svog sigurnosnog rada postao svjestan da se njegove metode mogu primijeniti i za sigurnu komunikaciju:

„Shvatio sam da je puno istih tehnika koje su mi potrebne za sigurnu eksfiltraciju zapravo savršene za obrambeni VPN. Dakle, WireGuard ima puno ovih lijepih prikrivenih značajki ugrađenih tamo gdje ih ne možete skenirati na internetu, to je neizrecivo, osim ako ne znate gdje je. Neće odgovoriti na neovlaštene pakete. "

Rezultat je, prema Donenfeldu, VPN tunel pouzdaniji od svojih prethodnika i zasnovan na novom kodu, za razliku od onoga što on naziva "datiranim tehnologijama iz 1990-ih".

Vrlo mala žičara

Zašto je Wireguard tako mali?

Jedan od glavnih ciljeva Donenfelda u razvoju WireGuarda bio je jednostavnost koda. Prema Donenfeldu, ovo je nadahnuto njegovim općim nedostatkom povjerenja u ogromnu veličinu postojećih VPN protokola. Govoreći o OpenVPN-u i IPsec-u, Donenfeld je objasnio:

"Čak i nakon toliko mnogo procjena i timova koji vrše reviziju tih baza podataka, ljudi i dalje pronalaze greške, jer su jednostavno preveliki i složeni."

Donenfeld kaže da je njegova želja da minimalnim i jednostavnim održavanjem WireGuarda dovela do razvoja kriptografije protokola koja ima „sitnu implementaciju“, s manje mogućeg iskorištavanja i ranjivosti:

"Na primjer, sva polja u protokolu su fiksne duljine, tako da ne moramo imati ni parser. A ako nema raščlanjivača, nema i pogrešaka za raščlanjivanje. "

Da bi govorili o samoj kriptografiji, WireGuard (i klijenti WireGuarda kao što je TunSafe) implementiraju dokazane moderne primitive poput Curve25519 (za eliptičnu krivulju Diffie Hellman), ChaCha20 (za raspršivanje), Poly1305 i BLAKE2 (za ovjereno šifriranje) i SipHash2-4 (za tablice hash-a). Donenfeld to kaže "što je najvažnije, nema agilnosti". Ovo je ključni dio protokola koji ga čini sigurnijim od svojih prethodnika.

"Ako se šifra pokvari, tada nadogradite i ne dopuštate pokvarene šifre u vašoj mreži. Trenutačno su ti [primitivi] najljepši, ali ako u bilo kojem trenutku postanu zastarjeli, mi ćemo ih promijeniti."

Još jedna uzbudljiva stvar kod Wireguarda je ta da povećava propusnost i do šest puta u odnosu na OpenVPN. Teoretski, to znači da je puno bolje za podatke koji zahtijevaju velike podatke, kao što su igre ili streaming u HD-u.

Veliki planovi

Veliki planovi za WireGuard na Linuxu

Trenutno je WireGuard izvan modula stabla za Linux kernel - tako da kada kupite distribuciju Linuxa ne dolazi unaprijed instaliran kao XFS ili drugi upravljački programi. To znači da ako želite koristiti WireGuard, morate pronaći izvor i sami ga sastaviti - ili pronaći pouzdan izvor koji ga je već sastavio za vašu verziju Linux kernela..

Donenfeld želi da se to promijeni. Programer WireGuarda želi da Linux prema zadanom doda kôd u Kernel tako da se svi Linux distribuira s njim. Ako je prijedlog koji je Donenfeld podnio prošlog utorka uspješan, na Linux će se dodati zakrpe za integriranje sigurnog VPN koda tunela kao službenog mrežnog pokretača.

Upitnici

Možete li očekivati ​​da će se WireGuard uskoro implementirati u komercijalni VPN klijent?

Za sada je WireGuard još uvijek nedokazan. Iako je bio podvrgnut službenoj provjeri kriptografske primjene, još se ne smatra sigurnom. To znači da ima neki put prije nego što izazove OpenVPN.

Čak i programeri WireGuarda priznaju:

"WireGuard još nije dovršen. Ne biste se trebali oslanjati na ovaj kôd. Nije prošla odgovarajuće stupnjeve revizije sigurnosti i protokol je još uvijek podložan promjenama. Radimo na stabilnom izdanju 1.0, ali to vrijeme još nije došlo. "

Osim toga, WireGuardova neobrada razmjene ključeva predstavlja problem za komercijalne VPN-ove, kojima je njihov API potreban za siguran i efikasan rad s ključevima za dijeljenje između više poslužitelja smještenih širom svijeta..

Unatoč tome, razgovor o dodavanju WireGuarda u Linux kernel projekt uzbudljiv je i pokazuje da se nadaju ovom novom VPN protokolu. Za sada je vjerojatno da će ostati na rubu granica - koriste ih samo ljudi koji žele dodatnu sigurnost uključenu u postavljanje vlastitog VPN čvora.

Emanuel Morgan, CIO iz NordVPN-a, kaže da mu je WireGuard vrlo zanimljiv, ali je za ProPrivacy.com rekao da će komercijalni VPN davatelji morati „čekati dok ne sazre dovoljno“ prije nego što razmotre primjenu:

"Trenutno nedostaje previše dijelova koji bi ih mogli razmjestiti na ljestvici i ne postoji standardni način distribucije ključeva. Bez distribucije ključeva, WireGuard je manje poželjan kao komercijalna VPN aplikacija.

"Korisnici moraju biti sigurni da se spajaju na zakoniti VPN poslužitelj, a OpenVPN-ovi certifikati poslužitelja rješavaju ovaj problem na jednostavan, siguran i učinkovit način. "

Bonusi slike: Nove dizajnerske ilustracije / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me