🥇ለምን ዋየርጋርድን መጠቀም የማይገባዎ

WireGuard ከቅርብ ጊዜ ወዲህ ብዙ ትኩረትን እያገኘ ነው, በእውነቱ በ VPN ዎች መካከል አዲሱ ኮከብ ነው. ግን እሱ የሚመስለውን ያህል ጥሩ ነው? አንዳንድ ምልከታዎችን ለመወያየት እና የ WireGuard አተገባበርን ለመገምገም እፈልጋለሁ ለምን IPsec ወይም OpenVPN መተካት መፍትሄ እንዳልሆነ ለማብራራት.

በዚህ ጽሑፍ ውስጥ፣ አንዳንድ አፈ ታሪኮችን [በWireGuard ዙሪያ] ማቃለል እፈልጋለሁ። አዎ ፣ ለማንበብ ረጅም ጊዜ ይወስዳል ፣ ስለዚህ እራስዎን ሻይ ወይም ቡና ካላደረጉት ፣ ከዚያ እሱን ለማድረግ ጊዜው አሁን ነው። የተመሰቃቀለ ሀሳቤን ስላረመኝ ጴጥሮስንም አመሰግናለሁ።

እኔ ራሴን የWireGuard ገንቢዎችን ማጣጣል ፣ጥረታቸውን ወይም ሃሳባቸውን ዋጋ በማሳጣት ግብ አላወጣም። የእነሱ ምርት እየሰራ ነው, ነገር ግን በግሌ እኔ እንደማስበው በእውነቱ ከሆነው ፈጽሞ የተለየ ነው - ለ IPsec እና OpenVPN ምትክ ሆኖ ቀርቧል, ይህም በእውነቱ አሁን የለም.

ለማስታወሻ ያህል፣ የ WireGuard የቦታ አቀማመጥ ኃላፊነቱ የተናገረው ስለ እሱ በተናገሩት ሚዲያዎች ላይ እንጂ ፕሮጀክቱ ራሱ ወይም ፈጣሪዎቹ አለመሆኑን ማከል እፈልጋለሁ።

በቅርብ ጊዜ ስለ ሊኑክስ ከርነል ብዙ ጥሩ ዜና አልተሰማም። ስለዚህ፣ በሶፍትዌር ስለተደረደሩት የአቀነባባሪው አስፈሪ ተጋላጭነቶች ተነግሮናል፣ እና ሊነስ ቶርቫልድስ በገንቢው የመገልገያ ቋንቋ በጣም ጨዋ እና አሰልቺ በሆነ መልኩ ተናግሯል። የጊዜ መርሐግብር አዘጋጅ ወይም ዜሮ-ደረጃ የአውታረ መረብ ቁልል እንዲሁ ለሚያብረቀርቁ መጽሔቶች በጣም ግልጽ ርዕሶች አይደሉም። እና እዚህ WireGuard ይመጣል.

በወረቀት ላይ, ሁሉም ነገር ጥሩ ይመስላል: አስደሳች አዲስ ቴክኖሎጂ.

ግን ትንሽ ጠለቅ ብለን እንመልከተው።

WireGuard ነጭ ወረቀት

ይህ ጽሑፍ የተመሰረተው ኦፊሴላዊ የ WireGuard ሰነድበጄሰን Donenfeld ተፃፈ። እዚያም በሊኑክስ ከርነል ውስጥ የ [WireGuard] ጽንሰ-ሐሳብ, ዓላማ እና ቴክኒካዊ አተገባበር ያብራራል.

የመጀመሪያው ዓረፍተ ነገር እንዲህ ይላል።

WireGuard […] የበለጠ ደህንነቱ የተጠበቀ፣ አፈጻጸም ያለው እና ለመጠቀም ቀላል ሆኖ ሳለ በአብዛኛዎቹ የአጠቃቀም ጉዳዮች እና ሌሎች ታዋቂ የተጠቃሚ ቦታ እና/ወይም TLS ላይ የተመሰረቱ እንደ OpenVPN ያሉ ሁለቱንም IPsec ለመተካት ያለመ ነው።

እርግጥ ነው, የሁሉም አዳዲስ ቴክኖሎጂዎች ዋነኛ ጥቅም የእነሱ ነው ቀላልነት [ከቀዳሚዎች ጋር ሲነጻጸር]። ግን VPN እንዲሁ መሆን አለበት። ውጤታማ እና ደህንነቱ የተጠበቀ.

ታዲያ ቀጥሎ ምን አለ?

ይህ የሚያስፈልጎት አይደለም (ከቪፒኤን) ካልክ ንባቡን እዚህ ማቆም ትችላለህ። ሆኖም ግን, እንደዚህ አይነት ስራዎች ለማንኛውም ሌላ የመተላለፊያ ቴክኖሎጂ እንደተዘጋጁ አስተውያለሁ.

ከላይ ከተጠቀሰው ጥቅስ ውስጥ በጣም አስደሳች የሆነው "በአብዛኛዎቹ ጉዳዮች" በሚሉት ቃላት ውስጥ ነው, እሱም በእርግጥ, በፕሬስ ችላ ተብሏል. እናም በዚህ ቸልተኝነት በተፈጠረው ትርምስ ምክንያት ያበቃንበት ደረጃ ላይ ደርሰናል - በዚህ ጽሑፍ።

WireGuard የእኔን [IPsec] ከጣቢያ ወደ ጣቢያ ቪፒኤን ይተካዋል?

አይ. እንደ Cisco፣ Juniper እና ሌሎች ያሉ ትልልቅ ሻጮች ለምርታቸው WireGuard የሚገዙበት ዕድል የለም። በጣም አስፈላጊ ካልሆነ በስተቀር በእንቅስቃሴ ላይ "በሚያልፉ ባቡሮች ላይ አይዘለሉም." በኋላ፣ የ WireGuard ምርቶቻቸውን ቢፈልጉም እንዲሳፈሩ ያልቻሉበትን አንዳንድ ምክንያቶችን እመለከታለሁ።

WireGuard የእኔን RoadWarrior ከላፕቶፕ ወደ ዳታ ማእከል ይወስደዋል?

አይ. በአሁኑ ጊዜ፣ WireGuard ይህን የመሰለ ነገር ለማድረግ እንዲችል እጅግ በጣም ብዙ ጠቃሚ ባህሪያት የሉትም። ለምሳሌ፣ ተለዋዋጭ የአይፒ አድራሻዎችን በዋሻው አገልጋይ በኩል መጠቀም አይችልም፣ እና ይህ ብቻ የምርቱን አጠቃቀም አጠቃላይ ሁኔታ ይሰብራል።

IPFire ብዙውን ጊዜ እንደ DSL ወይም የኬብል ግንኙነቶች ርካሽ ለሆኑ የበይነመረብ አገናኞች ያገለግላል። ይህ ፈጣን ፋይበር ለማያስፈልጋቸው አነስተኛ ወይም መካከለኛ ንግዶች ትርጉም ይሰጣል። [ከተርጓሚው ማስታወሻ፡ በኮሙዩኒኬሽን ረገድ ሩሲያ እና አንዳንድ የሲአይኤስ አገሮች ከአውሮፓና ከአሜሪካ በጣም እንደሚቀድሟቸው አትዘንጉ፣ ምክንያቱም ብዙ ቆይቶ አውታረ መረቦቻችንን መገንባት ስለጀመርን የኤተርኔት እና የፋይበር ኦፕቲክ ኔትወርኮች መምጣት እንደ መደበኛ ፣ እንደገና መገንባት ለእኛ ቀላል ነበር። በዩኤስኤ ወይም በዩኤስኤ ተመሳሳይ አገሮች የ xDSL ብሮድባንድ መዳረሻ ከ3-5 ሜጋ ባይት በሰከንድ አሁንም አጠቃላይ መደበኛ ነው፣ እና የፋይበር ኦፕቲክ ግንኙነት በእኛ ደረጃዎች አንዳንድ ከእውነታው የራቀ ገንዘብ ያስወጣል። ስለዚህ የጽሁፉ ደራሲ ስለ DSL ወይም የኬብል ግንኙነት እንደ ደንቡ ይናገራል እንጂ የጥንት ጊዜ አይደለም።] ሆኖም DSL፣ ኬብል፣ LTE (እና ሌሎች የገመድ አልባ የመዳረሻ ዘዴዎች) ተለዋዋጭ የአይፒ አድራሻዎች አሏቸው። እርግጥ ነው, አንዳንድ ጊዜ ብዙ ጊዜ አይለወጡም, ግን ይለወጣሉ.

የሚባል ንዑስ ፕሮጀክት አለ። "wg-ተለዋዋጭ"ይህንን ጉድለት ለማሸነፍ የተጠቃሚ ቦታ ዴሞንን ይጨምራል። ከላይ በተገለጸው የተጠቃሚው ሁኔታ ላይ ያለው ትልቅ ችግር ተለዋዋጭ IPv6 አድራሻን ማባባስ ነው።

ከአከፋፋዩ እይታ አንጻር ይህ ሁሉ በጣም ጥሩ አይመስልም. ከንድፍ ግቦች አንዱ ፕሮቶኮሉን ቀላል እና ንጹህ ማድረግ ነው።

እንደ አለመታደል ሆኖ ፣ ይህ ሁሉ በእውነቱ በጣም ቀላል እና ጥንታዊ ሆኗል ፣ ስለሆነም ይህ አጠቃላይ ንድፍ በእውነቱ ጥቅም ላይ እንዲውል ተጨማሪ ሶፍትዌሮችን መጠቀም አለብን።

WireGuard ለመጠቀም በጣም ቀላል ነው?

ገና ነው. WireGuard በሁለት ነጥቦች መካከል ለመተላለፊያ መንገድ ጥሩ አማራጭ አይሆንም እያልኩ አይደለም፣ አሁን ግን መሆን ያለበት የአልፋ ስሪት ነው።

ግን ከዚያ በእውነቱ ምን ያደርጋል? IPsec ለመንከባከብ ያን ያህል ከባድ ነው?

እንዳልሆነ ግልጽ ነው። የአይፒሴክ አቅራቢው ይህንን አስቦ ምርታቸውን ከአንድ በይነገጽ ጋር ለምሳሌ ከአይፒ ፋየር ጋር ይልካሉ።

በአይፒሴክ ላይ የቪፒኤን ዋሻ ለማዋቀር ወደ ውቅር ለመግባት የሚያስፈልጓቸው አምስት የውሂብ ስብስቦች ያስፈልጉዎታል-የራስዎ ይፋዊ አይፒ አድራሻ ፣የተቀባዩ የህዝብ አይፒ አድራሻ ፣ለህዝብ ይፋ ማድረግ የሚፈልጓቸው ንዑስ አውታረ መረቦች ይህ የቪፒኤን ግንኙነት እና ቅድመ-የተጋራ ቁልፍ። ስለዚህ, VPN በደቂቃዎች ውስጥ ተዘጋጅቷል እና ከማንኛውም ሻጭ ጋር ተኳሃኝ ነው.

እንደ አለመታደል ሆኖ፣ ለዚህ ታሪክ አንዳንድ ልዩ ሁኔታዎች አሉ። በIPsec ላይ ወደ OpenBSD ማሽን ለመግባት የሞከረ ማንኛውም ሰው ስለምናገረው ነገር ያውቃል። ሁለት ተጨማሪ የሚያሰቃዩ ምሳሌዎች አሉ፣ ግን እንደ እውነቱ ከሆነ፣ IPsec ለመጠቀም ብዙ እና ብዙ ጥሩ ልምዶች አሉ።

ስለ ፕሮቶኮል ውስብስብነት

የመጨረሻው ተጠቃሚ ስለ ፕሮቶኮሉ ውስብስብነት መጨነቅ የለበትም።

ይህ ለተጠቃሚው እውነተኛ ስጋት በሆነበት ዓለም ውስጥ ብንኖር ኖሮ፣ ከ NAT ጋር ጥሩ የማይሰሩ ከአሥር ዓመታት በፊት የተፈጠሩትን SIP፣ H.323፣ FTP እና ሌሎች ፕሮቶኮሎችን እናስወግድ ነበር።

IPsec ከ WireGuard የበለጠ ውስብስብ የሆነበት ምክንያቶች አሉ: ብዙ ተጨማሪ ነገሮችን ያደርጋል. ለምሳሌ የተጠቃሚ ማረጋገጫ መግቢያ/ይለፍ ቃል ወይም ሲም ካርድ ከ EAP ጋር። አዲስ ለመጨመር የተራዘመ ችሎታ አለው ክሪፕቶግራፊክ ፕሪሚቲቭ.

እና WireGuard ያ የለውም።

እና ይሄ ማለት WireGuard በተወሰነ ደረጃ ይቋረጣል, ምክንያቱም አንዱ የክሪፕቶግራፊክ ፕሪሚቲቭስ ይዳከማል ወይም ሙሉ በሙሉ ይጎዳል. የቴክኒካል ዶክመንቱ ደራሲ እንዲህ ይላል፡-

WireGuard ክሪፕቶግራፊያዊ አስተያየት ያለው መሆኑን ልብ ሊባል የሚገባው ጉዳይ ነው። ሆን ብሎ የምስጢር እና ፕሮቶኮሎች ተለዋዋጭነት ይጎድለዋል። ከመሠረታዊ ፕሪሚቲቭስ ውስጥ ከባድ ቀዳዳዎች ከተገኙ፣ ሁሉም የመጨረሻ ነጥቦች መዘመን አለባቸው። እየተካሄደ ካለው የSLL/TLS ተጋላጭነት ዥረት ማየት እንደምትችለው፣ የምስጠራው ተለዋዋጭነት አሁን በጣም ጨምሯል።

የመጨረሻው ዓረፍተ ነገር ፍጹም ትክክል ነው።

በምን አይነት ምስጠራ መጠቀም እንዳለብን ስምምነት ላይ መድረስ እንደ IKE እና TLS ያሉ ፕሮቶኮሎችን ያደርጋል ከ ውስብስብ. በጣም የተወሳሰበ? አዎ፣ በTLS/SSL ውስጥ ተጋላጭነቶች በጣም የተለመዱ ናቸው፣ እና ለእነሱ ምንም አማራጭ የለም።

እውነተኛ ችግሮችን ችላ በማለት

በዓለም ዙሪያ የሆነ ቦታ 200 የውጊያ ደንበኞች ያሉት የቪፒኤን አገልጋይ እንዳለህ አስብ። ይህ ቆንጆ መደበኛ የአጠቃቀም ጉዳይ ነው። ምስጠራውን መቀየር ካለብዎት ዝመናውን በእነዚህ ላፕቶፖች፣ ስማርትፎኖች እና በመሳሰሉት ላይ ለሁሉም የWireGuard ቅጂዎች ማድረስ አለቦት። በአንድ ጊዜ ማድረስ. በጥሬው የማይቻል ነው። ይህንን ለማድረግ የሚሞክሩ አስተዳዳሪዎች የሚፈለጉትን አወቃቀሮች ለማሰማራት ወራትን ይወስዳሉ, እና እንደዚህ አይነት ክስተትን ለማስወገድ ቃል በቃል መካከለኛ መጠን ያለው ኩባንያ ዓመታት ይወስዳል.

IPsec እና OpenVPN የሲፈር ድርድር ባህሪን ያቀርባሉ። ስለዚህ, ለተወሰነ ጊዜ አዲሱን ምስጠራ ካበሩት በኋላ, አሮጌው እንዲሁ ይሰራል. ይህ አሁን ያሉ ደንበኞች ወደ አዲሱ ስሪት እንዲያሻሽሉ ያስችላቸዋል። ዝማኔው ከተለቀቀ በኋላ በቀላሉ በቀላሉ የተጋለጠ ምስጠራን ያጥፉ። እና ያ ብቻ ነው! ዝግጁ! ቆንጆ ነሽ! ደንበኞች እንኳን አያስተውሉም።

ይህ በእውነቱ ለትላልቅ ማሰማራቶች በጣም የተለመደ ጉዳይ ነው ፣ እና OpenVPN እንኳን በዚህ ላይ አንዳንድ ችግሮች አሉት። የኋላ ተኳኋኝነት አስፈላጊ ነው፣ እና ምንም እንኳን ደካማ ምስጠራ ቢጠቀሙም፣ ለብዙዎች ይህ ንግድን ለመዝጋት ምክንያት አይደለም። ምክንያቱም ሥራቸውን መሥራት ባለመቻላቸው በመቶዎች የሚቆጠሩ ደንበኞችን ሥራ ሽባ ያደርገዋል።

የWireGuard ቡድን ፕሮቶኮላቸውን ቀላል አድርገውታል፣ ነገር ግን በዋሻው ውስጥ በሁለቱም እኩዮች ላይ የማያቋርጥ ቁጥጥር ለሌላቸው ሰዎች ሙሉ በሙሉ ጥቅም ላይ ሊውል አይችልም። በእኔ ልምድ ይህ በጣም የተለመደው ሁኔታ ነው.

ክሪፕቶግራፊ!

ግን WireGuard የሚጠቀመው ይህ አስደሳች አዲስ ምስጠራ ምንድነው?

WireGuard ለቁልፍ ልውውጥ Curve25519፣ ChaCha20 ምስጠራን እና ፖሊ1305ን ለመረጃ ማረጋገጫ ይጠቀማል። እንዲሁም ከ SipHash ጋር ለሃሽ ቁልፎች እና BLAKE2 ለሃሽ ይሰራል።

ChaCha20-Poly1305 ደረጃውን የጠበቀ ለ IPsec እና OpenVPN (ከTLS በላይ) ነው።

የዳንኤል በርንስታይን እድገት በጣም ብዙ ጊዜ ጥቅም ላይ እንደሚውል ግልጽ ነው. BLAKE2 ከSHA-3 ጋር ባለው ተመሳሳይነት ያላሸነፈ የ SHA-2 የመጨረሻ ተወዳዳሪ የሆነው BLAKE ተተኪ ነው። SHA-2 የሚሰበር ከሆነ፣ BLAKE እንዲሁ የመጠቃት እድሉ ሰፊ ነው።

IPsec እና OpenVPN በዲዛይናቸው ምክንያት SipHash አያስፈልጋቸውም። ስለዚህ በአሁኑ ጊዜ ከእነሱ ጋር ጥቅም ላይ መዋል የማይችለው ብቸኛው ነገር BLAKE2 ነው, እና ይህ ደረጃውን የጠበቀ እስኪሆን ድረስ ብቻ ነው. ይህ ትልቅ እንቅፋት አይደለም፣ ምክንያቱም ቪፒኤኖች ኤችኤምኤሲን በመጠቀም ታማኝነትን ይፈጥራሉ፣ ይህም ከMD5 ጋር በጥምረትም ቢሆን እንደ ጠንካራ መፍትሄ ይቆጠራል።

ስለዚህ በሁሉም የቪ.ፒ.ኤን.ዎች ውስጥ አንድ አይነት የምስጠራ መሳሪያዎች ስብስብ ነው ወደሚል መደምደሚያ ደረስኩ። ስለዚህ፣ WireGuard ወደ ምስጠራ ወይም የተላለፈው መረጃ ትክክለኛነት ከማንኛውም የአሁኑ ምርት የበለጠ ወይም ያነሰ ደህንነቱ የተጠበቀ አይደለም።

ነገር ግን ይህ እንኳን በጣም አስፈላጊው ነገር አይደለም, ይህም በፕሮጀክቱ ኦፊሴላዊ ሰነዶች መሰረት ትኩረት መስጠት ተገቢ ነው. ከሁሉም በላይ ዋናው ነገር ፍጥነት ነው.

WireGuard ከሌሎች የቪፒኤን መፍትሄዎች የበለጠ ፈጣን ነው?

ባጭሩ፡ አይ ፈጣን አይደለም።

ChaCha20 በሶፍትዌር ውስጥ ለመተግበር ቀላል የሆነ የዥረት ምስል ነው። በአንድ ጊዜ አንድ ትንሽ ያመስጥራል። እንደ AES ያሉ ፕሮቶኮሎችን ያግዱ ብሎክን በአንድ ጊዜ 128 ቢት ያመሰጥሩ። የሃርድዌር ድጋፍን ለመተግበር ብዙ ትራንዚስተሮች ያስፈልጋሉ፣ስለዚህ ትላልቅ ፕሮሰሰሮች ከኤኢኤስ-ኤንአይ ጋር አብረው ይመጣሉ፣የመመሪያ ስብስብ ቅጥያ ይህም አንዳንድ የኢንክሪፕሽን ሂደቱን ለማፋጠን ይሰራል።

AES-NI በጭራሽ ወደ ስማርትፎኖች እንደማይገባ ይጠበቅ ነበር [ነገር ግን አደረገው - በግምት። per.] ለዚህም፣ ChaCha20 እንደ ቀላል ክብደት፣ ባትሪ ቆጣቢ አማራጭ ሆኖ ተዘጋጅቷል። ስለዚህ ዛሬ መግዛት የምትችሉት እያንዳንዱ ስማርትፎን አንዳንድ የኤኤስኤስ ፍጥነት ያለው እና በዚህ ምስጠራ ከ ChaCha20 ያነሰ የኃይል ፍጆታ እንዳለው ለእርስዎ ዜና ሆኖ ሊመጣ ይችላል።

በግልጽ ለማየት እንደሚቻለው፣ ባለፉት ሁለት ዓመታት ውስጥ የተገዛው እያንዳንዱ የዴስክቶፕ/የአገልጋይ ፕሮሰሰር AES-NI አለው።

ስለዚህ፣ በእያንዳንዱ ነጠላ ሁኔታ AES ከ ChaCha20 የበለጠ እንደሚበልጥ እጠብቃለሁ። የWireGuard ኦፊሴላዊ ሰነዶች በ AVX512 ፣ ChaCha20-Poly1305 ከ AES-NI እንደሚበልጥ ይጠቅሳሉ ፣ ግን ይህ የመመሪያ ስብስብ ማራዘሚያ በትልልቅ ሲፒዩዎች ላይ ብቻ ይገኛል ፣ ይህ እንደገና በትንሽ እና ብዙ የሞባይል ሃርድዌር አይረዳም ፣ ይህም ሁል ጊዜ በ AES ፈጣን ይሆናል - ኤን.አይ.

ይህ በ WireGuard እድገት ወቅት አስቀድሞ ሊታወቅ ይችል እንደሆነ እርግጠኛ አይደለሁም ፣ ግን ዛሬ በምስጠራ ላይ ብቻ ተቸንክሮ መቆየቱ ቀድሞውኑ አሠራሩን በጥሩ ሁኔታ ላይጎዳው የሚችል ጉድለት ነው።

IPsec የትኛውን ምስጠራ ለጉዳይዎ የተሻለ እንደሆነ በነፃነት እንዲመርጡ ይፈቅድልዎታል። እና በእርግጥ, ይህ አስፈላጊ ነው, ለምሳሌ, 10 ወይም ከዚያ በላይ ጊጋባይት ውሂብ በ VPN ግንኙነት በኩል ማስተላለፍ ከፈለጉ.

በሊኑክስ ውስጥ የውህደት ችግሮች

ምንም እንኳን WireGuard ዘመናዊ የኢንክሪፕሽን ፕሮቶኮልን ቢመርጥም ይህ አስቀድሞ ብዙ ችግር ይፈጥራል። እና ስለዚህ በከርነል የተደገፈውን ከሳጥኑ ውስጥ ከመጠቀም ይልቅ የ WireGuard ውህደት በሊኑክስ ውስጥ እነዚህ ጥንታዊ ነገሮች ባለመኖራቸው ለዓመታት ዘግይቷል ።

በሌሎች ኦፕሬቲንግ ሲስተሞች ላይ ያለው ሁኔታ ምን እንደሆነ ሙሉ በሙሉ እርግጠኛ አይደለሁም፣ ግን ምናልባት ከሊኑክስ ብዙም የተለየ ላይሆን ይችላል።

እውነታው ምን ይመስላል?

እንደ አለመታደል ሆኖ አንድ ደንበኛ ለእነሱ የቪፒኤን ግንኙነት እንዳዘጋጅላቸው በጠየቁኝ ጊዜ ሁሉ ጊዜ ያለፈባቸው ምስክርነቶችን እና ምስጠራን እየተጠቀሙ ነው ወደሚለው ጉዳይ እገባለሁ። 3DES ከ MD5 ጋር በመተባበር አሁንም የተለመደ አሰራር ነው፣ እንደ AES-256 እና SHA1። ምንም እንኳን የኋለኛው ትንሽ የተሻለ ቢሆንም ፣ ይህ በ 2020 ውስጥ ጥቅም ላይ መዋል ያለበት ነገር አይደለም።

ለቁልፍ ልውውጥ ሁልጊዜ RSA ጥቅም ላይ ይውላል - ቀርፋፋ ግን ደህንነቱ የተጠበቀ መሣሪያ።

ደንበኞቼ ከጉምሩክ ባለስልጣናት እና ከሌሎች የመንግስት ድርጅቶች እና ተቋማት ጋር እንዲሁም ስማቸው በዓለም ዙሪያ ከሚታወቁ ትላልቅ ኮርፖሬሽኖች ጋር ግንኙነት አላቸው. ሁሉም ከአሥርተ ዓመታት በፊት የተፈጠረውን የጥያቄ ቅጽ ይጠቀማሉ፣ እና SHA-512 የመጠቀም ችሎታ በጭራሽ አልታከለም። በሆነ መንገድ የቴክኖሎጂ እድገት ላይ ተጽዕኖ ያሳድራል ማለት አልችልም ፣ ግን በግልጽ የድርጅት ሂደቱን ያቀዘቅዛል።

ከ2005 ጀምሮ አይፒሴክ ሞላላ ኩርባዎችን በእጁ ስለሚደግፍ ይህን ሳየው በጣም ያማል። እንደ Camellia እና ChaCha25519 ካሉ AES አማራጮችም አሉ ነገርግን ሁሉም እንደ ሲሲስኮ እና ሌሎች ባሉ ዋና አቅራቢዎች አይደገፉም።

ሰዎችም ይጠቅማሉ። ብዙ የሲስኮ ኪቶች አሉ፣ ከሲስኮ ጋር ለመስራት የተነደፉ ብዙ ስብስቦች አሉ። በዚህ ክፍል ውስጥ የገበያ መሪዎች ናቸው እና ለማንኛውም ዓይነት ፈጠራ በጣም ፍላጎት የላቸውም.

አዎን, ሁኔታው [በድርጅት ክፍል ውስጥ] በጣም አስፈሪ ነው, ነገር ግን በ WireGuard ምክንያት ምንም ለውጦችን አናይም. አቅራቢዎች ቀደም ሲል በሚጠቀሙት መሳሪያ እና ምስጠራ ላይ ምንም አይነት የአፈጻጸም ችግሮችን በጭራሽ ላያዩ ይችላሉ፣ በ IKEv2 ላይ ምንም አይነት ችግር አይታዩም እና ስለዚህ አማራጮችን አይፈልጉም።

በአጠቃላይ ሲስኮን ለመተው አስበህ ታውቃለህ?

መመዘኛዎች

እና አሁን ከWireGuard ሰነድ ወደ መመዘኛዎች እንሂድ። ምንም እንኳን ይህ [ሰነድ] ሳይንሳዊ መጣጥፍ ባይሆንም ገንቢዎቹ የበለጠ ሳይንሳዊ አቀራረብን እንዲወስዱ ወይም ሳይንሳዊ አቀራረብን እንደ ማመሳከሪያነት እንዲጠቀሙ እጠብቃለሁ። ማንኛቸውም መመዘኛዎች እንደገና ሊባዙ ካልቻሉ ከንቱ ናቸው፣ እና በቤተ ሙከራ ውስጥ ሲገኙ የበለጠ ጥቅም የላቸውም።

በሊኑክስ የዋየርጋርድ ግንባታ፣ GSO - Generic Segmentation Offloadingን መጠቀም ይጠቀማል። ለእሱ ምስጋና ይግባው, ደንበኛው 64 ኪሎባይት ግዙፍ ፓኬት ፈጠረ እና በአንድ ጊዜ ኢንክሪፕት አድርጎታል / ዲክሪፕት ያደርገዋል. ስለዚህ, የመጥራት እና የክሪፕቶግራፊክ ስራዎችን የመተግበር ዋጋ ይቀንሳል. የእርስዎን የቪፒኤን ግንኙነት ከፍ ለማድረግ ከፈለጉ ይህ ጥሩ ሀሳብ ነው።

ግን እንደተለመደው እውነታው በጣም ቀላል አይደለም. እንዲህ ዓይነቱን ትልቅ ፓኬት ወደ ኔትወርክ አስማሚ መላክ ወደ ብዙ ትናንሽ ፓኬቶች መቁረጥ ያስፈልገዋል. የተለመደው የመላክ መጠን 1500 ባይት ነው። ማለትም የእኛ ግዙፍ 64 ኪሎባይት በ 45 ፓኬቶች (1240 ባይት መረጃ እና 20 ባይት የአይፒ አርእስት) ይከፈላል ። ከዚያ ለተወሰነ ጊዜ የኔትወርክ አስማሚውን ሥራ ሙሉ በሙሉ ያግዳሉ, ምክንያቱም በአንድ ላይ እና በአንድ ጊዜ መላክ አለባቸው. በውጤቱም, ይህ ወደ ቅድሚያ ዝላይ ይመራል, እና እንደ VoIP ያሉ እሽጎች, ለምሳሌ, ወረፋዎች ይደረጋሉ.

ስለዚህም WireGuard በድፍረት የሚናገረው ከፍተኛ የውጤት መጠን የሚገኘው የሌሎች አፕሊኬሽኖችን አውታረመረብ በማቀዝቀዝ ወጪ ነው። እና የ WireGuard ቡድን ቀድሞውኑ ነው። ተረጋግጧል ይህ የኔ መደምደሚያ ነው።

ግን እንቀጥል።

በቴክኒካል ዶክመንቶች ውስጥ ባሉት መመዘኛዎች መሰረት, ግንኙነቱ የ 1011 Mbps ፍሰት ያሳያል.

አስደናቂ።

በተለይም የአንድ ጊጋቢት ኢተርኔት ግንኙነት ከፍተኛው የንድፈ ሃሳብ መጠን 966 ሜጋ ባይት በሰከንድ ከ1500 ባይት ሲቀነስ 20 ባይት ለአይ ፒ አርእስት 8 ባይት ለ UDP ራስጌ እና 16 ባይት የራስጌው በመሆኑ ይህ በጣም አስደናቂ ነው። WireGuard ራሱ . በታሸገ ፓኬት ውስጥ አንድ ተጨማሪ የአይፒ ራስጌ እና ሌላ በTCP ውስጥ ለ20 ባይት አለ። ታዲያ ይህ ተጨማሪ የመተላለፊያ ይዘት የመጣው ከየት ነው?

በግዙፍ ፍሬሞች እና የጂኤስኦ ጥቅሞች ከላይ ከተነጋገርናቸው የ9000 ባይት የክፈፍ መጠን ከፍተኛው የንድፈ ሃሳቡ ከፍተኛው 1014 Mbps ይሆናል። ብዙውን ጊዜ እንዲህ ዓይነቱ ግብይት በእውነቱ ሊደረስበት የማይችል ነው, ምክንያቱም ከትልቅ ችግሮች ጋር የተያያዘ ነው. ስለዚህም ፈተናው የተካሄደው በአንዳንድ የኔትወርክ አስማሚዎች ብቻ የሚደገፈው 64 ኪሎባይት በንድፈ ሀሳብ ከፍተኛው 1023 ሜጋ ባይት የሆኑ ክፈፎችን በመጠቀም ብቻ እንደሆነ መገመት እችላለሁ። ነገር ግን ይህ በእውነተኛ ሁኔታዎች ውስጥ ፈጽሞ የማይተገበር ነው, ወይም በሁለት ቀጥታ በተገናኙ ጣቢያዎች መካከል ብቻ ጥቅም ላይ ሊውል የሚችለው በሙከራ አግዳሚ ወንበር ውስጥ ብቻ ነው.

ነገር ግን የቪፒኤን ዋሻው በሁለት አስተናጋጆች መካከል የሚተላለፈው የጃምቦ ፍሬሞችን ጨርሶ የማይደግፍ የበይነመረብ ግንኙነት በመጠቀም በመሆኑ፣ በአግዳሚ ወንበር ላይ የተገኘው ውጤት እንደ መለኪያ ተደርጎ ሊወሰድ አይችልም። ይህ በቀላሉ የማይቻል እና በእውነተኛ የውጊያ ሁኔታዎች ውስጥ የማይተገበር የላቦራቶሪ ስኬት ነው።

በመረጃ ማዕከሉ ውስጥ ተቀምጬ እንኳን ከ9000 ባይት በላይ የሆኑ ክፈፎችን ማስተላለፍ አልቻልኩም።

በእውነተኛ ህይወት ውስጥ የመተግበር መስፈርት ሙሉ በሙሉ ተጥሷል እናም እንደማስበው ፣ የ‹‹መለኪያው› ፀሐፊው በተጨባጭ ምክንያቶች እራሱን በቁም ነገር አጣጥሏል።

የመጨረሻው የተስፋ ጭላንጭል

የWireGuard ድህረ ገጽ ስለ ኮንቴይነሮች ብዙ ያወራል እና ምን በትክክል እንደታሰበ ግልጽ ይሆናል።

ቀላል እና ፈጣን ቪፒኤን ምንም አይነት ውቅረት የማይፈልግ እና እንደ አማዞን ባሉ ግዙፍ የኦርኬስትራ መሳሪያዎች ሊሰማራ እና ሊዋቀር ይችላል። በተለይም Amazon ቀደም ብዬ የጠቀስኳቸውን እንደ AVX512 ያሉ የቅርብ ጊዜ ሃርድዌር ባህሪያትን ይጠቀማል። ይህ የሚደረገው ስራውን ለማፋጠን እና ከ x86 ወይም ከማንኛውም ሌላ አርክቴክቸር ጋር ላለመያያዝ ነው.

ከ 9000 ባይት የሚበልጡ ምርቶችን እና ፓኬቶችን ያመቻቻሉ - እነዚህ መያዣዎች እርስ በርስ እንዲግባቡ ወይም ለመጠባበቂያ ክዋኔዎች, ቅጽበተ-ፎቶዎችን በመፍጠር ወይም እነዚህን ተመሳሳይ መያዣዎች ለማሰማራት ግዙፍ የታሸጉ ክፈፎች ይሆናሉ. በገለጽኩት ሁኔታ ውስጥ ተለዋዋጭ የአይፒ አድራሻዎች እንኳን የ WireGuard አሠራር ላይ ተጽዕኖ አይኖራቸውም።

ተጫውተናል. ብሩህ አተገባበር እና በጣም ቀጭን፣ ከሞላ ጎደል ማጣቀሻ ፕሮቶኮል።

ግን እርስዎ ሙሉ በሙሉ እርስዎ ከሚቆጣጠሩት የውሂብ ማዕከል ውጭ ባለው ዓለም ውስጥ አይገጥምም። አደጋውን ወስደህ WireGuard ን መጠቀም ከጀመርክ በምስጠራ ፕሮቶኮል ዲዛይን እና አተገባበር ላይ የማያቋርጥ ስምምነት ማድረግ አለብህ።

መደምደሚያ

WireGuard ገና ዝግጁ አይደለም ብዬ መደምደም ቀላል ሆኖልኛል።

በነባር መፍትሄዎች ላይ ላሉት በርካታ ችግሮች እንደ ቀላል ክብደት እና ፈጣን መፍትሄ ነው የተፀነሰው። እንደ አለመታደል ሆኖ ለእነዚህ መፍትሄዎች ሲል ለብዙ ተጠቃሚዎች ጠቃሚ የሆኑ ብዙ ባህሪያትን መስዋእት አድርጓል። ለዚህም ነው IPsec ወይም OpenVPN መተካት የማይችለው።

WireGuard ተወዳዳሪ እንዲሆን ቢያንስ የአይ ፒ አድራሻ መቼት እና ራውቲንግ እና ዲ ኤን ኤስ ውቅር ማከል አለበት። ኢንክሪፕትድ የተደረጉ ቻናሎች ለዚህ እንደሆነ ግልጽ ነው።

ደህንነት ዋና ተግባሬ ነው፣ እና አሁን IKE ወይም TLS በሆነ መንገድ ተበላሽተዋል ወይም ተበላሽተዋል ብዬ ለማመን ምንም ምክንያት የለኝም። ዘመናዊ ምስጠራ በሁለቱም ውስጥ የተደገፈ ነው, እና በአስርተ አመታት ውስጥ በተከናወኑ ስራዎች ተረጋግጠዋል. አንድ ነገር አዲስ ስለሆነ ብቻ የተሻለ ነው ማለት አይደለም።

ጣቢያዎቻቸውን ከማይቆጣጠሩት ሶስተኛ ወገኖች ጋር ሲገናኙ መስተጋብር በጣም አስፈላጊ ነው። IPsec ትክክለኛ ደረጃ ነው እና በሁሉም ቦታ ማለት ይቻላል ይደገፋል። እና እሱ ይሰራል. እና ምንም ቢመስልም፣ በንድፈ ሀሳብ፣ WireGuard ወደፊት ከተለያዩ የእራሱ ስሪቶች ጋር ላይስማማ ይችላል።

ማንኛውም የክሪፕቶግራፊያዊ ጥበቃ ፈጥኖም ይሁን ዘግይቶ ይሰበራል እናም በዚህ መሠረት መተካት ወይም መዘመን አለበት።

እነዚህን ሁሉ እውነታዎች መካድ እና አይፎንዎን ከቤትዎ የስራ ቦታ ጋር ለማገናኘት WireGuard ን ለመጠቀም በጭፍን መፈለግ ጭንቅላትን በአሸዋ ላይ በማጣበቅ ዋና ክፍል ነው።

ምንጭ: hab.com

ለምን WireGuard ን መጠቀም የለብዎትም