WireGuard son vaxtlar çox diqqət çəkir, əslində VPN-lər arasında yeni ulduzdur. Amma o, göründüyü qədər yaxşıdırmı? Bəzi müşahidələri müzakirə etmək və IPsec və ya OpenVPN-i əvəz etmək üçün niyə həll olmadığını izah etmək üçün WireGuard-ın tətbiqini nəzərdən keçirmək istərdim.
Bu yazıda [WireGuard ətrafında] bəzi mifləri üzə çıxarmaq istərdim. Bəli, oxumaq çox vaxt aparacaq, ona görə də özünüzə bir fincan çay və ya qəhvə hazırlamamısınızsa, deməli, bunu etməyin vaxtıdır. Xaotik fikirlərimi düzəltmək üçün Peterə də təşəkkür etmək istərdim.
Mən WireGuard-ın tərtibatçılarını gözdən salmaq, onların səylərini və ya ideyalarını dəyərdən salmaq məqsədi qoymuram. Onların məhsulu işləyir, amma şəxsən mən hesab edirəm ki, o, əslində olduğundan tamamilə fərqli şəkildə təqdim olunur - o, əslində indi mövcud olmayan IPsec və OpenVPN-in əvəzi kimi təqdim olunur.
Qeyd olaraq əlavə etmək istərdim ki, WireGuard-ın bu cür yerləşdirilməsi üçün məsuliyyət layihənin özü və ya onun yaradıcıları deyil, bu barədə danışan medianın üzərinə düşür.
Son vaxtlar Linux nüvəsi haqqında çox yaxşı xəbərlər yoxdur. Beləliklə, bizə proqram təminatı ilə düzəldilmiş prosessorun dəhşətli zəiflikləri haqqında danışdılar və Linus Torvalds bu barədə tərtibatçının utilitar dilində çox kobud və darıxdırıcı danışdı. Planlayıcı və ya sıfır səviyyəli şəbəkə yığını da parlaq jurnallar üçün çox aydın mövzular deyil. Və burada WireGuard gəlir.
Kağız üzərində hər şey əla səslənir: maraqlı yeni texnologiya.
Ancaq gəlin bir az daha yaxından baxaq.
WireGuard ağ kağız
Bu məqaləyə əsaslanır Jason Donenfeld tərəfindən yazılmışdır. Orada o, Linux nüvəsində [WireGuard] konsepsiyasını, məqsədini və texniki tətbiqini izah edir.
Birinci cümlə belədir:
WireGuard […] daha təhlükəsiz, performanslı və istifadəsi asan [alət] olmaqla, əksər istifadə hallarında həm IPsec-i, həm də digər populyar istifadəçi məkanını və/yaxud OpenVPN kimi TLS əsaslı həlləri əvəz etməyi hədəfləyir.
Təbii ki, bütün yeni texnologiyaların əsas üstünlüyü onlarındır sadəlik [sələfləri ilə müqayisədə]. Ancaq VPN də olmalıdır səmərəli və təhlükəsizdir.
Beləliklə, növbəti nədir?
[VPN-dən] bunun sizə lazım olmadığını söyləyirsinizsə, oxumağı burada bitirə bilərsiniz. Bununla belə, qeyd edim ki, bu cür tapşırıqlar istənilən digər tunel texnologiyası üçün nəzərdə tutulub.
Yuxarıdakı sitatdan ən maraqlısı “əksər hallarda” sözlərindədir ki, sözsüz ki, mətbuat buna məhəl qoymur. Beləliklə, bu səhlənkarlığın yaratdığı xaos ucbatından gəldiyimiz yerdəyik - bu yazıda.
WireGuard mənim [IPsec] saytdan sayta VPN-ni əvəz edəcəkmi?
Yox. Cisco, Juniper və başqaları kimi böyük satıcıların məhsulları üçün WireGuard-ı satın alma şansı sadəcə olaraq yoxdur. Hərəkətdə "keçən qatarların üzərinə tullanmırlar" ki, buna böyük ehtiyac yoxdur. Daha sonra, onların WireGuard məhsullarını istəsələr belə, ala bilməyəcəklərinin bəzi səbəblərini nəzərdən keçirəcəyəm.
WireGuard mənim RoadWarriorumu laptopumdan məlumat mərkəzinə aparacaqmı?
Yox. Hal-hazırda, WireGuard-da bunun kimi bir şey edə bilməsi üçün həyata keçirilən çox sayda vacib xüsusiyyət yoxdur. Məsələn, tunel server tərəfində dinamik IP ünvanlarından istifadə edə bilməz və bu, məhsulun belə istifadəsinin bütün ssenarisini təkbaşına pozur.
IPFire tez-tez DSL və ya kabel əlaqələri kimi ucuz İnternet bağlantıları üçün istifadə olunur. Bu, sürətli lifə ehtiyacı olmayan kiçik və ya orta bizneslər üçün məna kəsb edir. [Tərcüməçidən qeyd: unutmayın ki, kommunikasiya baxımından Rusiya və bəzi MDB ölkələri Avropa və ABŞ-dan xeyli irəlidədir, çünki biz öz şəbəkələrimizi çox sonralar, Ethernet və fiber optik şəbəkələrin bir şəbəkə kimi yaranması ilə qurmağa başladıq. standart, yenidən qurmaq bizim üçün daha asan oldu. AB və ya ABŞ-ın eyni ölkələrində 3-5 Mbit / s sürətlə xDSL genişzolaqlı çıxış hələ də ümumi normadır və fiber optik əlaqə standartlarımıza görə bir qədər qeyri-real pula başa gəlir. Buna görə də, məqalə müəllifi DSL və ya kabel bağlantısından qədim dövrlərdən deyil, norma kimi danışır.] Bununla belə, DSL, kabel, LTE (və digər simsiz giriş üsulları) dinamik IP ünvanlarına malikdir. Təbii ki, bəzən tez-tez dəyişmirlər, lakin dəyişirlər.
adlı bir alt layihə var , bu çatışmazlığı aradan qaldırmaq üçün istifadəçi sahəsi demonu əlavə edir. Yuxarıda təsvir edilən istifadəçi ssenarisi ilə bağlı böyük problem dinamik IPv6 ünvanlanmasının kəskinləşməsidir.
Distribyutor baxımından bütün bunlar çox da yaxşı görünmür. Dizayn məqsədlərindən biri protokolu sadə və təmiz saxlamaq idi.
Təəssüf ki, bütün bunlar əslində çox sadə və ibtidai hala gəldi, ona görə də bütün bu dizaynın real istifadəyə yararlı olması üçün əlavə proqram təminatından istifadə etməliyik.
WireGuard-dan istifadə etmək bu qədər asandır?
Hələ yox. Mən demirəm ki, WireGuard heç vaxt iki nöqtə arasında tunel açmaq üçün yaxşı bir alternativ olmayacaq, lakin hələlik bu, olması lazım olan məhsulun sadəcə alfa versiyasıdır.
Bəs o, əslində nə edir? IPsec-i qorumaq həqiqətənmi daha çətindir?
Aydındır ki, yox. IPsec satıcısı bunu düşünüb və məhsullarını IPFire kimi interfeyslə birlikdə göndərir.
IPsec üzərindən VPN tuneli qurmaq üçün konfiqurasiyaya daxil etməli olduğunuz beş məlumat dəstinə ehtiyacınız olacaq: öz ictimai IP ünvanınız, qəbul edən tərəfin ictimai IP ünvanı, vasitəsilə ictimailəşdirmək istədiyiniz alt şəbəkələr. bu VPN bağlantısı və əvvəlcədən paylaşılan açar. Beləliklə, VPN bir neçə dəqiqə ərzində qurulur və istənilən satıcı ilə uyğun gəlir.
Təəssüf ki, bu hekayənin bir neçə istisnası var. IPsec üzərindən OpenBSD maşınına tunel etməyə cəhd edən hər kəs nə haqqında danışdığımı bilir. Daha bir neçə ağrılı nümunə var, amma əslində IPsec-dən istifadə üçün daha çox, daha çox yaxşı təcrübələr var.
Protokolun mürəkkəbliyi haqqında
Son istifadəçi protokolun mürəkkəbliyindən narahat olmayacaq.
Əgər biz bu, həqiqətən istifadəçini narahat edən bir dünyada yaşasaydıq, onda SIP, H.323, FTP və NAT ilə yaxşı işləməyən on ildən çox əvvəl yaradılmış digər protokollardan çoxdan xilas olardıq.
IPsec-in WireGuard-dan daha mürəkkəb olmasının səbəbləri var: o, daha çox şey edir. Məsələn, giriş / parol və ya EAP ilə SİM kartdan istifadə edərək istifadəçi identifikasiyası. Yenisini əlavə etmək üçün geniş imkanlara malikdir .
Və WireGuard-da bu yoxdur.
Və bu o deməkdir ki, WireGuard nə vaxtsa qırılacaq, çünki kriptoqrafik primitivlərdən biri zəifləyəcək və ya tamamilə pozulacaq. Texniki sənədlərin müəllifi bunu deyir:
Qeyd etmək lazımdır ki, WireGuard kriptoqrafik olaraq rəylidir. O, qəsdən şifrələrin və protokolların çevikliyindən məhrumdur. Əsas primitivlərdə ciddi dəliklər aşkar edilərsə, bütün son nöqtələr yenilənməlidir. Davam edən SLL/TLS zəiflik axınından gördüyünüz kimi, şifrələmənin çevikliyi indi çox artıb.
Son cümlə tamamilə düzgündür.
Hansı şifrələmənin istifadə ediləcəyi ilə bağlı konsensusa nail olmaq IKE və TLS kimi protokolları yaradır daha kompleks. Çox mürəkkəb? Bəli, zəifliklər TLS/SSL-də olduqca yaygındır və onlara alternativ yoxdur.
Real problemlərə məhəl qoymadan
Təsəvvür edin ki, dünyanın hər yerində 200 döyüş müştərisi olan VPN serveriniz var. Bu olduqca standart istifadə halıdır. Şifrələməni dəyişməlisinizsə, yeniləməni bu noutbuklarda, smartfonlarda və s.-də WireGuard-ın bütün nüsxələrinə çatdırmalısınız. Eyni zamanda çatdırmaq. Bu, sözün əsl mənasında mümkün deyil. Bunu etməyə çalışan administratorlar tələb olunan konfiqurasiyaları yerləşdirmək üçün aylar çəkəcək və sözün əsl mənasında orta ölçülü bir şirkətə belə bir hadisəni çıxarmaq üçün illər lazım olacaq.
IPsec və OpenVPN şifrə danışıqları xüsusiyyətini təklif edir. Buna görə də, yeni şifrələməni işə saldıqdan sonra bir müddət köhnəsi də işləyəcək. Bu, mövcud müştərilərə yeni versiyaya yüksəlməyə imkan verəcək. Yeniləmə yayıldıqdan sonra siz sadəcə olaraq həssas şifrələməni söndürürsünüz. Və bu qədər! Hazır! Siz möhtəşəmsiz! Müştərilər bunu hiss etməyəcəklər.
Bu, əslində böyük yerləşdirmələr üçün çox yaygın bir haldır və hətta OpenVPN də bununla bağlı çətinlik çəkir. Geriyə uyğunluq vacibdir və daha zəif şifrələmədən istifadə etsəniz də, bir çoxları üçün bu, biznesi bağlamaq üçün səbəb deyil. Çünki bu, yüzlərlə müştərinin işini görə bilməməsi səbəbindən işini iflic vəziyyətinə salacaq.
WireGuard komandası protokolunu sadələşdirdi, lakin tunelində həmyaşıdları üzərində daimi nəzarəti olmayan insanlar üçün tamamilə yararsız hala gəldi. Təcrübəmə görə, bu, ən çox yayılmış ssenaridir.
Kriptoqrafiya!
Bəs WireGuard-ın istifadə etdiyi bu maraqlı yeni şifrələmə nədir?
WireGuard açar mübadiləsi üçün Curve25519, şifrələmə üçün ChaCha20 və məlumatların autentifikasiyası üçün Poly1305 istifadə edir. O, həmçinin hash açarları üçün SipHash və hashing üçün BLAKE2 ilə işləyir.
ChaCha20-Poly1305 IPsec və OpenVPN (TLS üzərindən) üçün standartlaşdırılıb.
Aydındır ki, Daniel Bernstein-in inkişafı çox tez-tez istifadə olunur. BLAKE2, SHA-3 ilə oxşarlığına görə qalib gəlməyən SHA-2 finalçısı BLAKE-nin davamçısıdır. SHA-2 sındırılsa, BLAKE-nin də güzəştə getmə şansı var idi.
IPsec və OpenVPN dizaynlarına görə SipHash-a ehtiyac duymur. Beləliklə, hazırda onlarla birlikdə istifadə edilə bilməyən yeganə şey BLAKE2-dir və bu, yalnız standartlaşdırılana qədərdir. Bu, böyük bir çatışmazlıq deyil, çünki VPN-lər bütövlük yaratmaq üçün HMAC-dən istifadə edirlər, bu, hətta MD5 ilə birlikdə güclü bir həll hesab olunur.
Beləliklə, bütün VPN-lərdə demək olar ki, eyni kriptoqrafik alətlər dəstindən istifadə edildiyi qənaətinə gəldim. Buna görə də, WireGuard şifrələmə və ya ötürülən məlumatların bütövlüyünə gəldikdə, hər hansı digər cari məhsuldan daha çox və ya az təhlükəsiz deyil.
Ancaq bu, layihənin rəsmi sənədlərinə görə diqqət yetirməyə dəyər olan ən vacib şey deyil. Axı, əsas şey sürətdir.
WireGuard digər VPN həllərindən daha sürətlidir?
Qısacası: yox, daha sürətli deyil.
ChaCha20 proqram təminatında tətbiqi daha asan olan axın şifrəsidir. Bir anda bir bit şifrələyir. AES kimi blok protokolları bloku bir anda 128 bit şifrələyir. Avadanlıq dəstəyini həyata keçirmək üçün daha çox tranzistor tələb olunur, buna görə də daha böyük prosessorlar onu sürətləndirmək üçün şifrələmə prosesinin bəzi tapşırıqlarını yerinə yetirən AES-NI təlimat dəsti uzantısı ilə gəlir.
Gözlənilirdi ki, AES-NI heç vaxt smartfonlara daxil olmayacaq [amma bu, təqribən. başına]. Bunun üçün ChaCha20 yüngül, batareyaya qənaət edən alternativ kimi hazırlanmışdır. Buna görə də, bu gün ala biləcəyiniz hər bir smartfonun bir növ AES sürətləndirilməsinə malik olması və ChaCha20 ilə müqayisədə bu şifrələmə ilə daha sürətli və daha az enerji sərfiyyatı ilə işləməsi sizə xəbər kimi gələ bilər.
Aydındır ki, son bir neçə ildə alınmış demək olar ki, hər bir masa üstü/server prosessorunda AES-NI var.
Buna görə də, AES-in hər bir ssenaridə ChaCha20-dən üstün olacağını gözləyirəm. WireGuard-ın rəsmi sənədlərində qeyd edilir ki, AVX512 ilə ChaCha20-Poly1305 AES-NI-dən üstün olacaq, lakin bu təlimat dəsti genişləndirilməsi yalnız daha böyük CPU-larda mövcud olacaq və bu, yenə də AES ilə həmişə daha sürətli olacaq daha kiçik və daha mobil aparatla kömək etməyəcək. - N.İ.
Bunun WireGuard-ın inkişafı zamanı proqnozlaşdırıla biləcəyinə əmin deyiləm, lakin bu gün onun yalnız şifrələmə ilə bağlanması artıq onun işinə çox yaxşı təsir göstərməyən bir çatışmazlıqdır.
IPsec sizə işiniz üçün ən yaxşı şifrələməni sərbəst seçmək imkanı verir. Və əlbəttə ki, bu, məsələn, VPN bağlantısı vasitəsilə 10 və ya daha çox gigabayt məlumat ötürmək istəyirsinizsə, lazımdır.
Linux-da inteqrasiya problemləri
WireGuard müasir şifrələmə protokolunu seçsə də, bu, artıq bir çox problemlərə səbəb olur. Beləliklə, kernel tərəfindən dəstəklənənləri qutudan istifadə etmək əvəzinə, Linux-da bu primitivlərin olmaması səbəbindən WireGuard-ın inteqrasiyası illərdir təxirə salındı.
Digər əməliyyat sistemlərində vəziyyətin nə olduğuna tam əmin deyiləm, lakin yəqin ki, Linux-dan çox da fərqlənmir.
Reallıq nə kimi görünür?
Təəssüf ki, hər dəfə müştəri məndən onlar üçün VPN bağlantısı qurmağımı xahiş etdikdə, onların köhnəlmiş etimadnamələr və şifrələmədən istifadə etmələri ilə üzləşirəm. MD3 ilə birlikdə 5DES, AES-256 və SHA1 kimi hələ də ümumi təcrübədir. Sonuncu bir az daha yaxşı olsa da, bu 2020-ci ildə istifadə edilməli bir şey deyil.
Açar mübadiləsi üçün həmişə RSA istifadə olunur - yavaş, lakin kifayət qədər təhlükəsiz bir vasitədir.
Müştərilərim gömrük orqanları və digər dövlət təşkilatları və qurumları, eləcə də adları bütün dünyada tanınan iri korporasiyalarla bağlıdır. Onların hamısı onilliklər əvvəl yaradılmış sorğu formasından istifadə edir və SHA-512-dən istifadə etmək imkanı sadəcə əlavə edilməmişdir. Bunun texnoloji tərəqqiyə açıq şəkildə təsir etdiyini deyə bilmərəm, amma açıq şəkildə korporativ prosesi ləngidir.
Bunu görmək məni əzablandırır, çünki IPsec 2005-ci ildən bəri elliptik əyriləri dəstəkləyir. Curve25519 da daha yeni və istifadə üçün əlçatandır. Camellia və ChaCha20 kimi AES-ə alternativlər də var, lakin açıq-aydın onların hamısı Cisco və digərləri kimi əsas satıcılar tərəfindən dəstəklənmir.
Və insanlar bundan istifadə edirlər. Çoxlu Cisco dəstləri var, Cisco ilə işləmək üçün hazırlanmış çoxlu dəstlər var. Onlar bu seqmentdə bazar liderləridir və heç bir yeniliklə çox maraqlanmırlar.
Bəli, [korporativ seqmentdə] vəziyyət dəhşətlidir, lakin WireGuard səbəbindən heç bir dəyişiklik görməyəcəyik. Satıcılar, yəqin ki, artıq istifadə etdikləri alətlər və şifrələmə ilə bağlı heç bir performans problemi görməyəcək, IKEv2 ilə bağlı heç bir problem görməyəcək və buna görə də alternativ axtarmırlar.
Ümumiyyətlə, heç Cisco-dan imtina etmək barədə düşünmüsünüzmü?
Benchmarks
İndi isə WireGuard sənədlərindəki meyarlara keçək. Bu [sənədləşdirmə] elmi məqalə olmasa da, mən hələ də tərtibatçılardan daha elmi yanaşmanı və ya elmi yanaşmadan istinad kimi istifadə etmələrini gözləyirdim. İstənilən meyarlar təkrar istehsal oluna bilmədikdə faydasızdır və laboratoriyada əldə edildikdə daha da faydasızdır.
WireGuard-ın Linux quruluşunda o, GSO - Ümumi Seqmentasiya Boşaltma istifadəsindən istifadə edir. Onun sayəsində müştəri 64 kilobaytlıq nəhəng paket yaradır və onu bir anda şifrələyir/deşifrə edir. Beləliklə, kriptoqrafik əməliyyatları çağırmaq və həyata keçirmək xərcləri azalır. VPN bağlantınızın ötürmə qabiliyyətini artırmaq istəyirsinizsə, bu yaxşı bir fikirdir.
Ancaq həmişə olduğu kimi, reallıq o qədər də sadə deyil. Şəbəkə adapterinə belə böyük bir paketin göndərilməsi onun bir çox kiçik paketlərə kəsilməsini tələb edir. Normal göndərmə ölçüsü 1500 baytdır. Yəni 64 kilobaytlıq nəhəngimiz 45 paketə bölünəcək (1240 bayt məlumat və 20 bayt IP başlığı). Sonra bir müddət şəbəkə adapterinin işini tamamilə bloklayacaqlar, çünki onlar birlikdə və bir anda göndərilməlidir. Nəticədə, bu, prioritet sıçrayışa səbəb olacaq və məsələn, VoIP kimi paketlər növbəyə qoyulacaq.
Beləliklə, WireGuard-ın cəsarətlə iddia etdiyi yüksək ötürmə qabiliyyəti digər proqramların şəbəkələşməsini yavaşlatmaq bahasına əldə edilir. Və WireGuard komandası artıq bu mənim qənaətimdir.
Amma davam edək.
Texniki sənədlərdəki etalonlara əsasən, əlaqə 1011 Mbit/s ötürmə qabiliyyətini göstərir.
Təsirli.
Bu, bir Gigabit Ethernet bağlantısının maksimum nəzəri ötürmə qabiliyyətinin IP başlığı üçün mənfi 966 bayt, 1500 bayt paket ölçüsü ilə 20 Mbit / s, UDP başlığı üçün 8 bayt və başlıq üçün 16 bayt olması səbəbindən təsir edicidir. WireGuard özü. Kapsullaşdırılmış paketdə daha bir IP başlığı və 20 bayt üçün TCP-də başqa bir başlıq var. Bəs bu əlavə bant genişliyi haradan gəldi?
Nəhəng kadrlar və yuxarıda bəhs etdiyimiz GSO-nun üstünlükləri ilə 9000 baytlıq kadr ölçüsü üçün nəzəri maksimum 1014 Mbit/s olacaqdır. Adətən belə ötürmə qabiliyyəti reallıqda mümkün deyil, çünki bu, böyük çətinliklərlə əlaqələndirilir. Beləliklə, mən yalnız güman edə bilərəm ki, test yalnız bəzi şəbəkə adapterləri tərəfindən dəstəklənən nəzəri maksimum 64 Mbit / s olan 1023 kilobaytlıq daha böyük ölçülü çərçivələrdən istifadə edilərək aparılmışdır. Lakin bu, real şəraitdə qətiyyən tətbiq olunmur və ya yalnız iki birbaşa əlaqəli stansiya arasında, eksklüziv olaraq sınaq stendində istifadə edilə bilər.
Lakin VPN tuneli jumbo çərçivələri ümumiyyətlə dəstəkləməyən İnternet bağlantısından istifadə edərək iki host arasında ötürüldüyü üçün skamyada əldə edilən nəticə bir meyar kimi qəbul edilə bilməz. Bu, sadəcə olaraq, real döyüş şəraitində mümkün olmayan və tətbiq olunmayan qeyri-real laboratoriya nailiyyətidir.
Data mərkəzində oturanda belə, 9000 baytdan böyük kadrları köçürə bilmədim.
Real həyatda tətbiq olunma meyarı tamamilə pozulub və məncə, həyata keçirilən “ölçmə”nin müəllifi məlum səbəblərdən özünü ciddi şəkildə gözdən salıb.
Son ümid parıltısı
WireGuard veb saytı konteynerlər haqqında çox danışır və bunun həqiqətən nə üçün nəzərdə tutulduğu aydın olur.
Heç bir konfiqurasiya tələb etməyən və Amazon kimi kütləvi orkestrasiya alətləri ilə konfiqurasiya edilə bilən sadə və sürətli VPN. Xüsusilə, Amazon əvvəllər qeyd etdiyim AVX512 kimi ən son aparat xüsusiyyətlərindən istifadə edir. Bu, işi sürətləndirmək və x86 və ya başqa bir arxitekturaya bağlanmamaq üçün edilir.
Onlar ötürmə qabiliyyətini və 9000 baytdan böyük paketləri optimallaşdırır - bunlar konteynerlərin bir-biri ilə əlaqə saxlaması və ya ehtiyat əməliyyatları, anlıq görüntülər yaratmaq və ya eyni konteynerləri yerləşdirmək üçün nəhəng kapsullaşdırılmış çərçivələr olacaq. Hətta dinamik IP ünvanları təsvir etdiyim ssenaridə WireGuard-ın işinə heç bir şəkildə təsir etməyəcək.
Yaxşı oynanılmış. Parlaq icra və çox nazik, demək olar ki, istinad protokolu.
Amma bu, sadəcə olaraq sizin tamamilə idarə etdiyiniz məlumat mərkəzindən kənar bir dünyaya sığmır. Risk götürsəniz və WireGuard-dan istifadə etməyə başlasanız, şifrələmə protokolunun dizaynında və həyata keçirilməsində daimi güzəştlərə getməli olacaqsınız.
Buraxılış
WireGuard-ın hələ hazır olmadığı qənaətinə gəlmək mənim üçün asandır.
Mövcud həllər ilə bir sıra problemlərin yüngül və sürətli həlli kimi düşünülmüşdür. Təəssüf ki, bu həllər naminə o, əksər istifadəçilər üçün aktual olacaq bir çox xüsusiyyətləri qurban verdi. Buna görə IPsec və ya OpenVPN-ni əvəz edə bilməz.
WireGuard-ın rəqabətədavamlı olması üçün o, ən azı bir IP ünvanı parametri və marşrutlaşdırma və DNS konfiqurasiyası əlavə etməlidir. Aydındır ki, şifrələnmiş kanallar bunun üçündür.
Təhlükəsizlik mənim əsas prioritetimdir və hazırda IKE və ya TLS-nin hansısa şəkildə güzəştə getdiyinə və ya pozulduğuna inanmaq üçün heç bir əsasım yoxdur. Müasir şifrələmə onların hər ikisində dəstəklənir və onlar onilliklər ərzində aparılan əməliyyatlarla sübut edilmişdir. Bir şeyin daha yeni olması onun daha yaxşı olması demək deyil.
Stansiyalarına nəzarət etmədiyiniz üçüncü tərəflərlə əlaqə saxladığınız zaman qarşılıqlı fəaliyyət çox vacibdir. IPsec faktiki standartdır və demək olar ki, hər yerdə dəstəklənir. Və işləyir. Necə görünsə də, nəzəri olaraq gələcəkdə WireGuard hətta özünün müxtəlif versiyaları ilə də uyğun olmaya bilər.
İstənilən kriptoqrafik qorunma gec-tez pozulur və müvafiq olaraq dəyişdirilməli və ya yenilənməlidir.
Bütün bu faktları inkar etmək və iPhone-u evinizin iş stansiyasına qoşmaq üçün WireGuard-dan kor-koranə istifadə etmək istəmək, başınızı quma salmaq üçün sadəcə master-klassdır.
Mənbə: www.habr.com