Son vaxtlar WireGuard çox diqqət çəkir, əslində, bu, yeni bir "ulduz"dur VPNBəs göründüyü qədər yaxşıdırmı? Bəzi müşahidələri müzakirə etmək və tətbiqi nəzərdən keçirmək istərdim. WireGuard, bunun IPsec və ya digərlərini əvəz edəcək bir həll olmadığını izah etmək üçün OpenVPN.
Bu məqalədə bəzi mifləri təkzib etmək istərdim [ətrafında] WireGuardBəli, uzun bir oxuma mövzusudur, ona görə də hələ özünüzə bir fincan çay və ya qəhvə dəmləməmisinizsə, indi tam zamanıdır. Həmçinin, xaotik fikirlərimi korrektə etdiyi üçün Peterə təşəkkür etmək istərdim.
Məqsədim tərtibatçıları nüfuzdan salmaq deyil. WireGuard, səylərini və ya ideyalarını dəyərdən salır. Onların məhsulu işləyir, amma şəxsən mən inanıram ki, bu, əslində olduğundan tamamilə fərqli bir şey kimi təqdim olunur - IPsec və OpenVPN, əslində indi sadəcə mövcud deyil.
Qeyd olaraq, əlavə etmək istərdim ki, bu cür mövqe tutma məsuliyyəti WireGuard layihənin özü və ya yaradıcıları deyil, bu barədə məlumat verən media tərəfindən yayılır.
Bu yaxınlarda əsas mövzuda Linux Çox yaxşı xəbər yox idi. Bizə proqram təminatı ilə azaldılan nəhəng prosessor zəiflikləri haqqında məlumat verildi və Linus Torvaldsın bu barədə verdiyi məlumat, bir geliştiricinin utilitar dilində desək, çox kobud və darıxdırıcı idi. Planlayıcı və ya 0 səviyyəli şəbəkə yığını da parlaq jurnallar üçün o qədər də aydın mövzular deyil. Və sonra gəlir WireGuard.
Kağız üzərində hər şey əla səslənir: maraqlı yeni texnologiya.
Ancaq gəlin bir az daha yaxından baxaq.
Texniki sənədlər WireGuard
Bu məqaləyə əsaslanır rəsmi sənədlər WireGuard, Jason Donenfeld tərəfindən yazılmış, burada konsepsiyanı, məqsədi və texniki tətbiqini izah edir [WireGuard] nüvədə Linux.
Birinci cümlə belədir:
WireGuard […] əksər istifadə hallarında həm IPsec-i, həm də digər məşhur istifadəçi məkanı və/və ya TLS əsaslı həlləri əvəz etməyi hədəfləyir. OpenVPN, daha təhlükəsiz, daha məhsuldar və istifadəsi daha asan olmaqla yanaşı [alət].
Təbii ki, bütün yeni texnologiyaların əsas üstünlüyü onlarındır sadəlik [sələfləri ilə müqayisədə]. Ancaq VPN də olmalıdır səmərəli və təhlükəsizdir.
Beləliklə, növbəti nədir?
[VPN-dən] bunun sizə lazım olmadığını söyləyirsinizsə, oxumağı burada bitirə bilərsiniz. Bununla belə, qeyd edim ki, bu cür tapşırıqlar istənilən digər tunel texnologiyası üçün nəzərdə tutulub.
Yuxarıdakı sitatdan ən maraqlısı “əksər hallarda” sözlərindədir ki, sözsüz ki, mətbuat buna məhəl qoymur. Beləliklə, bu səhlənkarlığın yaratdığı xaos ucbatından gəldiyimiz yerdəyik - bu yazıda.
Bu baş verəcəkmi? WireGuard [IPsec] saytdan sayta VPN-imi əvəz edirəm?
Xeyr. Cisco, Juniper və digər böyük satıcıların onu öz məhsulları üçün əldə etmə ehtimalı sadəcə olaraq yoxdur. WireGuardTəcili ehtiyac olmadığı təqdirdə, onlar "yoldan keçən qatarlara tullanmazlar". Daha sonra, məhsullarını göyərtəyə quraşdıra bilməmələrinin bəzi səbəblərini müzakirə edəcəyəm. WireGuard, hətta istəsələr belə.
Sağ qalacaqmı? WireGuard RoadWarrior-umu noutbukdan məlumat mərkəzinə necə çevirmək olar?
Xeyr. Hal-hazırda WireGuard Bu kimi bir şeyi aktivləşdirmək üçün çox sayda vacib xüsusiyyət çatışmır. Məsələn, tunel server tərəfində dinamik IP ünvanlarından istifadə edə bilmir və təkcə bu məhsul üçün bütün istifadə halını pozur.
IPFire tez-tez DSL və ya kabel əlaqələri kimi ucuz İnternet bağlantıları üçün istifadə olunur. Bu, sürətli lifə ehtiyacı olmayan kiçik və ya orta bizneslər üçün məna kəsb edir. [Tərcüməçidən qeyd: unutmayın ki, kommunikasiya baxımından Rusiya və bəzi MDB ölkələri Avropa və ABŞ-dan xeyli irəlidədir, çünki biz öz şəbəkələrimizi çox sonralar, Ethernet və fiber optik şəbəkələrin bir şəbəkə kimi yaranması ilə qurmağa başladıq. standart, yenidən qurmaq bizim üçün daha asan oldu. AB və ya ABŞ-ın eyni ölkələrində 3-5 Mbit / s sürətlə xDSL genişzolaqlı çıxış hələ də ümumi normadır və fiber optik əlaqə standartlarımıza görə bir qədər qeyri-real pula başa gəlir. Buna görə də, məqalə müəllifi DSL və ya kabel bağlantısından qədim dövrlərdən deyil, norma kimi danışır.] Bununla belə, DSL, kabel, LTE (və digər simsiz giriş üsulları) dinamik IP ünvanlarına malikdir. Təbii ki, bəzən tez-tez dəyişmirlər, lakin dəyişirlər.
adlı bir alt layihə var "wg-dinamik", bu çatışmazlığı aradan qaldırmaq üçün istifadəçi sahəsi demonu əlavə edir. Yuxarıda təsvir edilən istifadəçi ssenarisi ilə bağlı böyük problem dinamik IPv6 ünvanlanmasının kəskinləşməsidir.
Distribyutor baxımından bütün bunlar çox da yaxşı görünmür. Dizayn məqsədlərindən biri protokolu sadə və təmiz saxlamaq idi.
Təəssüf ki, bütün bunlar əslində çox sadə və ibtidai hala gəldi, ona görə də bütün bu dizaynın real istifadəyə yararlı olması üçün əlavə proqram təminatından istifadə etməliyik.
WireGuard İstifadəsi bu qədər asandırmı?
Hələ yox. Mən bunu demirəm. WireGuard Bu, heç vaxt iki nöqtə arasında tunel qurmaq üçün yaxşı alternativ olmayacaq, amma hələlik bu, sadəcə, olması lazım olan məhsulun alfa versiyasıdır.
Bəs o, əslində nə edir? IPsec-i qorumaq həqiqətənmi daha çətindir?
Aydındır ki, yox. IPsec satıcısı bunu düşünüb və məhsullarını IPFire kimi interfeyslə birlikdə göndərir.
IPsec üzərindən VPN tuneli qurmaq üçün konfiqurasiyaya daxil etməli olduğunuz beş məlumat dəstinə ehtiyacınız olacaq: öz ictimai IP ünvanınız, qəbul edən tərəfin ictimai IP ünvanı, vasitəsilə ictimailəşdirmək istədiyiniz alt şəbəkələr. bu VPN bağlantısı və əvvəlcədən paylaşılan açar. Beləliklə, VPN bir neçə dəqiqə ərzində qurulur və istənilən satıcı ilə uyğun gəlir.
Təəssüf ki, bu hekayənin bir neçə istisnası var. IPsec üzərindən OpenBSD maşınına tunel etməyə cəhd edən hər kəs nə haqqında danışdığımı bilir. Daha bir neçə ağrılı nümunə var, amma əslində IPsec-dən istifadə üçün daha çox, daha çox yaxşı təcrübələr var.
Protokolun mürəkkəbliyi haqqında
Son istifadəçi protokolun mürəkkəbliyindən narahat olmayacaq.
Əgər biz bu, həqiqətən istifadəçini narahat edən bir dünyada yaşasaydıq, onda SIP, H.323, FTP və NAT ilə yaxşı işləməyən on ildən çox əvvəl yaradılmış digər protokollardan çoxdan xilas olardıq.
IPsec-in daha mürəkkəb olmasının səbəbləri var WireGuard: Daha çox funksiya yerinə yetirir. Məsələn, istifadəçiləri giriş/parol və ya EAP ilə SIM kart vasitəsilə təsdiqləyir. Yeni kartlar əlavə etmək üçün genişləndirilmiş imkanlara malikdir. kriptoqrafik primitivlər.
Və at WireGuard bu mövcud deyil.
Və bu o deməkdir ki, WireGuard Müəyyən bir məqamda, kriptoqrafik primitivlərdən biri zəiflədiyi və ya tamamilə pozulduğu üçün bu, uğursuz olacaq. Texniki sənədlərin müəllifi bunu belə ifadə edir:
Qeyd edək ki, WireGuard Kriptoqrafik cəhətdən həddindən artıq özünəinamlıdır. Şifrələrində və protokollarında qəsdən elastiklik yoxdur. Əgər əsas ibtidailərdə ciddi boşluqlar aşkar edilərsə, bütün son nöqtələrin yenilənməsi lazım gələcək. SSL/TLS zəifliklərinin davam etdiyi kimi, şifrələmə elastikliyi artıq kəskin şəkildə artıb.
Son cümlə tamamilə düzgündür.
Hansı şifrələmənin istifadə ediləcəyi ilə bağlı konsensusa nail olmaq IKE və TLS kimi protokolları yaradır daha kompleks. Çox mürəkkəb? Bəli, zəifliklər TLS/SSL-də olduqca yaygındır və onlara alternativ yoxdur.
Real problemlərə məhəl qoymadan
Təsəvvür edin ki, dünyanın hər yerində 200 istehsal müştərisi olan VPN serveriniz var. Bu, kifayət qədər standart bir istifadə halıdır. Şifrələməni dəyişdirmək lazımdırsa, yeniləməni bütün nüsxələrə göndərməlisiniz. WireGuard bu noutbuklarda, smartfonlarda və s. Eyni zamanda çatdırmaq. Bu, sözün əsl mənasında mümkün deyil. Bunu etməyə çalışan administratorlar tələb olunan konfiqurasiyaları yerləşdirmək üçün aylar çəkəcək və sözün əsl mənasında orta ölçülü bir şirkətə belə bir hadisəni çıxarmaq üçün illər lazım olacaq.
IPsec və OpenVPN şifrələmə danışıqları xüsusiyyəti təklif edir. Beləliklə, qısa müddət ərzində, yeni şifrələməni aktivləşdirdikdən sonra köhnəsi də işləyəcək. Bu, mövcud müştərilərə yeni versiyaya yüksəltməyə imkan verir. Yeniləmə tətbiq edildikdən sonra, sadəcə həssas şifrələməni deaktiv edin. Və budur! Hazır! Möhtəşəmsiniz! Və müştəriləriniz bunu hiss etməyəcəklər.
Bu, əslində böyük yerləşdirmələr üçün çox yaygın bir haldır və hətta OpenVPN Bununla bağlı bəzi çətinliklər yaşayır. Geri uyğunluq vacibdir və daha zəif şifrələmədən istifadə etsəniz də, bir çoxları üçün bu, onların biznesini bağlamaq üçün bir səbəb deyil. Çünki bu, yüzlərlə müştərinin işlərini görə bilməmələri səbəbindən iflic vəziyyətinə düşməsinə səbəb olardı.
Komanda WireGuard protokolunu daha sadələşdirdi, lakin tunellərinin hər iki tərəfi üzərində daimi nəzarəti olmayan insanlar üçün tamamilə uyğun deyil. Mənim təcrübəmə görə, bu, ən çox yayılmış ssenaridir.
Kriptoqrafiya!
Bəs istifadə olunan bu maraqlı yeni şifrələmə nədir? WireGuard?
WireGuard Açar mübadiləsi üçün Curve25519, şifrələmə üçün ChaCha20 və məlumatların identifikasiyası üçün Poly1305 istifadə edir. Həmçinin açar heşləri üçün SipHash və heşləmə üçün BLAKE2 dəstəkləyir.
ChaCha20-Poly1305 IPsec və üçün standartlaşdırılıb OpenVPN (TLS vasitəsilə).
Aydındır ki, Daniel Bernstein-in inkişafı çox tez-tez istifadə olunur. BLAKE2, SHA-3 ilə oxşarlığına görə qalib gəlməyən SHA-2 finalçısı BLAKE-nin davamçısıdır. SHA-2 sındırılsa, BLAKE-nin də güzəştə getmə şansı var idi.
IPsec və OpenVPN SipHash dizaynına görə tələb olunmur. Buna görə də, hazırda onlarla istifadə edilə bilməyən yeganə şey BLAKE2-dir və yalnız standartlaşdırılana qədər. Bu, böyük bir çatışmazlıq deyil, çünki VPN-lər bütövlük üçün HMAC-dan istifadə edirlər ki, bu da MD5 ilə birləşdirildikdə belə güclü bir həll hesab olunur.
Beləliklə, bütün VPN-lərin demək olar ki, eyni kriptoqrafik alətlər dəstindən istifadə etdiyi qənaətinə gəldim. Buna görə də WireGuard ötürülən məlumatların şifrələnməsi və ya bütövlüyü baxımından heç bir digər mövcud məhsuldan daha az və ya çox təhlükəsiz deyil.
Ancaq bu, layihənin rəsmi sənədlərinə görə diqqət yetirməyə dəyər olan ən vacib şey deyil. Axı, əsas şey sürətdir.
WireGuard digər VPN həllərindən daha sürətli?
Qısacası: yox, daha sürətli deyil.
ChaCha20 proqram təminatında tətbiqi daha asan olan axın şifrəsidir. Bir anda bir bit şifrələyir. AES kimi blok protokolları bloku bir anda 128 bit şifrələyir. Avadanlıq dəstəyini həyata keçirmək üçün daha çox tranzistor tələb olunur, buna görə də daha böyük prosessorlar onu sürətləndirmək üçün şifrələmə prosesinin bəzi tapşırıqlarını yerinə yetirən AES-NI təlimat dəsti uzantısı ilə gəlir.
Gözlənilirdi ki, AES-NI heç vaxt smartfonlara daxil olmayacaq [amma bu, təqribən. başına]. Bunun üçün ChaCha20 yüngül, batareyaya qənaət edən alternativ kimi hazırlanmışdır. Buna görə də, bu gün ala biləcəyiniz hər bir smartfonun bir növ AES sürətləndirilməsinə malik olması və ChaCha20 ilə müqayisədə bu şifrələmə ilə daha sürətli və daha az enerji sərfiyyatı ilə işləməsi sizə xəbər kimi gələ bilər.
Aydındır ki, son bir neçə ildə alınmış demək olar ki, hər bir masa üstü/server prosessorunda AES-NI var.
Buna görə də, AES-in hər bir ssenaridə ChaCha20-dən daha yaxşı nəticə göstərəcəyini gözləyirəm. Rəsmi sənədlərdə WireGuard Qeyd olunur ki, AVX512 sayəsində ChaCha20-Poly1305 AES-NI-dən daha yaxşı performans göstərəcək, lakin bu təlimat dəsti uzantısı yalnız daha böyük prosessorlarda mövcud olacaq, bu da yenə də AES-NI ilə həmişə daha sürətli olacaq kiçik və mobil aparatlara kömək etməyəcək.
Bunun inkişaf zamanı əvvəlcədən görülə biləcəyindən əmin deyiləm. WireGuard, lakin bu gün onun bir şifrələmə ilə bağlı olması artıq onun işinə çox yaxşı təsir göstərməyə biləcək bir dezavantajdır.
IPsec sizə işiniz üçün ən yaxşı şifrələməni sərbəst seçmək imkanı verir. Və əlbəttə ki, bu, məsələn, VPN bağlantısı vasitəsilə 10 və ya daha çox gigabayt məlumat ötürmək istəyirsinizsə, lazımdır.
İnteqrasiya problemləri Linux
baxmayaraq ki WireGuard Mən artıq bir çox problemə səbəb olan müasir şifrələmə protokolunu seçdim. Beləliklə, nüvənin qutudan kənarda dəstəklədiyindən istifadə etmək əvəzinə, inteqrasiya WireGuard bu ibtidai elementlərin olmaması səbəbindən illərlə təxirə salındı Linux.
Digər əməliyyat sistemlərində vəziyyətin necə olduğunu tam olaraq bilmirəm, amma yəqin ki, vəziyyət əvvəlkindən çox da fərqlənmir Linux.
Reallıq nə kimi görünür?
Təəssüf ki, hər dəfə müştəri məndən onlar üçün VPN bağlantısı qurmağımı xahiş etdikdə, onların köhnəlmiş etimadnamələr və şifrələmədən istifadə etmələri ilə üzləşirəm. MD3 ilə birlikdə 5DES, AES-256 və SHA1 kimi hələ də ümumi təcrübədir. Sonuncu bir az daha yaxşı olsa da, bu 2020-ci ildə istifadə edilməli bir şey deyil.
Açar mübadiləsi üçün həmişə RSA istifadə olunur - yavaş, lakin kifayət qədər təhlükəsiz bir vasitədir.
Müştərilərim gömrük orqanları və digər dövlət təşkilatları və qurumları, eləcə də adları bütün dünyada tanınan iri korporasiyalarla bağlıdır. Onların hamısı onilliklər əvvəl yaradılmış sorğu formasından istifadə edir və SHA-512-dən istifadə etmək imkanı sadəcə əlavə edilməmişdir. Bunun texnoloji tərəqqiyə açıq şəkildə təsir etdiyini deyə bilmərəm, amma açıq şəkildə korporativ prosesi ləngidir.
Bunu görmək məni əzablandırır, çünki IPsec 2005-ci ildən bəri elliptik əyriləri dəstəkləyir. Curve25519 da daha yeni və istifadə üçün əlçatandır. Camellia və ChaCha20 kimi AES-ə alternativlər də var, lakin açıq-aydın onların hamısı Cisco və digərləri kimi əsas satıcılar tərəfindən dəstəklənmir.
Və insanlar bundan istifadə edirlər. Çoxlu Cisco dəstləri var, Cisco ilə işləmək üçün hazırlanmış çoxlu dəstlər var. Onlar bu seqmentdə bazar liderləridir və heç bir yeniliklə çox maraqlanmırlar.
Bəli, [korporativ seqmentdə] vəziyyət dəhşətlidir, amma buna görə heç bir dəyişiklik görməyəcəyik WireGuardİstehsalçılar, çox güman ki, artıq istifadə etdikləri alətlər və şifrələmə ilə bağlı heç bir performans problemi aşkar etməyəcəklər və IKEv2 ilə bağlı heç bir problem görməyəcəklər - buna görə də alternativlər axtarmırlar.
Ümumiyyətlə, heç Cisco-dan imtina etmək barədə düşünmüsünüzmü?
Benchmarks
İndi sənədlərdən meyarlara keçək. WireGuardBu [sənədlər] elmi bir məqalə olmasa da, mən yenə də tərtibatçıların daha elmi yanaşma tətbiq etmələrini və ya elmi yanaşmanı etalon kimi istifadə etmələrini gözləyirdim. Etalonlar çoxaldıla bilmədikdə faydasızdır və laboratoriya şəraitində əldə edildikdə daha da faydasızdırlar.
Yığıncaqda WireGuard uğrunda Linux GSO (Ümumi Seqmentasiya Yüklənməsi) istifadə etməklə üstünlük qazanır. Bu, müştəriyə nəhəng 64 kilobaytlıq paket yaratmağa və onu tək bir keçiddə şifrələməyə/deşifrə etməyə imkan verir. Bu, kriptoqrafik əməliyyatların və zənglərin yerinə yetirilməsi xərclərini azaldır. VPN bağlantınızın ötürmə qabiliyyətini maksimum dərəcədə artırmaq istəyirsinizsə, bu yaxşı bir fikirdir.
Ancaq həmişə olduğu kimi, reallıq o qədər də sadə deyil. Şəbəkə adapterinə belə böyük bir paketin göndərilməsi onun bir çox kiçik paketlərə kəsilməsini tələb edir. Normal göndərmə ölçüsü 1500 baytdır. Yəni 64 kilobaytlıq nəhəngimiz 45 paketə bölünəcək (1240 bayt məlumat və 20 bayt IP başlığı). Sonra bir müddət şəbəkə adapterinin işini tamamilə bloklayacaqlar, çünki onlar birlikdə və bir anda göndərilməlidir. Nəticədə, bu, prioritet sıçrayışa səbəb olacaq və məsələn, VoIP kimi paketlər növbəyə qoyulacaq.
Beləliklə, cəsarətlə iddia edilən yüksək məhsuldarlıq WireGuard, digər tətbiqlərin şəbəkə performansını yavaşlatmaqla əldə edilir. Və komanda WireGuard artıq təsdiqlədi bu mənim qənaətimdir.
Amma davam edək.
Texniki sənədlərdəki etalonlara əsasən, əlaqə 1011 Mbit/s ötürmə qabiliyyətini göstərir.
Təsirli.
Bu, xüsusilə təsirlidir, çünki tək bir Gigabit Ethernet bağlantısının maksimum nəzəri ötürmə qabiliyyəti 966 Mbps-dir, paket ölçüsü IP başlığı üçün 20 bayt, UDP başlığı üçün 8 bayt və başlığın özü üçün 16 bayt olmaqla 1500 baytdır. WireGuardKapsulalanmış paketdə başqa bir IP başlığı və TCP-də 20 bayt uzunluğunda başqa bir başlıq var. Bəs bu əlavə bant genişliyi haradan gəlir?
Nəhəng kadrlar və yuxarıda bəhs etdiyimiz GSO-nun üstünlükləri ilə 9000 baytlıq kadr ölçüsü üçün nəzəri maksimum 1014 Mbit/s olacaqdır. Adətən belə ötürmə qabiliyyəti reallıqda mümkün deyil, çünki bu, böyük çətinliklərlə əlaqələndirilir. Beləliklə, mən yalnız güman edə bilərəm ki, test yalnız bəzi şəbəkə adapterləri tərəfindən dəstəklənən nəzəri maksimum 64 Mbit / s olan 1023 kilobaytlıq daha böyük ölçülü çərçivələrdən istifadə edilərək aparılmışdır. Lakin bu, real şəraitdə qətiyyən tətbiq olunmur və ya yalnız iki birbaşa əlaqəli stansiya arasında, eksklüziv olaraq sınaq stendində istifadə edilə bilər.
Lakin VPN tuneli jumbo çərçivələri ümumiyyətlə dəstəkləməyən İnternet bağlantısından istifadə edərək iki host arasında ötürüldüyü üçün skamyada əldə edilən nəticə bir meyar kimi qəbul edilə bilməz. Bu, sadəcə olaraq, real döyüş şəraitində mümkün olmayan və tətbiq olunmayan qeyri-real laboratoriya nailiyyətidir.
Data mərkəzində oturanda belə, 9000 baytdan böyük kadrları köçürə bilmədim.
Real həyatda tətbiq olunma meyarı tamamilə pozulub və məncə, həyata keçirilən “ölçmə”nin müəllifi məlum səbəblərdən özünü ciddi şəkildə gözdən salıb.
Son ümid parıltısı
Site WireGuard Konteynerlər haqqında çox danışılır və onların əslində nə üçün nəzərdə tutulduğu aydınlaşır.
Heç bir konfiqurasiya tələb etməyən və Amazon kimi kütləvi orkestrasiya alətləri ilə konfiqurasiya edilə bilən sadə və sürətli VPN. Xüsusilə, Amazon əvvəllər qeyd etdiyim AVX512 kimi ən son aparat xüsusiyyətlərindən istifadə edir. Bu, işi sürətləndirmək və x86 və ya başqa bir arxitekturaya bağlanmamaq üçün edilir.
Onlar 9000 baytı aşan ötürmə qabiliyyətini və paket ölçülərini optimallaşdırır — bunlar konteyner rabitəsi, ehtiyat nüsxə əməliyyatları, anlıq görüntü yaratmaq və ya konteyner yerləşdirmək üçün nəhəng kapsullaşdırılmış çərçivələr yaradır. Hətta dinamik IP ünvanları belə performansa təsir göstərməyəcək. WireGuard təsvir etdiyim ssenaridə.
Yaxşı oynanılmış. Parlaq icra və çox nazik, demək olar ki, istinad protokolu.
Amma bu, tamamilə nəzarət etdiyiniz məlumat mərkəzindən kənar dünya üçün sadəcə uyğun deyil. Risk götürüb istifadə etməyə başlasanız WireGuard, şifrələmə protokolunu hazırlayarkən və tətbiq edərkən daim güzəştə getməli olacaqsınız.
Buraxılış
Mənim üçün belə bir nəticəyə gəlmək çətin deyil WireGuard hələ hazır deyil.
Mövcud həllərlə bağlı bir sıra problemlərin yüngül və sürətli həlli kimi nəzərdə tutulmuşdu. Təəssüf ki, bu həllərə nail olmaq üçün əksər istifadəçilər üçün aktual olacaq bir çox xüsusiyyətdən imtina etdi. Buna görə də IPsec və ya... əvəz edə bilmir. OpenVPN.
Üçün WireGuard Rəqabətə davamlı olması üçün ən azı IP ünvanı konfiqurasiyası, marşrutlaşdırma və DNS konfiqurasiyası əlavə edilməlidir. Aydındır ki, bunun üçün şifrələnmiş kanallar lazımdır.
Təhlükəsizlik mənim əsas prioritetimdir və hazırda IKE və ya TLS-nin hansısa şəkildə güzəştə getdiyinə və ya pozulduğuna inanmaq üçün heç bir əsasım yoxdur. Müasir şifrələmə onların hər ikisində dəstəklənir və onlar onilliklər ərzində aparılan əməliyyatlarla sübut edilmişdir. Bir şeyin daha yeni olması onun daha yaxşı olması demək deyil.
Nəzarət etmədiyiniz üçüncü tərəflərlə əlaqə qurarkən qarşılıqlı əlaqə çox vacibdir. IPsec faktiki standartdır və demək olar ki, hər yerdə dəstəklənir. Və işləyir. Nəzəri olaraq, nə görünsə də, WireGuard gələcəkdə hətta özünün fərqli versiyaları ilə belə uyğunsuz ola bilər.
İstənilən kriptoqrafik qorunma gec-tez pozulur və müvafiq olaraq dəyişdirilməli və ya yenilənməlidir.
Bütün bu faktların inkarı və istifadə etmək üçün kor bir istək WireGuard qoşulmaq üçün iPhone Ev iş stansiyasına getmək başınızı quma soxmaq üzrə master-klassdır.
Mənbə: www.habr.com
