WireGuard te pran anpil atansyon dènyèman, an reyalite li se nouvo zetwal nan mitan VPN yo. Men, èske li bon jan li sanble? Mwen ta renmen diskite sou kèk obsèvasyon epi revize aplikasyon WireGuard pou eksplike poukisa li pa yon solisyon pou ranplase IPsec oswa OpenVPN.
Nan atik sa a, mwen ta renmen demaye kèk nan mit yo [nan WireGuard]. Wi, li pral pran anpil tan pou li, kidonk si ou pa te fè tèt ou yon tas te oswa kafe, Lè sa a, li lè yo fè li. Mwen ta renmen di Pyè mèsi tou paske li te korije panse dezòd mwen yo.
Mwen pa mete tèt mwen objektif pou diskredite devlopè WireGuard yo, devalorize efò yo oswa lide yo. Pwodwi yo ap travay, men pèsonèlman mwen panse ke li prezante konplètman diferan de sa li vrèman ye - li se prezante kòm yon ranplasman pou IPsec ak OpenVPN, ki an reyalite tou senpleman pa egziste kounye a.
Kòm yon nòt, mwen ta renmen ajoute ke responsablite a pou pwezante sa yo nan WireGuard manti ak medya yo ki te pale sou li, epi yo pa pwojè a tèt li oswa kreyatè li yo.
Dènyèman, pa gen anpil bon nouvèl sou nwayo Linux la. Se konsa, yo te di nou sou frajilite yo kolosal nan processeur a, ki te nivo pa lojisyèl, ak Linus Torvalds te pale sou li twò malonnèt ak raz, nan lang utilitèr nan pwomotè a. Yon pwogramè oswa yon pil rezo zewo-nivo yo tou pa trè klè sijè pou magazin briyan. Ak isit la vini WireGuard.
Sou papye, li tout son gwo: yon nouvo teknoloji enteresan.
Men, ann gade sou li yon ti kras pi pre.
WireGuard papye blan
Atik sa a baze sou ekri pa Jason Donenfeld. Se la li eksplike konsèp, objektif ak aplikasyon teknik [WireGuard] nan nwayo Linux la.
Premye fraz la li:
WireGuard […] gen pou objaktif pou ranplase tou de IPsec nan pifò ka itilize yo ak lòt espas itilizatè popilè ak/oswa solisyon ki baze sou TLS tankou OpenVPN pandan l ap pi an sekirite, pèfòmans ak pi fasil pou itilize [zouti].
Natirèlman, avantaj prensipal la nan tout nouvo teknoloji se yo senplisite [konpare ak predesesè yo]. Men, yon VPN ta dwe tou efikas ak san danje.
Se konsa, ki sa ki pwochen?
Si ou di ke sa a se pa sa ou bezwen [ki soti nan yon VPN], Lè sa a, ou ka fini lekti a isit la. Sepandan, mwen pral remake ke travay sa yo yo mete pou nenpòt ki lòt teknoloji tinèl.
Ki pi enteresan nan quote ki pi wo a manti nan mo yo "nan pifò ka yo", ki, nan kou, yo te inyore pa laprès la. Se konsa, nou se kote nou te fini akòz dezòd la ki te kreye pa neglijans sa a - nan atik sa a.
Èske WireGuard ranplase VPN [IPsec] sit-a-site mwen an?
Non. Pa gen tou senpleman okenn chans ke gwo fournisseurs tankou Cisco, Juniper ak lòt moun pral achte WireGuard pou pwodwi yo. Yo pa "sote sou tren k ap pase" an mouvman sof si gen yon gwo bezwen pou fè sa. Apre sa, mwen pral ale sou kèk nan rezon ki fè yo pwobableman pa yo pral kapab jwenn pwodwi WireGuard yo sou tablo menm si yo te vle.
Èske WireGuard pran RoadWarrior mwen an soti nan laptop mwen an nan sant done a?
Non. Kounye a, WireGuard pa gen yon gwo kantite karakteristik enpòtan aplike pou li kapab fè yon bagay tankou sa a. Pou egzanp, li pa ka sèvi ak adrès IP dinamik sou bò sèvè tinèl la, ak sa a pou kont li kraze senaryo a antye nan itilizasyon sa yo nan pwodwi a.
IPFire yo souvan itilize pou lyen Entènèt bon mache, tankou DSL oswa koneksyon kab. Sa fè sans pou ti oswa mwayen biznis ki pa bezwen fib rapid. [Remak nan tradiktè a: pa bliye ke an tèm de kominikasyon, Larisi ak kèk peyi CIS yo byen lwen devan Ewòp ak Etazini yo, paske nou te kòmanse bati rezo nou yo anpil pita ak avenman Ethernet ak rezo fib optik kòm yon estanda, li te pi fasil pou nou rebati. Nan menm peyi yo nan Inyon Ewopeyen an oswa USA a, aksè bande xDSL nan yon vitès nan 3-5 Mbps se toujou nòmal jeneral la, ak yon koneksyon fib optik koute kèk lajan ireyèl dapre estanda nou yo. Se poutèt sa, otè atik la pale de DSL oswa koneksyon kab kòm nòmal la, epi yo pa ansyen tan.] Sepandan, DSL, kab, LTE (ak lòt metòd aksè san fil) gen adrès IP dinamik. Natirèlman, pafwa yo pa chanje souvan, men yo chanje.
Gen yon sous-pwojè ki rele , ki ajoute yon demon espas itilizatè pou simonte enpèfeksyon sa a. Yon gwo pwoblèm ak senaryo itilizatè ki dekri pi wo a se agravasyon abòde IPv6 dinamik.
Soti nan pwen de vi nan distribitè a, tout bagay sa yo pa gade trè bon tou. Youn nan objektif konsepsyon yo se te kenbe pwotokòl la senp epi pwòp.
Malerezman, tout bagay sa yo aktyèlman vin twò senp ak primitif, se konsa ke nou dwe itilize lojisyèl adisyonèl yo nan lòd pou konsepsyon antye sa a yo dwe solid nan itilizasyon reyèl.
Èske WireGuard tèlman fasil pou itilize?
Poko. Mwen pa di ke WireGuard pa janm pral yon bon altènatif pou tinèl ant de pwen, men pou kounye a li se jis yon vèsyon alfa nan pwodwi a li sipoze ye.
Men, Lè sa a, ki sa li aktyèlman fè? Èske IPsec vrèman pi difisil pou kenbe?
Li evidan pa. Vandè IPsec a te panse de sa a ak bato pwodwi yo ansanm ak yon koòdone, tankou ak IPFire.
Pou mete yon tinèl VPN sou IPsec, w ap bezwen senk seri done w ap bezwen pou antre nan konfigirasyon an: pwòp adrès IP piblik ou a, adrès IP piblik pati k ap resevwa a, subnets ou vle fè piblik la. koneksyon VPN sa a ak kle pre-pataje. Kidonk, VPN a mete kanpe nan kèk minit epi li konpatib ak nenpòt machann.
Malerezman, gen kèk eksepsyon nan istwa sa a. Nenpòt moun ki te eseye fè tinèl sou IPsec nan yon machin OpenBSD konnen de sa m ap pale. Gen kèk egzanp ki pi douloure, men an reyalite, gen anpil, anpil plis bon pratik pou itilize IPsec.
Konsènan pwotokòl konpleksite
Itilizatè final la pa gen pou enkyete sou konpleksite pwotokòl la.
Si nou te viv nan yon mond kote sa a te yon enkyetid reyèl nan itilizatè a, Lè sa a, nou ta debarase m de SIP, H.323, FTP ak lòt pwotokòl ki te kreye plis pase dis ane de sa ki pa travay byen ak NAT.
Gen rezon ki fè IPsec pi konplèks pase WireGuard: li fè anpil plis bagay. Pou egzanp, otantifikasyon itilizatè lè l sèvi avèk yon login / modpas oswa yon kat SIM ak EAP. Li gen yon kapasite pwolonje pou ajoute nouvo .
Ak WireGuard pa gen sa.
Ak sa vle di ke WireGuard pral kraze nan kèk pwen, paske youn nan primitif kriptografik yo pral febli oswa konplètman konpwomèt. Otè a nan dokiman teknik la di sa a:
Li se vo anyen ke WireGuard se kriptografik opinyon. Li fè espre manke fleksibilite nan chifreman ak pwotokòl. Si yo jwenn twou grav nan primitif ki kache yo, tout pwen final yo pral bezwen mete ajou. Kòm ou ka wè nan kouran an kontinyèl nan vilnerabilite SLL / TLS, fleksibilite nan chifreman te kounye a ogmante anpil.
Dènye fraz la se absoliman kòrèk.
Rive nan yon konsansis sou ki chifreman yo itilize fè pwotokòl tankou IKE ak TLS plis konplèks. Twò konplike? Wi, frajilite yo byen komen nan TLS/SSL, epi pa gen okenn altènatif pou yo.
Sou inyore pwoblèm reyèl
Imajine ke ou gen yon sèvè VPN ak 200 kliyan konba yon kote atravè mond lan. Sa a se yon ka itilizasyon trè estanda. Si ou oblije chanje chifreman an, ou bezwen delivre aktyalizasyon a nan tout kopi WireGuard sou laptops, smartphones sa yo, ak sou sa. Ansanm delivre. Li literalman enposib. Administratè yo ap eseye fè sa a pral pran mwa pou deplwaye konfigirasyon ki nesesè yo, epi li pral literalman pran yon ane konpayi gwosè mwayen pou retire yon evènman konsa.
IPsec ak OpenVPN ofri yon karakteristik negosyasyon chifreman. Se poutèt sa, pou kèk tan apre sa ou vire sou nouvo chifreman an, ansyen an ap travay tou. Sa a pral pèmèt kliyan aktyèl yo ajou ak nouvo vèsyon an. Apre aktyalizasyon a te woule soti, ou tou senpleman fèmen chifreman vilnerab la. Epi se li! Pare! ou bèl anpil! Kliyan p ap menm remake li.
Sa a se aktyèlman yon ka trè komen pou deplwaman gwo, e menm OpenVPN gen kèk difikilte ak sa a. Konpatibilite bak enpòtan, e menm si ou itilize chifreman pi fèb, pou anpil moun, sa a se pa yon rezon pou fèmen yon biznis. Paske li pral paralize travay la nan dè santèn de kliyan akòz enkapasite a fè travay yo.
Ekip WireGuard la te fè pwotokòl yo pi senp, men konplètman inutilisab pou moun ki pa gen kontwòl konstan sou tou de kanmarad nan tinèl yo. Nan eksperyans mwen, sa a se senaryo ki pi komen.
Kriptografi!
Men, ki sa ki enteresan nouvo chifreman ke WireGuard itilize?
WireGuard itilize Curve25519 pou echanj kle, ChaCha20 pou chifreman ak Poly1305 pou otantifikasyon done. Li travay tou ak SipHash pou hash kle ak BLAKE2 pou hash.
ChaCha20-Poly1305 ofisyèl pou IPsec ak OpenVPN (sou TLS).
Li evidan ke devlopman nan Daniel Bernstein yo itilize trè souvan. BLAKE2 se siksesè BLAKE, yon finalis SHA-3 ki pa t genyen akoz resanblans li ak SHA-2. Si SHA-2 ta kase, te gen yon bon chans pou BLAKE ta konpwomèt tou.
IPsec ak OpenVPN pa bezwen SipHash akòz konsepsyon yo. Se konsa, sèl bagay ki pa ka sèvi ak yo kounye a se BLAKE2, e se sèlman jiskaske li estanda. Sa a se pa yon gwo dezavantaj, paske VPN yo itilize HMAC pou kreye entegrite, ki konsidere kòm yon solisyon solid menm an konjonksyon avèk MD5.
Se konsa, mwen te rive nan konklizyon ke prèske menm seri zouti kriptografik yo itilize nan tout VPN yo. Se poutèt sa, WireGuard pa plis oswa mwens an sekirite pase nenpòt lòt pwodwi aktyèl lè li rive chifreman oswa entegrite nan done transmèt.
Men, menm sa a se pa bagay ki pi enpòtan an, ki vo peye atansyon a dapre dokiman ofisyèl pwojè a. Apre yo tout, bagay prensipal la se vitès.
Èske WireGuard pi vit pase lòt solisyon VPN?
Nan ti bout tan: non, pa pi vit.
ChaCha20 se yon chifreman kouran ki pi fasil pou aplike nan lojisyèl. Li ankripte yon ti jan nan yon moman. Pwotokòl blòk tankou AES ankripte yon blòk 128 Bits nan yon moman. Anpil plis tranzistò yo oblije aplike sipò pyès ki nan konpitè, kidonk pi gwo processeurs vini ak AES-NI, yon ekstansyon seri enstriksyon ki fè kèk nan travay yo nan pwosesis chifreman an akselere li.
Li te espere ke AES-NI pa ta janm antre nan smartphones [men li te fè - approx. pou.]. Pou sa, ChaCha20 a te devlope kòm yon altènatif ki lejè, ekonomize batri. Se poutèt sa, li ka vini kòm nouvèl pou ou ke chak smartphone ou ka achte jodi a gen yon kalite akselerasyon AES epi li kouri pi vit ak pi ba konsomasyon pouvwa ak chifreman sa a pase ak ChaCha20.
Li evidan, jis sou chak processeur Desktop / sèvè te achte nan de dènye ane yo gen AES-NI.
Se poutèt sa, mwen espere AES depase ChaCha20 nan chak senaryo sèl. Dokiman ofisyèl WireGuard la mansyone ke ak AVX512, ChaCha20-Poly1305 pral depase AES-NI, men ekstansyon seri enstriksyon sa a ap disponib sèlman sou pi gwo CPU, ki ankò pa pral ede ak pyès ki nan konpitè ki pi piti ak plis mobil, ki ap toujou pi vit ak AES. - N.I.
Mwen pa sèten si sa a te kapab te prevwa pandan devlopman WireGuard, men jodi a lefèt ke li se kloure nan chifreman pou kont li se deja yon dezavantaj ki ka pa afekte operasyon li yo trè byen.
IPsec pèmèt ou chwazi lib cryptage ki pi bon pou ka w la. Ak nan kou, sa a nesesè si, pou egzanp, ou vle transfere 10 oswa plis jigokte nan done atravè yon koneksyon VPN.
Pwoblèm entegrasyon nan Linux
Malgre ke WireGuard te chwazi yon pwotokòl cryptage modèn, sa deja lakòz anpil pwoblèm. Se konsa, olye pou yo sèvi ak sa ki sipòte pa nwayo a soti nan bwat la, entegrasyon an nan WireGuard te retade pou ane akòz mank de primitiv sa yo nan Linux.
Mwen pa konplètman sèten ki sitiyasyon an ye sou lòt sistèm opere, men li la pwobableman pa anpil diferan pase sou Linux.
Ki jan reyalite sanble?
Malerezman, chak fwa yon kliyan mande m 'konfigirasyon yon koneksyon VPN pou yo, mwen kouri nan pwoblèm nan ke yo ap itilize kalifikasyon demode ak chifreman. 3DES an konjonksyon avèk MD5 se toujou pratik komen, menm jan ak AES-256 ak SHA1. Ak byenke lèt la se yon ti kras pi bon, sa a se pa yon bagay ki ta dwe itilize nan 2020.
Pou echanj kle toujou Yo itilize RSA - yon zouti ralanti men ki san patipri.
Kliyan mwen yo asosye ak otorite ladwàn yo ak lòt òganizasyon ak enstitisyon gouvènman yo, osi byen ke ak gwo kòporasyon ki gen non yo konnen nan tout mond lan. Yo tout sèvi ak yon fòm demann ki te kreye dè dekad de sa, epi kapasite pou yo sèvi ak SHA-512 tou senpleman pa janm te ajoute. Mwen pa ka di ke yon jan kanmenm klèman afekte pwogrè teknolojik, men evidamman li ralanti pwosesis antrepriz la.
Sa fè m mal pou m wè sa paske IPsec te sipòte koub eliptik soti depi 2005. Curve25519 se tou plus ak disponib pou itilize. Genyen tou altènativ a AES tankou Camellia ak ChaCha20, men evidamman se pa tout nan yo ki sipòte pa gwo fournisseurs tankou Cisco ak lòt moun.
Ak moun yo pwofite de li. Gen anpil twous Cisco, gen anpil twous ki fèt pou travay ak Cisco. Yo se lidè mache nan segman sa a epi yo pa trè enterese nan nenpòt kalite inovasyon.
Wi, sitiyasyon an [nan segman antrepriz la] se terib, men nou pa pral wè okenn chanjman akòz WireGuard. Founisè yo pral pwobableman pa janm wè okenn pwoblèm pèfòmans ak zouti ak chifreman yo deja itilize, yo pa pral wè okenn pwoblèm ak IKEv2, epi kidonk yo pa ap chèche pou altènativ.
An jeneral, èske ou janm panse sou abandone Cisco?
Referans
Epi kounye a, ann ale nan referans ki soti nan dokiman WireGuard la. Malgre ke [dokimantasyon] sa a se pa yon atik syantifik, mwen toujou espere devlopè yo pran yon apwòch plis syantifik, oswa itilize yon apwòch syantifik kòm yon referans. Nenpòt referans yo initil si yo pa ka repwodui, e menm plis initil lè yo jwenn yo nan laboratwa a.
Nan bati Linux WireGuard, li pran avantaj de itilize GSO - Generic Segmentation Offloading. Mèsi a li, kliyan an kreye yon pake gwo 64 kilobyte ak ankripte / dechifre li nan yon sèl kou. Kidonk, pri pou envoke ak aplike operasyon kriptografik yo redwi. Si ou vle maksimize debi koneksyon VPN ou a, sa a se yon bon lide.
Men, kòm dabitid, reyalite a pa tèlman senp. Voye yon gwo pake konsa nan yon adaptè rezo mande pou li koupe an anpil pi piti pake. Gwosè nòmal voye a se 1500 octets. Sa vle di, jeyan nou an ki gen 64 kilookte yo pral divize an 45 pake (1240 octets enfòmasyon ak 20 bytes header IP). Lè sa a, pou yon ti tan, yo pral konplètman bloke travay la nan adaptè rezo a, paske yo dwe voye ansanm ak nan yon fwa. Kòm yon rezilta, sa a pral mennen nan yon so priyorite, ak pake tankou VoIP, pou egzanp, yo pral nan keu.
Se konsa, gwo debi ke WireGuard konsa avèk fòs konviksyon reklamasyon reyalize nan depans lan nan ralanti rezo a nan lòt aplikasyon yo. Ak ekip WireGuard la deja sa a se konklizyon mwen an.
Men ann kontinye.
Dapre referans yo nan dokiman teknik la, koneksyon an montre yon debi 1011 Mbps.
Enpresyonan.
Sa a se espesyalman enpresyonan akòz lefèt ke maksimòm debi teyorik nan yon sèl koneksyon Gigabit Ethernet se 966 Mbps ak yon gwosè pake 1500 bytes mwens 20 bytes pou header IP la, 8 bytes pou header UDP ak 16 bytes pou header nan. WireGuard nan tèt li. Gen yon lòt header IP nan pake a encapsulé ak yon lòt nan TCP pou 20 bytes. Se konsa, ki kote sa a Pleasant siplemantè soti?
Avèk gwo ankadreman ak benefis GSO nou te pale sou pi wo a, maksimòm teyorik la pou yon gwosè ankadreman 9000 bytes ta dwe 1014 Mbps. Anjeneral debi sa yo pa ka reyalize an reyalite, paske li asosye ak gwo difikilte. Kidonk, mwen ka sèlman asime ke tès la te fèt lè l sèvi avèk menm pi gra gwo ankadreman nan 64 kilobyte ak yon maksimòm teyorik 1023 Mbps, ki sipòte sèlman pa kèk adaptè rezo. Men, sa a se absoliman inapplikabl nan kondisyon reyèl, oswa yo ka itilize sèlman ant de estasyon ki konekte dirèkteman, sèlman nan ban tès la.
Men, depi tinèl VPN a voye ant de lame lè l sèvi avèk yon koneksyon entènèt ki pa sipòte ankadreman jumbo ditou, rezilta a reyalize sou ban an pa ka pran kòm yon referans. Sa a se tou senpleman yon siksè laboratwa ireyèl ki enposib epi ki pa aplikab nan kondisyon konba reyèl.
Menm chita nan sant done a, mwen pa t 'kapab transfere ankadreman ki pi gwo pase 9000 bytes.
Se kritè aplikasyon an nan lavi reyèl absoliman vyole, epi, jan mwen panse, otè a nan "mezi a" te pote soti seryezman diskredite tèt li pou rezon evidan.
Dènye ekla espwa
Sit entènèt WireGuard la pale anpil sou resipyan yo epi li vin klè kisa li vrèman fèt pou.
Yon VPN senp ak rapid ki pa mande pou okenn konfigirasyon epi ki ka deplwaye ak konfigirasyon ak zouti òkestrasyon masiv tankou Amazon gen nan nwaj yo. Espesyalman, Amazon itilize dènye karakteristik pyès ki nan konpitè ke mwen mansyone pi bonè, tankou AVX512 la. Sa a se fè yo nan lòd yo pi vit travay la epi yo pa dwe mare nan x86 oswa nenpòt ki lòt achitekti.
Yo optimize debi ak pake ki pi gwo pase 9000 bytes - sa yo pral gwo ankadreman ankapsule pou resipyan yo kominike youn ak lòt, oswa pou operasyon backup, kreye snapshots oswa deplwaye resipyan sa yo menm. Menm adrès IP dinamik pa pral afekte operasyon an nan WireGuard nan okenn fason nan ka a nan senaryo a mwen dekri.
Byen jwe. Briyan aplikasyon ak trè mens, prèske referans pwotokòl.
Men, li jis pa anfòm nan yon mond andeyò yon sant done ke ou konplètman kontwole. Si ou pran risk la epi kòmanse itilize WireGuard, w ap oblije fè konpwomi konstan nan konsepsyon ak aplikasyon pwotokòl chifreman an.
Sòti
Li fasil pou mwen konkli ke WireGuard poko pare.
Li te vin ansent kòm yon solisyon ki lejè ak rapid nan yon kantite pwoblèm ak solisyon ki egziste deja. Malerezman, pou dedomajman pou solisyon sa yo, li sakrifye anpil karakteristik ki pral enpòtan pou pifò itilizatè yo. Se poutèt sa li pa ka ranplase IPsec oswa OpenVPN.
Nan lòd pou WireGuard vin konpetitif, li bezwen ajoute omwen yon anviwònman adrès IP ak yon konfigirasyon routage ak DNS. Li evidan, sa a se pou sa chanèl chiffres yo.
Sekirite se pi gwo priyorite mwen, e kounye a mwen pa gen okenn rezon pou m kwè ke IKE oswa TLS se yon jan kanmenm konpwomèt oswa kase. Modèn chifreman sipòte nan tou de nan yo, epi yo te pwouve pa dè dekad nan operasyon. Jis paske yon bagay ki pi nouvo pa vle di li pi bon.
Entèoperabilite trè enpòtan lè ou kominike ak twazyèm pati ki gen estasyon ou pa kontwole. IPsec se estanda defakto a epi li sipòte prèske tout kote. Epi li travay. E pa gen pwoblèm ki jan li sanble, nan teyori, WireGuard nan lavni an ka pa konpatib menm ak diferan vèsyon nan tèt li.
Nenpòt pwoteksyon kriptografik kase pi bonè oswa pita epi, kòmsadwa, yo dwe ranplase oswa mete ajou.
Nye tout reyalite sa yo ak avèg vle sèvi ak WireGuard konekte iPhone ou ak estasyon travay lakay ou se jis yon klas mèt nan kole tèt ou nan sab la.
Sous: www.habr.com