WireGuard-ը «կգա» Linux միջուկ. ինչո՞ւ:

Հուլիսի վերջին WireGuard VPN թունելի մշակողները առաջարկեցին կարկատել հավաքածու, ինչը նրանց VPN թունելային ծրագրակազմը կդարձնի Linux միջուկի մաս: Սակայն «գաղափարի» իրականացման ստույգ ժամկետը մնում է անհայտ։ Կտրվածքի տակ մենք ավելի մանրամասն կխոսենք այս գործիքի մասին:

/ լուսանկար Tambako The Jaguar CC

Հակիրճ նախագծի մասին

WireGuard-ը հաջորդ սերնդի VPN թունել է, որը ստեղծվել է Edge Security-ի գործադիր տնօրեն Ջեյսոն Ա. Դոնենֆելդի կողմից: Նախագիծը մշակվել է որպես պարզեցված և OpenVPN-ի և IPsec-ի արագ այլընտրանք. Ապրանքի առաջին տարբերակը պարունակում էր ընդամենը 4 հազար տող կոդ։ Համեմատության համար՝ OpenVPN-ն ունի մոտ 120 հազար տող, իսկ IPSec-ը՝ 420 հազար։

On ըստ ծրագրավորողների համար, WireGuard-ը հեշտ է կարգավորվում, և արձանագրության անվտանգությունն ապահովված է ապացուցված գաղտնագրման ալգորիթմների միջոցով. Ցանցը փոխելիսWi-Fi, LTE կամ Ethernet-ը պետք է ամեն անգամ նորից միանան VPN սերվերին: WireGuard սերվերները չեն դադարեցնում կապը, նույնիսկ եթե օգտվողը ստացել է նոր IP հասցե:

Չնայած այն հանգամանքին, որ WireGuard-ը ի սկզբանե նախատեսված էր Linux միջուկի համար, մշակողները խնամված և Android սարքերի համար գործիքի շարժական տարբերակի մասին: Հավելվածը դեռ ամբողջությամբ մշակված չէ, բայց դուք կարող եք այն փորձել հիմա: Դրա համար անհրաժեշտ է դառնալ փորձարկողներից մեկը.

Ընդհանուր առմամբ, WireGuard-ը բավականին տարածված է և նույնիսկ եղել է իրականացվել է VPN մի քանի պրովայդերներ, ինչպիսիք են Mullvad-ը և AzireVPN-ը. Հրապարակվել է առցանց մեծ թվով տեղադրման ուղեցույցներ այս որոշումը։ Օրինակ, կան ուղեցույցներ, որոնք ստեղծված են օգտատերերի կողմից, և կան ուղեցույցներ, պատրաստվել է նախագծի հեղինակների կողմից.

Տեխնիկական

В պաշտոնական փաստաթղթեր (էջ 18) նշվում է, որ WireGuard-ի թողունակությունը չորս անգամ ավելի բարձր է, քան OpenVPN-ը՝ 1011 Մբիթ/վրկ՝ համապատասխանաբար 258 Մբիթ/վրկ: WireGuard-ը նույնպես առաջ է անցնում Linux IPsec-ի ստանդարտ լուծումից՝ այն ունի 881 Մբիթ/վ: Այն նաև գերազանցում է այն տեղադրման հեշտությամբ:

Բանալիների փոխանակումից հետո (VPN կապը նախաստորագրված է SSH-ի պես) և կապը հաստատվելուց հետո, WireGuard-ն ինքնուրույն է կատարում մնացած բոլոր առաջադրանքները. կարիք չկա անհանգստանալու երթուղավորման, պետական ​​կառավարման և այլնի մասին: Կազմաձևման լրացուցիչ ջանքերը միայն կկատարվեն: անհրաժեշտ է, եթե ցանկանում եք օգտագործել սիմետրիկ կոդավորումը:

/ լուսանկար Անդերս Հոյբյերգ CC

Տեղադրելու համար ձեզ անհրաժեշտ կլինի 4.1-ից հին Linux միջուկով բաշխում: Այն կարելի է գտնել Linux-ի հիմնական բաշխումների պահոցներում:

$ sudo add-apt-repository ppa:hda-me/wireguard
$ sudo apt update
$ sudo apt install wireguard-dkms wireguard-tools

Ինչպես նշում են xakep.ru-ի խմբագիրները, սկզբնական տեքստերից ինքնակազմակերպումը նույնպես հեշտ է։ Բավական է բացել ինտերֆեյսը և ստեղծել հանրային և մասնավոր բանալիներ.

$ sudo ip link add dev wg0 type wireguard
$ wg genkey | tee privatekey | wg pubkey > publickey

WireGuard- ը չի օգտագործում ինտերֆեյս՝ կրիպտո մատակարարի հետ աշխատելու համար Ծպտյալ. Փոխարենը օգտագործվում է հոսքային ծածկագիր ChaCha20, ծածկագրային իմիտացիոն ներդիր Poly1305 և սեփական ծածկագրային հեշ գործառույթները:

Գաղտնի բանալին ստեղծվում է օգտագործելով Diffie-Hellman արձանագրություն հիմնված էլիպսային կորի վրա Curve25519. Հաշինգի ժամանակ օգտագործում են հեշ գործառույթներ ԿԱՐՈ2 XNUMX и SipHash. Ժամանակի կնիքի ձևաչափի պատճառով TAI64N Արձանագրությունը մերժում է ավելի փոքր ժամանակային արժեք ունեցող փաթեթները, այդպիսով DoS-ի կանխարգելում и կրկնել հարձակումները.

Այս դեպքում WireGuard-ն օգտագործում է ioctl ֆունկցիան՝ I/O-ն կառավարելու համար (նախկինում օգտագործված netlink), ինչը կոդն ավելի մաքուր և պարզ է դարձնում: Դուք կարող եք դա հաստատել՝ նայելով կոնֆիգուրացիայի կոդը.

Մշակողի պլաններ

Առայժմ WireGuard-ը ծառից դուրս միջուկի մոդուլ է: Սակայն նախագծի հեղինակը Ջեյսոն Դոնենֆելդն է Ասում են, որ եկել է Linux միջուկում ամբողջական ներդրման ժամանակը։ Քանի որ այն ավելի պարզ և հուսալի է, քան մյուս լուծումները: Ջեյսոնը այս առումով աջակցում է նույնիսկ ինքը՝ Լինուս Տորվալդսը, WireGuard կոդը անվանեց «արվեստի գործ»։

Բայց ոչ ոք չի խոսում միջուկում WireGuard-ի ներդրման ճշգրիտ ժամկետների մասին: ԵՎ հազիվ թե դա տեղի կունենա օգոստոսի Linux միջուկի 4.18 թողարկումով: Այնուամենայնիվ, կա հավանականություն, որ դա տեղի կունենա շատ մոտ ապագայում՝ 4.19 կամ 5.0 տարբերակում:

Երբ WireGuard-ը ավելացվում է միջուկին, մշակողները ուզում եմ ավարտեք հավելվածը Android սարքերի համար և սկսեք հավելված գրել iOS-ի համար: Նախատեսվում են նաև ավարտին հասցնել Go and Rust ծրագրերը և տեղափոխել դրանք macOS, Windows և BSD: Նախատեսվում է նաև իրականացնել WireGuard ավելի «էկզոտիկ համակարգերի» համար. DPDK, FPGA, ինչպես նաև շատ այլ հետաքրքիր բաներ։ Նրանք բոլորը թվարկված են անելիքների ցանկ նախագծի հեղինակները։

Հ.Գ. Եվս մի քանի հոդված մեր կորպորատիվ բլոգից.

• Ամպային տեխնոլոգիաները ֆինանսական հատվածում. ռուսական ընկերությունների փորձը
• Սկավառակի համակարգի փորձարկում ամպի մեջ
• Ինչ է թաքնված vCloud Director տերմինի հետևում՝ ներքին տեսք

Մեր գործունեության հիմնական ուղղությունը ամպային ծառայությունների մատուցումն է.

Վիրտուալ ենթակառուցվածք (IaaS) | PCI DSS հոստինգ | Cloud FZ-152 | SAP հոստինգ | Վիրտուալ պահեստավորում | Տվյալների գաղտնագրում ամպի մեջ | Ամպի պահպանում

Source: www.habr.com