ហេតុអ្វីបានជាអ្នកមិនគួរប្រើ WireGuard

WireGuard ទទួលបានការចាប់អារម្មណ៍យ៉ាងខ្លាំងនាពេលថ្មីៗនេះ តាមពិតវាគឺជាតារាថ្មីក្នុងចំណោម VPNs ។ ប៉ុន្តែតើគាត់ល្អដូចគាត់ទេ? ខ្ញុំចង់ពិភាក្សាអំពីការសង្កេតមួយចំនួន និងពិនិត្យមើលការអនុវត្ត WireGuard ដើម្បីពន្យល់ពីមូលហេតុដែលវាមិនមែនជាដំណោះស្រាយដើម្បីជំនួស IPsec ឬ OpenVPN។

នៅក្នុងអត្ថបទនេះ ខ្ញុំចង់បកស្រាយអំពីទេវកថាមួយចំនួន [ជុំវិញ WireGuard]។ បាទ វានឹងចំណាយពេលយូរដើម្បីអាន ដូច្នេះប្រសិនបើអ្នកមិនទាន់បានផឹកតែ ឬកាហ្វេទេនោះ ដល់ពេលធ្វើវាហើយ។ ខ្ញុំ​ក៏​ចង់​និយាយ​អរគុណ​ដល់​ពេត្រុស​សម្រាប់​ការ​កែ​តម្រូវ​គំនិត​វឹកវរ​របស់​ខ្ញុំ។

ខ្ញុំមិនកំណត់ខ្លួនឯងនូវគោលដៅនៃការធ្វើឱ្យខូចកិត្តិយសអ្នកអភិវឌ្ឍន៍ WireGuard ដោយវាយតម្លៃការខិតខំប្រឹងប្រែង ឬគំនិតរបស់ពួកគេនោះទេ។ ផលិតផលរបស់ពួកគេកំពុងដំណើរការ ប៉ុន្តែដោយផ្ទាល់ខ្ញុំគិតថាវាត្រូវបានបង្ហាញខុសគ្នាទាំងស្រុងពីអ្វីដែលវាពិតជា - វាត្រូវបានបង្ហាញជាការជំនួស IPsec និង OpenVPN ដែលតាមពិតមិនមានទេឥឡូវនេះ។

ជាចំណាំ ខ្ញុំចង់បន្ថែមថា ទំនួលខុសត្រូវសម្រាប់ទីតាំង WireGuard បែបនេះគឺស្ថិតនៅលើប្រព័ន្ធផ្សព្វផ្សាយដែលនិយាយអំពីវា មិនមែនគម្រោងផ្ទាល់ ឬអ្នកបង្កើតរបស់វានោះទេ។

ថ្មីៗនេះមិនមានព័ត៌មានល្អច្រើនអំពីខឺណែលលីនុចទេ។ ដូច្នេះ យើងត្រូវបានគេប្រាប់អំពីភាពងាយរងគ្រោះដ៏ធំរបស់ processor ដែលត្រូវបានកម្រិតដោយកម្មវិធី ហើយ Linus Torvalds បាននិយាយអំពីវាយ៉ាងឈ្លើយ និងគួរឱ្យធុញពេកនៅក្នុងភាសារបស់អ្នកអភិវឌ្ឍន៍។ កម្មវិធីកំណត់ពេល ឬជង់បណ្តាញកម្រិតសូន្យក៏មិនមែនជាប្រធានបទច្បាស់លាស់សម្រាប់ទស្សនាវដ្តីរលោងដែរ។ ហើយនៅទីនេះ WireGuard មក។

នៅលើក្រដាស វាស្តាប់ទៅអស្ចារ្យណាស់៖ បច្ចេកវិទ្យាថ្មីគួរឱ្យរំភើប។

ប៉ុន្តែសូមក្រឡេកមើលវាឱ្យជិតបន្តិច។

ក្រដាសស WireGuard

អត្ថបទនេះត្រូវបានផ្អែកលើ ឯកសារ WireGuard ផ្លូវការសរសេរដោយ Jason Donenfeld ។ នៅទីនោះគាត់ពន្យល់ពីគោលគំនិត គោលបំណង និងការអនុវត្តបច្ចេកទេសនៃ [WireGuard] នៅក្នុងខឺណែលលីនុច។

ប្រយោគទីមួយអានថាៈ

WireGuard […] មានគោលបំណងជំនួស IPsec ទាំងពីរនៅក្នុងករណីប្រើប្រាស់ភាគច្រើន និងកន្លែងប្រើប្រាស់ដ៏ពេញនិយមផ្សេងទៀត និង/ឬដំណោះស្រាយដែលមានមូលដ្ឋានលើ TLS ដូចជា OpenVPN ខណៈដែលកាន់តែមានសុវត្ថិភាព ដំណើរការ និងងាយស្រួលប្រើ [ឧបករណ៍]។

ជាការពិតណាស់អត្ថប្រយោជន៍ចម្បងនៃបច្ចេកវិទ្យាថ្មីទាំងអស់គឺរបស់ពួកគេ។ ភាពសាមញ្ញ [ប្រៀបធៀបទៅនឹងអ្នកកាន់តំណែងមុន] ។ ប៉ុន្តែ VPN គួរតែជា ប្រកបដោយប្រសិទ្ធភាព និងសុវត្ថិភាព.

ដូច្នេះ តើមានអ្វីបន្ទាប់?

ប្រសិនបើអ្នកនិយាយថានេះមិនមែនជាអ្វីដែលអ្នកត្រូវការ [ពី VPN] នោះអ្នកអាចបញ្ចប់ការអាននៅទីនេះ។ ទោះជាយ៉ាងណាក៏ដោយខ្ញុំនឹងកត់សម្គាល់ថាភារកិច្ចបែបនេះត្រូវបានកំណត់សម្រាប់បច្ចេកវិទ្យាផ្លូវរូងក្រោមដីផ្សេងទៀត។

គួរឱ្យចាប់អារម្មណ៍បំផុតនៃសម្រង់ខាងលើស្ថិតនៅក្នុងពាក្យ "ក្នុងករណីភាគច្រើន" ដែលជាការពិតណាស់ត្រូវបានមិនអើពើដោយសារព័ត៌មាន។ ដូច្នេះហើយ យើងគឺជាកន្លែងដែលយើងបានបញ្ចប់ដោយសារតែភាពវឹកវរដែលបង្កើតឡើងដោយការធ្វេសប្រហែសនេះ - នៅក្នុងអត្ថបទនេះ។

តើ WireGuard នឹងជំនួស [IPsec] VPN ពីគេហទំព័រទៅគេហទំព័ររបស់ខ្ញុំទេ?

ទេ វាគ្មានឱកាសទេដែលអ្នកលក់ធំៗដូចជា Cisco, Juniper និងអ្នកដទៃនឹងទិញ WireGuard សម្រាប់ផលិតផលរបស់ពួកគេ។ ពួកគេមិន "លោតលើរថភ្លើងឆ្លងកាត់" ទេ លុះត្រាតែមានតម្រូវការដ៏អស្ចារ្យមួយចំនួនដើម្បីធ្វើដូច្នេះ។ ក្រោយមក ខ្ញុំនឹងលើកយកហេតុផលមួយចំនួនថាហេតុអ្វីបានជាពួកគេប្រហែលជាមិនអាចទទួលបានផលិតផល WireGuard របស់ពួកគេនៅលើយន្តហោះ បើទោះបីជាពួកគេចង់ក៏ដោយ។

តើ WireGuard នឹងយក RoadWarrior របស់ខ្ញុំពីកុំព្យូទ័រយួរដៃរបស់ខ្ញុំទៅកាន់មជ្ឈមណ្ឌលទិន្នន័យដែរឬទេ?

ទេ ឥឡូវនេះ WireGuard មិនមានមុខងារសំខាន់ៗមួយចំនួនធំដែលត្រូវបានអនុវត្តសម្រាប់វាដើម្បីអាចធ្វើអ្វីមួយដូចនេះបានទេ។ ជាឧទាហរណ៍ វាមិនអាចប្រើអាសយដ្ឋាន IP ថាមវន្តនៅលើផ្នែកម៉ាស៊ីនមេផ្លូវរូងក្រោមដីបានទេ ហើយនេះតែម្នាក់ឯងបំបែកសេណារីយ៉ូទាំងមូលនៃការប្រើប្រាស់ផលិតផលបែបនេះ។

IPFire ត្រូវបានប្រើជាញឹកញាប់សម្រាប់តំណភ្ជាប់អ៊ីនធឺណិតដែលមានតំលៃថោកដូចជា DSL ឬការតភ្ជាប់ខ្សែ។ នេះសមហេតុផលសម្រាប់អាជីវកម្មខ្នាតតូច ឬមធ្យម ដែលមិនត្រូវការហ្វាយបឺលឿន។ [កំណត់ចំណាំពីអ្នកបកប្រែ៖ កុំភ្លេចថាទាក់ទងនឹងទំនាក់ទំនង រុស្ស៊ី និងប្រទេស CIS ខ្លះនៅឆ្ងាយជាងអឺរ៉ុប និងសហរដ្ឋអាមេរិក ដោយសារយើងបានចាប់ផ្តើមបង្កើតបណ្តាញរបស់យើងច្រើននៅពេលក្រោយ និងជាមួយនឹងការមកដល់នៃ Ethernet និងបណ្តាញ fiber optic ជា ស្តង់ដារ វាកាន់តែងាយស្រួលសម្រាប់ពួកយើងក្នុងការសាងសង់ឡើងវិញ។ នៅក្នុងប្រទេសដូចគ្នានៃសហភាពអឺរ៉ុប ឬសហរដ្ឋអាមេរិក ការចូលប្រើអ៊ីនធឺណិតតាមអ៊ីនធឺណិត xDSL ក្នុងល្បឿន 3-5 Mbps នៅតែជាបទដ្ឋានទូទៅ ហើយការតភ្ជាប់ខ្សែកាបអុបទិកត្រូវចំណាយប្រាក់មិនប្រាកដប្រជាមួយចំនួនតាមស្តង់ដាររបស់យើង។ ដូច្នេះ អ្នកនិពន្ធអត្ថបទនិយាយអំពី DSL ឬការភ្ជាប់ខ្សែជាបទដ្ឋាន មិនមែនសម័យបុរាណទេ។] ទោះយ៉ាងណាក៏ដោយ DSL ខ្សែ LTE (និងវិធីចូលប្រើឥតខ្សែផ្សេងទៀត) មានអាសយដ្ឋាន IP ថាមវន្ត។ ជាការពិតណាស់ ពេលខ្លះពួកគេមិនផ្លាស់ប្តូរញឹកញាប់ទេ ប៉ុន្តែពួកគេផ្លាស់ប្តូរ។

មានគម្រោងរងមួយហៅថា "wg-dynamic"ដែលបន្ថែមដេមិន userspace ដើម្បីជម្នះការខ្វះខាតនេះ។ បញ្ហាដ៏ធំមួយជាមួយសេណារីយ៉ូអ្នកប្រើប្រាស់ដែលបានពិពណ៌នាខាងលើគឺការធ្វើឱ្យកាន់តែធ្ងន់ធ្ងរនៃអាសយដ្ឋាន IPv6 ថាមវន្ត។

តាមទស្សនៈរបស់អ្នកចែកចាយ អ្វីៗទាំងអស់នេះមើលទៅមិនសូវល្អទេ។ គោលដៅមួយនៃការរចនាគឺរក្សាពិធីការសាមញ្ញ និងស្អាត។

ជាអកុសល ទាំងអស់នេះពិតជាបានក្លាយទៅជាសាមញ្ញពេក និងមានលក្ខណៈដើម ដូច្នេះយើងត្រូវប្រើកម្មវិធីបន្ថែម ដើម្បីឱ្យការរចនាទាំងមូលនេះអាចដំណើរការបានក្នុងការប្រើប្រាស់ជាក់ស្តែង។

តើ WireGuard ងាយស្រួលប្រើមែនទេ?

នៅឡើយ។ ខ្ញុំមិននិយាយថា WireGuard នឹងមិនក្លាយជាជម្រើសដ៏ល្អសម្រាប់ផ្លូវរូងក្រោមដីរវាងចំណុចពីរនោះទេ ប៉ុន្តែសម្រាប់ពេលនេះ វាគ្រាន់តែជាកំណែអាល់ហ្វានៃផលិតផលដែលវាត្រូវបានសន្មត់ថាជា។

ប៉ុន្តែ​តើ​គាត់​ធ្វើ​អ្វី​តាម​ពិត? តើ IPsec ពិតជាពិបាកថែរក្សាមែនទេ?

ជាក់ស្តែងមិនមែនទេ។ អ្នកលក់ IPsec បានគិតពីរឿងនេះ ហើយបញ្ជូនផលិតផលរបស់ពួកគេ រួមជាមួយនឹងចំណុចប្រទាក់ ដូចជាជាមួយ IPFire ជាដើម។

ដើម្បីដំឡើងផ្លូវរូងក្រោមដី VPN លើ IPsec អ្នកនឹងត្រូវការសំណុំទិន្នន័យចំនួន XNUMX ដែលអ្នកនឹងត្រូវបញ្ចូលទៅក្នុងការកំណត់៖ អាសយដ្ឋាន IP សាធារណៈផ្ទាល់ខ្លួនរបស់អ្នក អាសយដ្ឋាន IP សាធារណៈរបស់ភាគីទទួល បណ្តាញរងដែលអ្នកចង់បង្ហាញជាសាធារណៈតាមរយៈ ការតភ្ជាប់ VPN នេះ និងគន្លឹះដែលបានចែករំលែកជាមុន។ ដូច្នេះ VPN ត្រូវបានបង្កើតឡើងក្នុងរយៈពេលប៉ុន្មាននាទី និងអាចប្រើជាមួយអ្នកលក់ណាមួយ។

ជាអកុសល មានករណីលើកលែងមួយចំនួនចំពោះរឿងនេះ។ អ្នក​ណា​ម្នាក់​ដែល​បាន​ព្យាយាម​រុក​រក IPsec ទៅ​ម៉ាស៊ីន OpenBSD ដឹង​ពី​អ្វី​ដែល​ខ្ញុំ​កំពុង​និយាយ។ មានឧទាហរណ៍ដ៏ឈឺចាប់មួយចំនួនទៀត ប៉ុន្តែតាមពិតទៅ មានការអនុវត្តល្អជាច្រើនទៀតសម្រាប់ការប្រើប្រាស់ IPsec ។

អំពីភាពស្មុគស្មាញនៃពិធីការ

អ្នកប្រើប្រាស់ចុងក្រោយមិនចាំបាច់ព្រួយបារម្ភអំពីភាពស្មុគស្មាញនៃពិធីការនោះទេ។

ប្រសិនបើយើងរស់នៅក្នុងពិភពលោកដែលនេះជាកង្វល់របស់អ្នកប្រើប្រាស់ពិតប្រាកដ នោះយើងនឹងបានកម្ចាត់ SIP, H.323, FTP និងពិធីការផ្សេងទៀតដែលបានបង្កើតកាលពីជាងដប់ឆ្នាំមុនដែលមិនដំណើរការល្អជាមួយ NAT ។

មានហេតុផលដែល IPsec ស្មុគស្មាញជាង WireGuard៖ វាធ្វើរឿងជាច្រើនទៀត។ ឧទាហរណ៍ ការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ដោយប្រើការចូល/ពាក្យសម្ងាត់ ឬស៊ីមកាតជាមួយ EAP។ វាមានសមត្ថភាពបន្ថែមក្នុងការបន្ថែមថ្មី។ បុព្វបទនៃការគ្រីប.

ហើយ WireGuard មិនមានវាទេ។

ហើយនេះមានន័យថា WireGuard នឹងបំបែកនៅចំណុចណាមួយ ពីព្រោះមួយនៃបុព្វហេតុគ្រីបគ្រីបនឹងចុះខ្សោយ ឬត្រូវបានសម្របសម្រួលទាំងស្រុង។ អ្នកនិពន្ធឯកសារបច្ចេកទេសនិយាយដូចនេះ៖

វាគួរឱ្យកត់សម្គាល់ថា WireGuard ត្រូវបានគេយល់ឃើញជាសម្ងាត់។ វាខ្វះភាពបត់បែននៃអក្សរសម្ងាត់ និងពិធីការដោយចេតនា។ ប្រសិនបើប្រហោងធ្ងន់ធ្ងរត្រូវបានរកឃើញនៅក្នុងមូលដ្ឋានបឋម ចំណុចបញ្ចប់ទាំងអស់នឹងត្រូវធ្វើបច្ចុប្បន្នភាព។ ដូចដែលអ្នកអាចមើលឃើញពីចរន្តបន្តនៃភាពងាយរងគ្រោះ SLL/TLS ភាពបត់បែននៃការអ៊ិនគ្រីបឥឡូវនេះបានកើនឡើងយ៉ាងខ្លាំង។

ប្រយោគចុងក្រោយគឺត្រឹមត្រូវណាស់។

ការឈានដល់ការយល់ស្របលើអ្វីដែលការអ៊ិនគ្រីបដែលត្រូវប្រើធ្វើឱ្យពិធីការដូចជា IKE និង TLS более ស្មុគស្មាញ។ ស្មុគស្មាញពេក? បាទ ភាពងាយរងគ្រោះគឺជារឿងធម្មតានៅក្នុង TLS/SSL ហើយមិនមានជម្រើសជំនួសពួកគេទេ។

លើការមិនអើពើនឹងបញ្ហាពិត

ស្រមៃថាអ្នកមានម៉ាស៊ីនមេ VPN ដែលមានអតិថិជនប្រយុទ្ធ 200 កន្លែងនៅជុំវិញពិភពលោក។ នេះជាករណីប្រើប្រាស់ស្តង់ដារស្អាត។ ប្រសិនបើអ្នកត្រូវផ្លាស់ប្តូរការអ៊ិនគ្រីប អ្នកត្រូវផ្តល់ការអាប់ដេតទៅគ្រប់ច្បាប់ចម្លងនៃ WireGuard នៅលើកុំព្យូទ័រយួរដៃ ស្មាតហ្វូន និងអ្វីៗផ្សេងទៀត។ ក្នុងពេលដំណាលគ្នា ចែកចាយ។ វាមិនអាចទៅរួចទេតាមព្យញ្ជនៈ។ អ្នកគ្រប់គ្រងដែលព្យាយាមធ្វើវានឹងត្រូវចំណាយពេលច្រើនខែដើម្បីដាក់ពង្រាយការកំណត់រចនាសម្ព័ន្ធដែលត្រូវការ ហើយវានឹងចំណាយពេលច្រើនឆ្នាំក្រុមហ៊ុនខ្នាតមធ្យមដើម្បីដកព្រឹត្តិការណ៍បែបនេះ។

IPsec និង OpenVPN ផ្តល់នូវមុខងារចរចារសម្ងាត់។ ដូច្នេះហើយ សម្រាប់ពេលខ្លះបន្ទាប់ពីអ្នកបើកការអ៊ិនគ្រីបថ្មី លេខចាស់ក៏នឹងដំណើរការផងដែរ។ វានឹងអនុញ្ញាតឱ្យអតិថិជនបច្ចុប្បន្នដំឡើងកំណែទៅកំណែថ្មី។ បន្ទាប់ពីការអាប់ដេតត្រូវបានដាក់ឱ្យដំណើរការ អ្នកគ្រាន់តែបិទការអ៊ិនគ្រីបដែលងាយរងគ្រោះ។ ហើយនោះហើយជាវា! រួចរាល់ហើយ! អ្នកគឺស្រស់ស្អាត! អតិថិជននឹងមិនកត់សំគាល់វាទេ។

នេះពិតជាករណីទូទៅសម្រាប់ការដាក់ពង្រាយធំ ហើយសូម្បីតែ OpenVPN ក៏មានការលំបាកខ្លះក្នុងរឿងនេះដែរ។ ភាពឆបគ្នាថយក្រោយគឺសំខាន់ ហើយទោះបីជាអ្នកប្រើការអ៊ិនគ្រីបខ្សោយក៏ដោយ សម្រាប់មនុស្សជាច្រើន នេះមិនមែនជាហេតុផលដើម្បីបិទអាជីវកម្មនោះទេ។ ព្រោះ​វា​នឹង​ធ្វើ​ឲ្យ​ការងារ​របស់​អតិថិជន​រាប់​រយ​នាក់​ដាច់​ដោយ​សារ​អសមត្ថភាព​ក្នុង​ការ​បំពេញ​ការងារ។

ក្រុម WireGuard បានធ្វើឱ្យពិធីការរបស់ពួកគេកាន់តែសាមញ្ញ ប៉ុន្តែមិនអាចប្រើប្រាស់បានទាំងស្រុងសម្រាប់អ្នកដែលមិនមានការគ្រប់គ្រងថេរលើមិត្តភ័ក្តិទាំងពីរនៅក្នុងផ្លូវរូងក្រោមដីរបស់ពួកគេ។ តាមបទពិសោធន៍របស់ខ្ញុំ នេះគឺជាសេណារីយ៉ូទូទៅបំផុត។

ចារកម្ម!

ប៉ុន្តែតើការអ៊ិនគ្រីបថ្មីគួរឱ្យចាប់អារម្មណ៍នេះដែល WireGuard ប្រើគឺជាអ្វី?

WireGuard ប្រើ Curve25519 សម្រាប់ការផ្លាស់ប្តូរសោ, ChaCha20 សម្រាប់ការអ៊ិនគ្រីប និង Poly1305 សម្រាប់ការផ្ទៀងផ្ទាត់ទិន្នន័យ។ វាក៏ដំណើរការជាមួយ SipHash សម្រាប់ hash keys និង BLAKE2 សម្រាប់ hashing។

ChaCha20-Poly1305 គឺជាស្តង់ដារសម្រាប់ IPsec និង OpenVPN (លើសពី TLS) ។

វាច្បាស់ណាស់ថាការអភិវឌ្ឍន៍របស់ Daniel Bernstein ត្រូវបានគេប្រើញឹកញាប់ណាស់។ BLAKE2 គឺជាអ្នកស្នងតំណែងរបស់ BLAKE ដែលជាក្រុមចុងក្រោយរបស់ SHA-3 ដែលមិនបានឈ្នះដោយសារតែភាពស្រដៀងគ្នារបស់វាទៅនឹង SHA-2។ ប្រសិនបើ SHA-2 ត្រូវបានខូច វាមានឱកាសល្អដែល BLAKE នឹងត្រូវបានសម្របសម្រួលផងដែរ។

IPsec និង OpenVPN មិនត្រូវការ SipHash ដោយសារតែការរចនារបស់ពួកគេ។ ដូច្នេះវត្ថុតែមួយគត់ដែលបច្ចុប្បន្នមិនអាចប្រើជាមួយពួកវាបានគឺ BLAKE2 ហើយមានតែរហូតដល់វាមានលក្ខណៈស្តង់ដារប៉ុណ្ណោះ។ នេះមិនមែនជាគុណវិបត្តិធំនោះទេ ពីព្រោះ VPNs ប្រើ HMAC ដើម្បីបង្កើតភាពសុចរិត ដែលត្រូវបានចាត់ទុកថាជាដំណោះស្រាយដ៏រឹងមាំ សូម្បីតែនៅក្នុងការភ្ជាប់ជាមួយ MD5 ក៏ដោយ។

ដូច្នេះខ្ញុំបានសន្និដ្ឋានថាឧបករណ៍គ្រីបគ្រីបស្ទើរតែដូចគ្នាត្រូវបានប្រើប្រាស់នៅក្នុង VPN ទាំងអស់។ ដូច្នេះ WireGuard មិនមានសុវត្ថិភាពជាង ឬតិចជាងផលិតផលបច្ចុប្បន្នផ្សេងទៀតទេ នៅពេលនិយាយអំពីការអ៊ិនគ្រីប ឬភាពត្រឹមត្រូវនៃទិន្នន័យដែលបានបញ្ជូន។

ប៉ុន្តែសូម្បីតែនេះមិនមែនជារឿងសំខាន់បំផុតដែលគួរយកចិត្តទុកដាក់យោងទៅតាមឯកសារផ្លូវការនៃគម្រោង។ យ៉ាងណាមិញរឿងសំខាន់គឺល្បឿន។

តើ WireGuard លឿនជាងដំណោះស្រាយ VPN ផ្សេងទៀតទេ?

និយាយឱ្យខ្លី៖ មិនលឿនទេ។

ChaCha20 គឺជាស្ទ្រីមស៊ីហ្វឺរដែលងាយស្រួលអនុវត្តនៅក្នុងកម្មវិធី។ វាអ៊ិនគ្រីបម្តងបន្តិចៗ។ រារាំងពិធីការដូចជា AES អ៊ិនគ្រីបប្លុក 128 ប៊ីតក្នុងពេលតែមួយ។ ត្រង់ស៊ីស្ទ័រជាច្រើនទៀតត្រូវបានទាមទារដើម្បីអនុវត្តការគាំទ្រផ្នែករឹង ដូច្នេះដំណើរការធំជាងនេះមកជាមួយ AES-NI ដែលជាផ្នែកបន្ថែមនៃការណែនាំដែលបំពេញភារកិច្ចមួយចំនួននៃដំណើរការអ៊ិនគ្រីបដើម្បីបង្កើនល្បឿនវា។

វាត្រូវបានគេរំពឹងថា AES-NI នឹងមិនចូលទៅក្នុងស្មាតហ្វូន [ប៉ុន្តែវាបានធ្វើ — ប្រហាក់ប្រហែល។ ក្នុងមួយ។] សម្រាប់បញ្ហានេះ ChaCha20 ត្រូវបានបង្កើតឡើងជាជម្រើសសន្សំសំចៃថ្មដែលមានទម្ងន់ស្រាល។ ដូច្នេះហើយ វាអាចក្លាយជាដំណឹងសម្រាប់អ្នកថា រាល់ស្មាតហ្វូនដែលអ្នកអាចទិញបាននាពេលបច្ចុប្បន្ននេះ មានការបង្កើនល្បឿន AES មួយចំនួន ហើយដំណើរការកាន់តែលឿន និងការប្រើប្រាស់ថាមពលទាបជាងជាមួយនឹងការអ៊ិនគ្រីបនេះជាង ChaCha20 ។

ជាក់ស្តែង រាល់ប្រព័ន្ធដំណើរការកុំព្យូទ័រ/ម៉ាស៊ីនមេដែលបានទិញក្នុងប៉ុន្មានឆ្នាំចុងក្រោយនេះមាន AES-NI ។

ដូច្នេះហើយ ខ្ញុំរំពឹងថា AES នឹងដំណើរការ ChaCha20 នៅគ្រប់សេណារីយ៉ូនីមួយៗ។ ឯកសារផ្លូវការរបស់ WireGuard លើកឡើងថាជាមួយនឹង AVX512, ChaCha20-Poly1305 នឹងដំណើរការលើសពី AES-NI ប៉ុន្តែផ្នែកបន្ថែមនៃការណែនាំនេះនឹងមាននៅលើស៊ីភីយូធំជាងមុន ដែលជាថ្មីម្តងទៀតនឹងមិនជួយជាមួយផ្នែករឹងចល័តតូចជាង និងច្រើនទៀត ដែលតែងតែលឿនជាមួយ AES - N.I.

ខ្ញុំមិនប្រាកដថាវាអាចត្រូវបានគេមើលឃើញទុកជាមុនក្នុងអំឡុងពេលនៃការអភិវឌ្ឍន៍ WireGuard នោះទេ ប៉ុន្តែសព្វថ្ងៃនេះ ការពិតដែលថាវាត្រូវបានភ្ជាប់ទៅការអ៊ិនគ្រីបតែឯងគឺជាគុណវិបត្តិរួចទៅហើយ ដែលប្រហែលជាមិនប៉ះពាល់ដល់ប្រតិបត្តិការរបស់វាយ៉ាងខ្លាំងនោះទេ។

IPsec អនុញ្ញាតឱ្យអ្នកជ្រើសរើសដោយសេរីនូវការអ៊ិនគ្រីបណាដែលល្អបំផុតសម្រាប់ករណីរបស់អ្នក។ ហើយជាការពិតណាស់ នេះគឺជាការចាំបាច់ ប្រសិនបើឧទាហរណ៍ អ្នកចង់ផ្ទេរទិន្នន័យ 10 ជីហ្គាបៃ ឬច្រើនជាងនេះ តាមរយៈការតភ្ជាប់ VPN។

បញ្ហានៃការរួមបញ្ចូលនៅក្នុងលីនុច

ទោះបីជា WireGuard បានជ្រើសរើសពិធីការអ៊ិនគ្រីបបែបទំនើបក៏ដោយ វាបណ្តាលឱ្យមានបញ្ហាជាច្រើនរួចទៅហើយ។ ដូច្នេះហើយ ជំនួសឱ្យការប្រើប្រាស់អ្វីដែលត្រូវបានគាំទ្រដោយខឺណែលចេញពីប្រអប់ ការរួមបញ្ចូល WireGuard ត្រូវបានពន្យារពេលអស់ជាច្រើនឆ្នាំ ដោយសារកង្វះបុព្វបទទាំងនេះនៅក្នុងលីនុច។

ខ្ញុំ​មិន​ប្រាកដ​ថា​ស្ថានភាព​មាន​អ្វី​នៅ​លើ​ប្រព័ន្ធ​ប្រតិបត្តិការ​ផ្សេង​ទៀត​នោះ​ទេ ប៉ុន្តែ​វា​ប្រហែល​ជា​មិន​ខុស​ពី​ Linux ប៉ុន្មាន​ទេ។

តើការពិតមើលទៅដូចអ្វី?

ជាអកុសល រាល់ពេលដែលអតិថិជនស្នើសុំឱ្យខ្ញុំរៀបចំការតភ្ជាប់ VPN សម្រាប់ពួកគេ ខ្ញុំបានជួបបញ្ហាដែលពួកគេកំពុងប្រើប្រាស់ព័ត៌មានសម្ងាត់ និងការអ៊ិនគ្រីបហួសសម័យ។ 3DES ក្នុងការភ្ជាប់ជាមួយ MD5 នៅតែជាការអនុវត្តធម្មតា ដូចទៅនឹង AES-256 និង SHA1 ដែរ។ ហើយទោះបីជាក្រោយមកទៀតគឺល្អជាងបន្តិច ប៉ុន្តែនេះមិនមែនជាអ្វីដែលគួរប្រើក្នុងឆ្នាំ 2020 នោះទេ។

សម្រាប់ការផ្លាស់ប្តូរគន្លឹះ តែងតែ RSA ត្រូវបានប្រើ - ឧបករណ៍យឺត ប៉ុន្តែមានសុវត្ថិភាពដោយយុត្តិធម៌។

អតិថិជនរបស់ខ្ញុំត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងអាជ្ញាធរគយ និងអង្គការ និងស្ថាប័នរដ្ឋាភិបាលផ្សេងទៀត ក៏ដូចជាសាជីវកម្មធំ ៗ ដែលឈ្មោះរបស់ពួកគេត្រូវបានគេស្គាល់ទូទាំងពិភពលោក។ ពួកគេទាំងអស់ប្រើទម្រង់ស្នើសុំដែលត្រូវបានបង្កើតឡើងជាច្រើនទសវត្សរ៍មុន ហើយសមត្ថភាពក្នុងការប្រើប្រាស់ SHA-512 គឺមិនដែលត្រូវបានបន្ថែមទេ។ ខ្ញុំមិនអាចនិយាយបានថាវាប៉ះពាល់ដល់វឌ្ឍនភាពបច្ចេកវិទ្យាយ៉ាងច្បាស់លាស់នោះទេ ប៉ុន្តែជាក់ស្តែងវាធ្វើឱ្យដំណើរការសាជីវកម្មដំណើរការយឺត។

វាធ្វើឱ្យខ្ញុំឈឺចាប់ក្នុងការឃើញវាដោយសារតែ IPsec បាននិងកំពុងគាំទ្រខ្សែកោងរាងអេលីបតាំងពីឆ្នាំ 2005។ Curve25519 ក៏ថ្មីជាង និងអាចប្រើប្រាស់បានផងដែរ។ វាក៏មានជម្រើសផ្សេងទៀតសម្រាប់ AES ដូចជា Camellia និង ChaCha20 ប៉ុន្តែជាក់ស្តែង មិនមែនពួកគេទាំងអស់ត្រូវបានគាំទ្រដោយអ្នកលក់ធំៗដូចជា Cisco និងអ្នកដទៃនោះទេ។

ហើយមនុស្សទាញយកប្រយោជន៍ពីវា។ មានឧបករណ៍ Cisco ជាច្រើន មានឧបករណ៍ជាច្រើនដែលត្រូវបានរចនាឡើងដើម្បីធ្វើការជាមួយ Cisco ។ ពួកគេគឺជាអ្នកដឹកនាំទីផ្សារនៅក្នុងផ្នែកនេះ ហើយមិនចាប់អារម្មណ៍ខ្លាំងចំពោះប្រភេទនៃការច្នៃប្រឌិតណាមួយឡើយ។

បាទ/ចាស ស្ថានភាព [នៅក្នុងផ្នែកសាជីវកម្ម] គឺអាក្រក់ណាស់ ប៉ុន្តែយើងនឹងមិនឃើញមានការផ្លាស់ប្តូរណាមួយទេ ដោយសារតែ WireGuard ។ អ្នកលក់ប្រហែលជាមិនដែលឃើញបញ្ហាដំណើរការណាមួយជាមួយឧបករណ៍ និងការអ៊ិនគ្រីបដែលពួកគេកំពុងប្រើរួចហើយ នឹងមិនឃើញមានបញ្ហាជាមួយ IKEv2 ទេ ដូច្នេះហើយពួកគេមិនស្វែងរកជម្រើសផ្សេងទេ។

ជាទូទៅ តើអ្នកធ្លាប់គិតចង់បោះបង់ Cisco ទេ?

គោល

ហើយឥឡូវនេះ ចូរបន្តទៅចំណុចគោលពីឯកសារ WireGuard ។ ទោះបីជា [ឯកសារ] នេះមិនមែនជាអត្ថបទវិទ្យាសាស្ត្រក៏ដោយ ខ្ញុំនៅតែរំពឹងថាអ្នកអភិវឌ្ឍន៍នឹងយកវិធីសាស្រ្តបែបវិទ្យាសាស្ត្របន្ថែមទៀត ឬប្រើវិធីសាស្រ្តវិទ្យាសាស្ត្រជាឯកសារយោង។ ស្តង់ដារណាមួយគឺគ្មានប្រយោជន៍ទេ ប្រសិនបើពួកគេមិនអាចផលិតឡើងវិញបាន ហើយថែមទាំងគ្មានប្រយោជន៍ទៀតនៅពេលដែលពួកគេទទួលបាននៅក្នុងមន្ទីរពិសោធន៍។

នៅក្នុងការស្ថាបនាលីនុចនៃ WireGuard វាទាញយកអត្ថប្រយោជន៍ពីការប្រើប្រាស់ GSO - Generic Segmentation Offloading ។ សូមអរគុណដល់គាត់ អតិថិជនបង្កើតកញ្ចប់ព័ត៌មានដ៏ធំនៃ 64 គីឡូបៃ ហើយអ៊ិនគ្រីប/ឌិគ្រីបវាក្នុងពេលតែមួយ។ ដូច្នេះ ការចំណាយលើការហៅ និងអនុវត្តប្រតិបត្តិការគ្រីបគ្រីបត្រូវបានកាត់បន្ថយ។ ប្រសិនបើអ្នកចង់ពង្រីកចរន្តនៃការតភ្ជាប់ VPN របស់អ្នក នេះជាគំនិតដ៏ល្អ។

ប៉ុន្តែជាធម្មតាការពិតគឺមិនសាមញ្ញទេ។ ការផ្ញើកញ្ចប់ធំបែបនេះទៅកាន់អាដាប់ទ័របណ្តាញ តម្រូវឱ្យវាកាត់ចូលទៅក្នុងកញ្ចប់តូចៗជាច្រើន។ ទំហំផ្ញើធម្មតាគឺ 1500 បៃ។ នោះគឺ 64 គីឡូបៃដ៏ធំរបស់យើងនឹងត្រូវបានបែងចែកជា 45 កញ្ចប់ (ព័ត៌មាន 1240 បៃ និង 20 បៃនៃក្បាល IP) ។ បន្ទាប់មកមួយរយៈពួកគេនឹងរារាំងការងាររបស់អាដាប់ទ័របណ្តាញទាំងស្រុងព្រោះពួកគេត្រូវតែត្រូវបានបញ្ជូនជាមួយគ្នានិងក្នុងពេលតែមួយ។ ជាលទ្ធផល វានឹងនាំទៅរកការលោតជាអាទិភាព ហើយកញ្ចប់ព័ត៌មានដូចជា VoIP នឹងត្រូវដាក់ជាជួរ។

ដូច្នេះ ចរន្តខ្ពស់ដែល WireGuard ទាមទារយ៉ាងក្លាហានគឺត្រូវបានសម្រេចដោយតម្លៃនៃការបន្ថយល្បឿនបណ្តាញនៃកម្មវិធីផ្សេងទៀត។ ហើយក្រុម WireGuard មានរួចហើយ បញ្ជាក់ នេះគឺជាការសន្និដ្ឋានរបស់ខ្ញុំ។

ប៉ុន្តែសូមបន្តទៅមុខទៀត។

យោងតាមស្តង់ដារនៅក្នុងឯកសារបច្ចេកទេស ការតភ្ជាប់បង្ហាញតាមរយៈ 1011 Mbps ។

គួរឱ្យចាប់អារម្មណ៍។

នេះគួរឱ្យចាប់អារម្មណ៍ជាពិសេសដោយសារតែការពិតថាចរន្តទ្រឹស្តីអតិបរមានៃការតភ្ជាប់អ៊ីសឺរណិត Gigabit តែមួយគឺ 966 Mbps ដែលមានទំហំកញ្ចប់ព័ត៌មាន 1500 បៃដក 20 បៃសម្រាប់បឋមកថា IP, 8 បៃសម្រាប់បឋមកថា UDP និង 16 បៃសម្រាប់បឋមកថានៃ WireGuard ខ្លួនវាផ្ទាល់។ មាន​បឋមកថា IP មួយ​ទៀត​ក្នុង​កញ្ចប់​ដែល​បាន​ខ្ចប់​និង​មួយ​ទៀត​ក្នុង TCP សម្រាប់ 20 បៃ។ ដូច្នេះតើកម្រិតបញ្ជូនបន្ថែមនេះមកពីណា?

ជាមួយនឹងស៊ុមដ៏ធំ និងអត្ថប្រយោជន៍នៃ GSO ដែលយើងបាននិយាយខាងលើ ទ្រឹស្តីអតិបរមាសម្រាប់ទំហំស៊ុម 9000 បៃនឹងមាន 1014 Mbps ។ ជាធម្មតាការឆ្លងកាត់បែបនេះគឺមិនអាចទទួលបាននៅក្នុងការពិតទេព្រោះវាត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការលំបាកយ៉ាងខ្លាំង។ ដូច្នេះហើយ ខ្ញុំគ្រាន់តែអាចសន្មត់ថាការធ្វើតេស្តនេះត្រូវបានអនុវត្តដោយប្រើស៊ុមដែលមានទំហំធំជាង 64 គីឡូបៃ ជាមួយនឹងទ្រឹស្តីអតិបរមា 1023 Mbps ដែលត្រូវបានគាំទ្រដោយអាដាប់ទ័របណ្តាញមួយចំនួនប៉ុណ្ណោះ។ ប៉ុន្តែនេះពិតជាមិនអាចអនុវត្តបាននៅក្នុងលក្ខខណ្ឌពិត ឬអាចប្រើបានតែរវាងស្ថានីយដែលតភ្ជាប់ដោយផ្ទាល់ពីរប៉ុណ្ណោះ ផ្តាច់មុខនៅក្នុងកៅអីសាកល្បង។

ប៉ុន្តែចាប់តាំងពីផ្លូវរូងក្រោមដី VPN ត្រូវបានបញ្ជូនបន្តរវាងម៉ាស៊ីនពីរដោយប្រើការតភ្ជាប់អ៊ីធឺណិតដែលមិនគាំទ្រស៊ុម jumbo ទាល់តែសោះ លទ្ធផលដែលសម្រេចបាននៅលើកៅអីមិនអាចត្រូវបានគេយកមកធ្វើជាគោលបានទេ។ នេះគ្រាន់តែជាសមិទ្ធិផលមន្ទីរពិសោធន៍ដែលមិនប្រាកដប្រជា ដែលមិនអាចទៅរួច និងមិនអាចអនុវត្តបាននៅក្នុងលក្ខខណ្ឌប្រយុទ្ធពិតប្រាកដ។

សូម្បីតែអង្គុយនៅក្នុងមជ្ឈមណ្ឌលទិន្នន័យ ខ្ញុំមិនអាចផ្ទេរស៊ុមធំជាង 9000 បៃបានទេ។

លក្ខណៈវិនិច្ឆ័យនៃការអនុវត្តនៅក្នុងជីវិតពិតគឺត្រូវបានរំលោភបំពានយ៉ាងពិតប្រាកដ ហើយដូចដែលខ្ញុំគិតថា អ្នកនិពន្ធនៃ "ការវាស់វែង" បានអនុវត្តការវាយតម្លៃខ្លួនឯងយ៉ាងធ្ងន់ធ្ងរសម្រាប់ហេតុផលជាក់ស្តែង។

ពន្លឺចុងក្រោយនៃក្តីសង្ឃឹម

គេហទំព័រ WireGuard និយាយច្រើនអំពីកុងតឺន័រ ហើយវាកាន់តែច្បាស់អំពីអ្វីដែលវាពិតជាមានបំណងសម្រាប់។

VPN ដ៏សាមញ្ញ និងរហ័សដែលមិនត្រូវការការកំណត់រចនាសម្ព័ន្ធ ហើយអាចត្រូវបានដាក់ពង្រាយ និងកំណត់រចនាសម្ព័ន្ធជាមួយនឹងឧបករណ៍ orchestration ដ៏ធំដូចជា Amazon មាននៅក្នុងពពករបស់ពួកគេ។ ជាពិសេស Amazon ប្រើលក្ខណៈពិសេសផ្នែករឹងចុងក្រោយបំផុតដែលខ្ញុំបានលើកឡើងពីមុន ដូចជា AVX512 ជាដើម។ នេះត្រូវបានធ្វើក្នុងគោលបំណងដើម្បីបង្កើនល្បឿនការងារ និងមិនត្រូវភ្ជាប់ទៅនឹង x86 ឬស្ថាបត្យកម្មផ្សេងទៀតទេ។

ពួកគេបង្កើនប្រសិទ្ធភាពការបញ្ជូនទិន្នន័យ និងកញ្ចប់ធំជាង 9000 បៃ - ទាំងនេះនឹងជាស៊ុមរុំព័ទ្ធដ៏ធំសម្រាប់កុងតឺន័រសម្រាប់ទំនាក់ទំនងគ្នាទៅវិញទៅមក ឬសម្រាប់ប្រតិបត្តិការបម្រុងទុក បង្កើតរូបថត ឬដាក់ពង្រាយធុងដូចគ្នាទាំងនេះ។ សូម្បីតែអាសយដ្ឋាន IP ថាមវន្តនឹងមិនប៉ះពាល់ដល់ប្រតិបត្តិការរបស់ WireGuard តាមមធ្យោបាយណាមួយឡើយ ក្នុងករណីដែលខ្ញុំបានពិពណ៌នា។

លេងបានល្អ។ ការអនុវត្តដ៏អស្ចារ្យ និងស្តើងណាស់ ស្ទើរតែពិធីការយោង។

ប៉ុន្តែវាមិនសមនឹងពិភពខាងក្រៅនៃមជ្ឈមណ្ឌលទិន្នន័យដែលអ្នកគ្រប់គ្រងទាំងស្រុងនោះទេ។ ប្រសិនបើអ្នកប្រថុយប្រថានហើយចាប់ផ្តើមប្រើ WireGuard អ្នកនឹងត្រូវធ្វើការសម្របសម្រួលជាប្រចាំក្នុងការរចនា និងការអនុវត្តពិធីការអ៊ិនគ្រីប។

សេចក្តីសន្និដ្ឋាន

វាងាយស្រួលសម្រាប់ខ្ញុំក្នុងការសន្និដ្ឋានថា WireGuard មិនទាន់រួចរាល់នៅឡើយទេ។

វាត្រូវបានចាត់ទុកថាជាដំណោះស្រាយស្រាល និងរហ័សចំពោះបញ្ហាមួយចំនួនជាមួយនឹងដំណោះស្រាយដែលមានស្រាប់។ ជាអកុសល សម្រាប់ជាប្រយោជន៍នៃដំណោះស្រាយទាំងនេះ គាត់បានលះបង់លក្ខណៈពិសេសជាច្រើនដែលនឹងពាក់ព័ន្ធសម្រាប់អ្នកប្រើប្រាស់ភាគច្រើន។ នោះហើយជាមូលហេតុដែលវាមិនអាចជំនួស IPsec ឬ OpenVPN បានទេ។

ដើម្បីឱ្យ WireGuard ក្លាយជាការប្រកួតប្រជែង អ្នកត្រូវបន្ថែមយ៉ាងហោចណាស់ការកំណត់អាសយដ្ឋាន IP និងការកំណត់ផ្លូវ និងការកំណត់ DNS។ ជាក់ស្តែង នេះគឺជាអ្វីដែលបណ្តាញអ៊ីនគ្រីបគឺសម្រាប់។

សុវត្ថិភាពគឺជាអាទិភាពចម្បងរបស់ខ្ញុំ ហើយឥឡូវនេះខ្ញុំគ្មានហេតុផលដើម្បីជឿថា IKE ឬ TLS ត្រូវបានសម្របសម្រួល ឬខូចនោះទេ។ ការអ៊ិនគ្រីបទំនើបត្រូវបានគាំទ្រនៅក្នុងពួកវាទាំងពីរ ហើយពួកគេត្រូវបានបញ្ជាក់ដោយប្រតិបត្តិការជាច្រើនទសវត្សរ៍។ អ្វី​ដែល​ថ្មី​ជាង មិន​មាន​ន័យ​ថា​វា​ល្អ​ជាង​នោះ​ទេ។

អន្តរប្រតិបត្តិការគឺមានសារៈសំខាន់ខ្លាំងណាស់ នៅពេលអ្នកទំនាក់ទំនងជាមួយភាគីទីបីដែលស្ថានីយ៍ដែលអ្នកមិនគ្រប់គ្រង។ IPsec គឺជាស្តង់ដារជាក់ស្តែង ហើយត្រូវបានគាំទ្រស្ទើរតែគ្រប់ទីកន្លែង។ ហើយគាត់ធ្វើការ។ ហើយមិនថាវាមានរូបរាងយ៉ាងណានោះទេ តាមទ្រឹស្តី WireGuard នាពេលអនាគតប្រហែលជាមិនអាចប្រើបានជាមួយកំណែផ្សេងគ្នារបស់វានោះទេ។

ការការពារការគ្រីបណាមួយត្រូវបានខូចឆាប់ឬក្រោយមក ហើយតាមនោះ ត្រូវតែជំនួស ឬធ្វើបច្ចុប្បន្នភាព។

ការបដិសេធការពិតទាំងអស់នេះ និងការចង់ប្រើ WireGuard ដោយខ្វាក់ភ្នែកដើម្បីភ្ជាប់ iPhone របស់អ្នកទៅស្ថានីយការងារផ្ទះរបស់អ្នក គឺគ្រាន់តែជាថ្នាក់មេក្នុងការបិទក្បាលរបស់អ្នកនៅក្នុងខ្សាច់ប៉ុណ្ណោះ។

ប្រភព: www.habr.com