WireGuard акыркы убакта көп көңүл буруп жатат, чындыгында бул VPN'дердин жаңы жылдызы. Бирок ал көрүнгөндөй жакшыбы? Мен кээ бир байкоолорду талкуулап, эмне үчүн IPsec же OpenVPN алмаштыруу чечими эмес экенин түшүндүрүү үчүн WireGuard ишке ашырылышын карап көргүм келет.
Бул макалада мен [WireGuard айланасындагы] кээ бир мифтерди жокко чыгаргым келет. Ооба, окууга көп убакыт керек, андыктан өзүңүзгө чай же кофе даярдай элек болсоңуз, анда аны жасоого убакыт келди. Мен дагы Петирге менин башаламан ойлорумду оңдогону үчүн рахмат айткым келет.
Мен өз алдыма WireGuard иштеп чыгуучуларын дискредитациялоо, алардын аракеттерин же идеяларын баалоону максат кылган жокмун. Алардын продукт иштеп жатат, бирок жеке менин оюмча, ал чындыгында болгонунан такыр башкача сунушталат - ал IPsec жана OpenVPN үчүн алмаштыруу катары берилген, ал чындыгында азыр жок.
Эскертүү катары, WireGuardдын мындай жайгашуусу үчүн жоопкерчилик долбоордун өзүнө же анын жаратуучуларына эмес, ал тууралуу сөз болгон ЖМКларга жүктөлөрүн кошумчалагым келет.
Акыркы убакта Linux ядросу жөнүндө жакшы жаңылыктар көп болгон жок. Ошентип, бизге программалык камсыздоо менен теңдештирилген процессордун коркунучтуу аялуу жактары жөнүндө айтып беришти, ал эми Линус Торвалдс бул тууралуу иштеп чыгуучунун утилитарлык тилинде өтө орой жана кызыксыз сүйлөдү. Пландоочу же нөл деңгээлдеги тармактык стек жылтырак журналдар үчүн өтө так темалар эмес. Жана бул жерде WireGuard келет.
Кагазда мунун баары сонун угулат: кызыктуу жаңы технология.
Бирок, келгиле, бир аз жакшыраак карап көрөлү.
WireGuard ак кагазы
Бул макала негизделген Джейсон Доненфельд тарабынан жазылган. Ал жерде ал Linux ядросунда [WireGuard] концепциясын, максатын жана техникалык ишке ашырылышын түшүндүрөт.
Биринчи сүйлөм мындай дейт:
WireGuard […] көпчүлүк учурларда IPsecтин да, башка популярдуу колдонуучу мейкиндигин жана/же OpenVPN сыяктуу TLS негизиндеги чечимдерди алмаштырууга багытталган, ошол эле учурда [куралды] коопсузураак, натыйжалуу жана колдонууга оңой.
Албетте, бардык жаңы технологиялардын негизги артыкчылыгы алардын жөнөкөйлүк [мурункуларга салыштырмалуу]. Бирок VPN да болушу керек натыйжалуу жана коопсуз.
Анда эмне болот?
Эгер бул сизге [VPN'ден] керек эмес деп айтсаңыз, анда окууну бул жерден бүтүрсөңүз болот. Бирок, мындай тапшырмалар башка туннелдерди куруу технологиясы үчүн коюлганын белгилей кетейин.
Жогорудагы цитатанын эң кызыктуусу “көпчүлүк учурда” деген сөздөрдө, албетте, басма сөз көз жаздымында калган. Ошентип, биз ушул шалаакылыктын айынан пайда болгон баш аламандыктын айынан ушул макалада турган жерге келдик.
WireGuard менин [IPsec] сайттан сайтка VPN алмаштырабы?
Жок. Cisco, Juniper жана башкалар сыяктуу ири сатуучулар өз өнүмдөрү үчүн WireGuard сатып алышына эч кандай мүмкүнчүлүк жок. Алар кандайдыр бир чоң муктаждык болбосо, кыймылда "өтүп жаткан поезддерге секиришпейт". Кийинчерээк мен алардын WireGuard өнүмдөрүн алар кааласа дагы ала албай калышынын айрым себептерин карап чыгам.
WireGuard менин RoadWarriorумду ноутбуктан маалымат борборуна алып кетеби?
Жок. Азыркы учурда, WireGuard ушуга окшош нерсени жасай алышы үчүн ишке ашырылган көптөгөн маанилүү функцияларга ээ эмес. Мисалы, ал туннелдин сервер тарабында динамикалык IP даректерди колдоно албайт жана мунун өзү эле продуктунун мындай колдонулушунун бардык сценарийин бузат.
IPFire көбүнчө DSL же кабелдик байланыштар сыяктуу арзан интернет шилтемелери үчүн колдонулат. Бул тез жипчеге муктаж болбогон чакан же орто бизнес үчүн мааниси бар. [Котормочунун эскертүүсү: байланыш жагынан Россия жана КМШнын айрым өлкөлөрү Европа менен Америка Кошмо Штаттарынан алда канча алдыда экенин унутпаңыз, анткени биз өз түйүндөрүбүздү бир топ кечирээк кура баштадык жана Ethernet жана оптикалык оптикалык тармактардын пайда болушу менен. стандартка ылайык, кайра куруу бизге жеңил болду. Ошол эле ЕБ же АКШ өлкөлөрүндө 3-5 Мбит/сек ылдамдыкта xDSL кең тилкелүү кирүү дагы эле жалпы норма болуп саналат жана була-оптикалык байланыш биздин стандарттар боюнча реалдуу эмес акчаны талап кылат. Ошондуктан, макаланын автору DSL же кабелдик байланышты байыркы убакта эмес, норма катары айтат.] Бирок, DSL, кабелдик, LTE (жана башка зымсыз кирүү ыкмалары) динамикалык IP даректерге ээ. Албетте, кээде алар бат-баттан өзгөрбөйт, бирок өзгөрөт.
аттуу чакан долбоор бар , бул кемчиликти жоюу үчүн колдонуучулар мейкиндигинде демонду кошот. Жогоруда сүрөттөлгөн колдонуучу сценарийинин чоң көйгөйү - динамикалык IPv6 дарегинин курчушу.
Дистрибьютордун көз карашы боюнча, мунун баары абдан жакшы көрүнбөйт. Дизайн максаттарынын бири протоколду жөнөкөй жана таза сактоо болгон.
Тилекке каршы, мунун баары чындыгында өтө жөнөкөй жана примитивдүү болуп калды, ошондуктан биз бул дизайн реалдуу колдонууда жарактуу болушу үчүн кошумча программалык камсыздоону колдонушубуз керек.
WireGuard колдонуу ушунчалык оңойбу?
Азырынча жок. Мен WireGuard эч качан эки чекиттин ортосунда туннелди өткөрүү үчүн жакшы альтернатива болбойт деп айтпайм, бирок азыр бул продукттун альфа версиясы болушу керек.
Бирок, анда ал иш жүзүндө эмне кылат? IPsecти сактоо чындап эле кыйыныраакпы?
Албетте, жок. IPsec сатуучусу бул жөнүндө ойлонуп, өз продуктусун IPFire сыяктуу интерфейс менен бирге жөнөтөт.
IPsec аркылуу VPN туннелин орнотуу үчүн сизге конфигурацияга киришиңиз керек болгон беш маалымат топтому керек болот: өзүңүздүн жалпы IP дарегиңиз, кабыл алуучу тараптын коомдук IP дареги, сиз аркылуу жалпыга ачык кылгыңыз келген субсеталар. бул VPN байланышы жана алдын ала бөлүшүлгөн ачкыч. Ошентип, VPN бир нече мүнөттүн ичинде орнотулуп, каалаган сатуучу менен шайкеш келет.
Тилекке каршы, бул окуяда бир нече өзгөчөлүктөр бар. OpenBSD машинасына IPsec аркылуу туннель жасоого аракет кылган ар бир адам менин эмне жөнүндө айтып жатканымды билет. Дагы бир нече кайгылуу мисалдар бар, бирок чындыгында, IPsecди колдонуу үчүн дагы көптөгөн жакшы тажрыйбалар бар.
Протоколдун татаалдыгы жөнүндө
Акыркы колдонуучу протоколдун татаалдыгы жөнүндө тынчсызданбашы керек.
Эгерде биз бул колдонуучуну чындап тынчсыздандырган дүйнөдө жашаган болсок, анда биз SIP, H.323, FTP жана NAT менен жакшы иштебеген он жыл мурун түзүлгөн башка протоколдордон эчак арылмакпыз.
IPsecтин WireGuardга караганда татаалыраак болушунун себептери бар: ал көп нерселерди жасайт. Мисалы, колдонуучунун аутентификациясы логин/парол же EAP менен SIM карта аркылуу. Бул жаңы кошуу үчүн кеңейтилген мүмкүнчүлүгү бар .
Ал эми WireGuardда андай жок.
Жана бул WireGuard кандайдыр бир учурда бузулат дегенди билдирет, анткени криптографиялык примитивдердин бири алсырап же толугу менен бузулат. Техникалык документациянын автору мындай дейт:
Белгилей кетсек, WireGuard криптографиялык көз карашта. Ал атайылап шифрлердин жана протоколдордун ийкемдүүлүгүнө жетишпейт. Эгерде астыңкы примитивдерде олуттуу тешиктер табылса, бардык акыркы чекиттерди жаңыртуу керек болот. Сиз SLL/TLS алсыздыгынын уланып жаткан агымынан көрүнүп тургандай, шифрлөөнүн ийкемдүүлүгү азыр абдан өстү.
Акыркы сүйлөм толугу менен туура.
Кандай шифрлөө керектиги боюнча консенсуска жетишүү IKE жана TLS сыяктуу протоколдорду түзөт дагы комплекс. Өтө татаалбы? Ооба, алсыздыктар TLS/SSLде кеңири таралган жана аларга альтернатива жок.
Чыныгы көйгөйлөргө көңүл бурбоо
Дүйнө жүзү боюнча 200 согуштук кардарлары бар VPN сервериңиз бар деп элестетиңиз. Бул абдан стандарттуу колдонуу учуру. Эгер сиз шифрлөөнү өзгөртүүгө туура келсе, жаңыртууну WireGuardтын ушул ноутбуктардагы, смартфондордогу жана башкалардагы бардык нускаларына жеткиришиңиз керек. Бир убакта жеткирүү. Бул түзмө-түз мүмкүн эмес. Муну жасоого аракет кылган администраторлор талап кылынган конфигурацияларды орнотуу үчүн айларды талап кылат жана мындай иш-чараны ишке ашыруу үчүн орто компанияга бир нече жыл талап кылынат.
IPsec жана OpenVPN шифр менен сүйлөшүү мүмкүнчүлүгүн сунуштайт. Ошондуктан, бир нече убакыт өткөндөн кийин, сиз жаңы шифрлөөнү күйгүзсөңүз, эскиси да иштейт. Бул учурдагы кардарларга жаңы версияга жаңыртуу мүмкүнчүлүгүн берет. Жаңыртуу чыгарылгандан кийин, сиз жөн гана аялуу шифрлөөнү өчүрөсүз. Болду! Даяр! сен сулуусуң! Кардарлар муну байкабайт да.
Бул чындыгында чоң жайылтуулар үчүн өтө кеңири таралган учур, жада калса OpenVPN да бул жагынан бир аз кыйынчылык жаратат. Артка шайкештик маанилүү жана алсызыраак шифрлөө колдонсоңуз да, бул көптөр үчүн бизнести жабууга себеп эмес. Анткени ал өз ишин аткара албагандыктан жүздөгөн кардарлардын ишин шал болуп калат.
WireGuard командасы өздөрүнүн протоколун жөнөкөйлөштүрдү, бирок туннелдеги эки теңтушту тең көзөмөлдөй албаган адамдар үчүн таптакыр жараксыз. Менин тажрыйбам боюнча, бул эң кеңири таралган сценарий.
Криптография!
Бирок WireGuard колдонгон бул кызыктуу жаңы шифрлөө деген эмне?
WireGuard ачкыч алмашуу үчүн Curve25519, шифрлөө үчүн ChaCha20 жана маалыматтардын аныктыгын текшерүү үчүн Poly1305 колдонот. Ошондой эле хэш ачкычтары үчүн SipHash жана хэширлөө үчүн BLAKE2 менен иштейт.
ChaCha20-Poly1305 IPsec жана OpenVPN (TLS аркылуу) үчүн стандартташтырылган.
Бул Даниел Бернштейн иштеп чыгуу абдан көп колдонулганы көрүнүп турат. BLAKE2 - SHA-3ге окшоштугунан улам жеңе албаган SHA-2 финалисти БЛЕЙКтин мураскери. Эгер SHA-2 бузула турган болсо, БЛЕЙКтин да бузулушуна жакшы мүмкүнчүлүк бар болчу.
IPsec жана OpenVPN дизайнына байланыштуу SipHash керек эмес. Ошентип, учурда алар менен колдонулбай турган жалгыз нерсе - бул BLAKE2 жана бул стандартташтырылганга чейин гана. Бул чоң кемчилик эмес, анткени VPN'дер бүтүндүктү түзүү үчүн HMACти колдонушат, ал MD5 менен бирге күчтүү чечим болуп эсептелет.
Ошентип, мен бардык VPN'дерде дээрлик бирдей криптографиялык куралдардын топтому колдонулат деген тыянакка келдим. Демек, WireGuard шифрлөө же берилүүчү маалыматтардын бүтүндүгүнө келгенде башка учурдагы продуктуларга караганда көбүрөөк же кем эмес коопсуз.
Бирок бул долбоордун расмий документтерине ылайык көңүл бурууга татыктуу болгон эң маанилүү нерсе эмес. Анткени, башкы нерсе — ылдамдык.
WireGuard башка VPN чечимдерине караганда тезби?
Кыскача айтканда: жок, тезирээк эмес.
ChaCha20 бул программалык камсыздоодо ишке ашыруу оңой болгон агым шифри. Ал бирден бир бит шифрлейт. AES сыяктуу блок протоколдору блокту бир убакта 128 бит шифрлейт. Аппараттык колдоону ишке ашыруу үчүн алда канча көп транзисторлор талап кылынат, андыктан чоңураак процессорлор AES-NI менен келет, инструкциялар топтому кеңейтүүсү, ал шифрлөө процессинин кээ бир тапшырмаларын тездетет.
AES-NI смартфондорго эч качан кирбейт деп күтүлгөн [бирок бул болжол менен. пер.]. Бул үчүн, ChaCha20 жеңил, батареяны үнөмдөөчү альтернатива катары иштелип чыккан. Ошондуктан, бүгүн сиз сатып ала турган ар бир смартфондун AES ылдамдатуусунун кандайдыр бир түрү бар жана ChaCha20га караганда бул шифрлөө менен ылдамыраак жана азыраак энергия керектелет деген жаңылык болушу мүмкүн.
Албетте, акыркы эки жылда сатылып алынган ар бир иш тактасы/сервер процессорунда AES-NI бар.
Ошондуктан, мен AES ар бир сценарийде ChaCha20дан ашат деп күтөм. WireGuard расмий документтеринде AVX512 менен ChaCha20-Poly1305 AES-NIдан ашып түшөөрү айтылат, бирок бул нускамалар топтому кеңейтилиши чоңураак CPUларда гана жеткиликтүү болот, бул дагы AES менен ар дайым ылдамыраак боло турган кичинекей жана мобилдүү жабдыктарга жардам бербейт. - Н.И.
Мен муну WireGuard иштеп чыгуу учурунда алдын ала айтууга болобу, билбейм, бирок бүгүнкү күндө анын шифрлөө үчүн гана кадалганы анын иштешине анчалык деле таасир этпеши мүмкүн болгон кемчилик.
IPsec сиздин ишиңизге кайсы шифрлөө эң ылайыктуу экенин эркин тандоого мүмкүндүк берет. Жана, албетте, бул, мисалы, VPN туташуусу аркылуу 10 же андан көп гигабайт маалыматтарды өткөргүңүз келсе, зарыл.
Linux менен интеграция маселелери
WireGuard заманбап шифрлөө протоколун тандап алганы менен, бул көп көйгөйлөрдү жаратат. Ошентип, кутудан чыккан ядро тарабынан колдоого алынган нерсени колдонуунун ордуна, Linux'та бул примитивдердин жоктугунан улам WireGuard интеграциясы жылдар бою кечигип келген.
Башка операциялык системалардагы абал кандай экенин так айта албайм, бирок ал Linuxдан анча деле айырмаланбаса керек.
Чындык кандай көрүнөт?
Тилекке каршы, кардар менден алар үчүн VPN туташуусун орнотууну суранган сайын, алар эскирген эсептик дайындарды жана шифрлөөнү колдонуп жатат деген маселеге туш болом. MD3 менен бирге 5DES дагы эле жалпы практика болуп саналат, AES-256 жана SHA1. Акыркысы бир аз жакшыраак болсо да, бул 2020-жылы колдонула турган нерсе эмес.
Ачкыч алмашуу үчүн дайыма RSA колдонулат - жай, бирок кыйла коопсуз курал.
Менин кардарларым бажы органдары жана башка мамлекеттик уюмдар жана мекемелер менен, ошондой эле аттары бүткүл дүйнөгө белгилүү болгон ири корпорациялар менен байланышта. Алардын баары ондогон жылдар мурун түзүлгөн суроо формасын колдонушат жана SHA-512 колдонуу мүмкүнчүлүгү эч качан кошулган эмес. Бул кандайдыр бир деңгээлде технологиялык прогресске ачык таасир этет деп айта албайм, бирок, албетте, корпоративдик процессти жайлатат.
Муну көргөндө аябай кыйналам, анткени IPsec эллиптикалык ийри сызыктарды 2005-жылдан бери колдоп келет. Curve25519 дагы жаңыраак жана колдонууга жеткиликтүү. Camellia жана ChaCha20 сыяктуу AESдин альтернативалары да бар, бирок алардын баары Cisco жана башкалар сыяктуу ири сатуучулар тарабынан колдоого алынбайт.
Анан эл андан пайдаланып жатат. Cisco комплекттери көп, Cisco менен иштөө үчүн иштелип чыккан көптөгөн комплекттер бар. Алар бул сегментте рыноктун лидерлери жана эч кандай инновацияга анча кызыкпайт.
Ооба, [корпоративдик сегменттеги] абал коркунучтуу, бирок WireGuardдын айынан биз эч кандай өзгөрүүлөрдү көрбөйбүз. Сатуучулар, балким, алар колдонуп жаткан шаймандар жана шифрлөө менен эч качан майнаптуулук көйгөйлөрүн көрүшпөйт, IKEv2 менен эч кандай көйгөйлөрдү көрүшпөйт, ошондуктан алар альтернатива издешпейт.
Дегеле, сиз Ciscoдон баш тартуу жөнүндө ойлондуңуз беле?
Эталондор
Эми WireGuard документтеринен эталондорго өтөбүз. Бул [документация] илимий макала болбосо да, мен иштеп чыгуучулар илимий мамилени же илимий ыкманы шилтеме катары колдонушат деп күттүм. Кандайдыр бир эталондук көрсөткүчтөр кайра жаралбаса, пайдасыз, ал эми лабораторияда алынганда андан да жараксыз.
WireGuard Linux түзүмүндө ал GSO - Жалпы сегментацияны түшүрүү мүмкүнчүлүгүн колдонот. Анын аркасында кардар 64 килобайттан турган чоң пакетти түзүп, аны бир жолу шифрлейт/дешифрлейт. Ошентип, криптографиялык операцияларды чакырууга жана ишке ашырууга кеткен чыгым азаят. Эгер сиз VPN туташууңуздун өткөрүү жөндөмдүүлүгүн жогорулатууну кааласаңыз, бул жакшы идея.
Бирок, адаттагыдай, чындык анчалык деле жөнөкөй эмес. Тармактык адаптерге мынчалык чоң пакетти жөнөтүү аны көптөгөн майда пакеттерге кесүүнү талап кылат. Кадимки жөнөтүү көлөмү 1500 байт. Башкача айтканда, биздин гигант 64 килобайт 45 пакетке бөлүнөт (1240 байт маалымат жана 20 байт IP аталышы). Андан кийин, бир аз убакытка, алар тармак адаптеринин ишин толугу менен бөгөттөп коюшат, анткени алар чогуу жана дароо жөнөтүлүшү керек. Натыйжада, бул артыкчылыктуу секирикке алып келет, мисалы, VoIP сыяктуу пакеттер кезекке коюлат.
Ошентип, WireGuard ушунчалык тайманбастык менен ырастаган жогорку өткөрүү жөндөмдүүлүгү башка тиркемелердин тармагын жайлатуунун эсебинен жетишилет. Ал эми WireGuard командасы мурунтан эле бул менин корутундум.
Бирок андан ары уланталы.
Техникалык документациядагы эталондорго ылайык, байланыш 1011 Мбит/сек өткөрүү жөндөмдүүлүгүн көрсөтөт.
таасирдүү.
Бул өзгөчө таасирдүү, анткени бир Gigabit Ethernet байланышынын максималдуу теориялык өткөрүү жөндөмдүүлүгү 966 Мбит / с болгон пакеттин көлөмү 1500 байт минус 20 байт IP аталышы үчүн, 8 байт UDP аталышы үчүн жана 16 байт WireGuard өзү. Инкапсуляцияланган пакетте дагы бир IP аталышы жана 20 байт үчүн TCPде дагы бирөө бар. Анда бул кошумча өткөрүү жөндөмдүүлүгү кайдан пайда болгон?
Чоң кадрлар жана биз жогоруда сөз кылган GSOнун артыкчылыктары менен, 9000 байт кадр өлчөмү үчүн теориялык максимум 1014 Мбит/сек болмок. Адатта, мындай өткөрүү жөндөмдүүлүгү чындыгында мүмкүн эмес, анткени ал чоң кыйынчылыктар менен байланышкан. Ошентип, мен сыноо теориялык максимум 64 Мбит / с болгон 1023 килобайттан дагы чоңураак кадрларды колдонуу менен аткарылды деп болжолдой алам, аны кээ бир тармак адаптерлери гана колдойт. Бирок бул реалдуу шарттарда таптакыр колдонулбайт, же эки тике туташкан станциянын ортосунда гана, сыноо стендинин ичинде гана колдонулушу мүмкүн.
Бирок VPN туннели эки хосттун ортосунда жумбо жээкчелерин колдобогон Интернет байланышы аркылуу жөнөтүлгөндүктөн, стендде жетишилген натыйжаны эталон катары кабыл алууга болбойт. Бул жөн гана реалдуу согуштук шарттарда мүмкүн эмес жана колдонууга мүмкүн болбогон лабораториялык жетишкендик.
Дата борборунда отурганда да 9000 байттан чоң кадрларды өткөрө алган жокмун.
Чыныгы жашоодо колдонуу критерийи таптакыр бузулган жана, менимче, жүргүзүлгөн "өлчөмдүн" автору белгилүү себептерден улам өзүн олуттуу түрдө дискредитациялаган.
Үмүттүн акыркы жарыгы
WireGuard веб-сайтында контейнерлер жөнүндө көп айтылат жана ал чынында эмнеге арналганы айкын болуп калат.
Жөнөкөй жана тез VPN, эч кандай конфигурацияны талап кылбайт жана Amazon сыяктуу массалык оркестрлөө куралдары менен конфигурацияланса болот. Тактап айтканда, Amazon мен жогоруда айткан AVX512 сыяктуу акыркы аппараттык мүмкүнчүлүктөрдү колдонот. Бул ишти тездетүү жана x86 же башка архитектурага байланбоо үчүн жасалат.
Алар өткөрүү жөндөмдүүлүгүн жана 9000 байттан чоң пакеттерди оптималдаштырат - бул контейнерлер бири-бири менен байланышуу үчүн же резервдик операциялар үчүн, снапшотторду түзүү же ошол эле контейнерлерди жайгаштыруу үчүн чоң инкапсуляцияланган рамкалар болот. Ал тургай, динамикалык IP даректери мен сүрөттөгөн сценарийде WireGuard иштешине эч кандай таасир этпейт.
Жакшы ойнолду. Мыкты ишке ашыруу жана абдан жука, дээрлик шилтеме протоколу.
Бирок ал сиз толугу менен көзөмөлдөгөн маалымат борборунан тышкаркы дүйнөгө туура келбейт. Эгер сиз тобокелге салып, WireGuard колдоно баштасаңыз, шифрлөө протоколун иштеп чыгууда жана ишке ашырууда дайыма компромисстерге барууга туура келет.
жыйынтыктоо
Мен үчүн WireGuard али даяр эмес деген тыянак чыгаруу оңой.
Ал учурдагы чечимдер менен бир катар көйгөйлөрдү жеңил жана тез чечүү катары иштелип чыккан. Тилекке каршы, бул чечимдер үчүн, ал көпчүлүк колдонуучулар үчүн актуалдуу боло турган көптөгөн функцияларды курман кылды. Ошондуктан ал IPsec же OpenVPN алмаштыра албайт.
WireGuard атаандаштыкка жөндөмдүү болушу үчүн, ал жок дегенде IP дарегин жөндөөсүн жана маршрутизацияны жана DNS конфигурациясын кошушу керек. Албетте, бул шифрленген каналдар үчүн.
Коопсуздук менин башкы приоритетим жана азыр IKE же TLS кандайдыр бир жол менен бузулган же бузулган деп ишенүүгө эч кандай негиз жок. Заманбап шифрлөө экөө тең колдоого алынат жана алар ондогон жылдар бою иштөө менен далилденген. Бир нерсе жаңыраак болгону ал жакшыраак дегенди билдирбейт.
Станцияларын сиз көзөмөлдөбөгөн үчүнчү тараптар менен баарлашканыңызда өз ара аракеттенүү абдан маанилүү. IPsec де-факто стандарт жана дээрлик бардык жерде колдоого алынат. Жана ал иштейт. Ал кандай көрүнбөсүн, теориялык жактан алганда, WireGuard келечекте өзүнүн ар кандай версиялары менен шайкеш келбеши мүмкүн.
Ар кандай криптографиялык коргоо эртеби-кечпи бузулат жана ошого жараша алмаштырылышы же жаңыланышы керек.
Бул фактылардын баарын четке кагып, WireGuard менен iPhone телефонуңузду үйүңүздөгү жумушчу станцияңызга туташтырууну кааласаңыз, бул жөн гана башыңызды кумга салуу боюнча мастер-класс.
Source: www.habr.com