Kāpēc nevajadzētu izmantot WireGuard

WireGuard pēdējā laikā ir ieguvis lielu uzmanību, patiesībā tā ir jaunā zvaigzne starp VPN. Bet vai viņš ir tik labs, kā šķiet? Es vēlētos apspriest dažus novērojumus un pārskatīt WireGuard ieviešanu, lai izskaidrotu, kāpēc tas nav risinājums, lai aizstātu IPsec vai OpenVPN.

Šajā rakstā es vēlētos atspēkot dažus mītus [ap WireGuard]. Jā, lasīšanai būs vajadzīgs ilgs laiks, tāpēc, ja neesi sev pagatavojis tasi tējas vai kafijas, tad ir pienācis laiks to izdarīt. Vēlos pateikties arī Pēterim par manu haotisko domu labošanu.

Es neizvirzu sev mērķi diskreditēt WireGuard izstrādātājus, devalvēt viņu centienus vai idejas. Viņu produkts darbojas, bet personīgi es domāju, ka tas tiek pasniegts pilnīgi savādāk nekā tas ir patiesībā - tas tiek pasniegts kā IPsec un OpenVPN aizstājējs, kura patiesībā tagad vienkārši nav.

Kā piezīmi vēlos piebilst, ka atbildība par šādu WireGuard pozicionēšanu gulstas uz medijiem, kas par to runāja, nevis pašam projektam vai tā veidotājiem.

Pēdējā laikā nav bijis daudz labu ziņu par Linux kodolu. Tātad, mums tika stāstīts par zvērīgajiem procesora ievainojamībām, kuras izlīdzināja programmatūra, un Linuss Torvalds par to runāja pārāk rupji un garlaicīgi, izstrādātāja utilitārajā valodā. Plānotājs vai nulles līmeņa tīkla kaudze arī nav ļoti skaidra tēma glancētajiem žurnāliem. Un šeit nāk WireGuard.

Uz papīra tas viss izklausās lieliski: aizraujoša jauna tehnoloģija.

Bet paskatīsimies uz to nedaudz tuvāk.

WireGuard balts papīrs

Šis raksts ir balstīts uz oficiālā WireGuard dokumentācijarakstījis Džeisons Donenfelds. Tur viņš izskaidro [WireGuard] koncepciju, mērķi un tehnisko ieviešanu Linux kodolā.

Pirmais teikums skan:

WireGuard […] mērķis ir aizstāt gan IPsec vairumā lietošanas gadījumu, gan citus populārus lietotāja telpas un/vai TLS risinājumus, piemēram, OpenVPN, vienlaikus nodrošinot lielāku drošību, veiktspēju un vienkāršāku lietošanu [rīks].

Protams, visu jauno tehnoloģiju galvenā priekšrocība ir to vienkāršība [salīdzinot ar priekšgājējiem]. Bet arī VPN vajadzētu būt efektīva un droša.

Tātad, kas būs tālāk?

Ja sakāt, ka tas nav tas, kas jums nepieciešams [no VPN], varat beigt lasīšanu šeit. Tomēr atzīmēšu, ka šādi uzdevumi tiek izvirzīti jebkurai citai tunelēšanas tehnoloģijai.

Visinteresantākais no iepriekš minētā citāta slēpjas vārdos "lielākajā daļā gadījumu", kurus prese, protams, ignorēja. Un tā, esam tur, kur nonācām šīs nolaidības radītā haosa dēļ – šajā rakstā.

Vai WireGuard aizstās manu [IPsec] vietņu-vietņu VPN?

Nē. Vienkārši nav iespēju, ka lielie pārdevēji, piemēram, Cisco, Juniper un citi, iegādāsies WireGuard saviem produktiem. Viņi "nelec uz garāmbraucošiem vilcieniem" kustībā, ja vien nav lielas vajadzības to darīt. Vēlāk es apskatīšu dažus iemeslus, kāpēc viņi, iespējams, nevarēs iegūt savus WireGuard produktus, pat ja viņi to vēlētos.

Vai WireGuard nogādās manu RoadWarrior no mana klēpjdatora uz datu centru?

Nē. Pašlaik WireGuard nav ieviests liels skaits svarīgu funkciju, lai tas varētu paveikt kaut ko līdzīgu. Piemēram, tas nevar izmantot dinamiskas IP adreses tuneļa servera pusē, un tas vien izjauc visu šāda produkta izmantošanas scenāriju.

IPFire bieži izmanto lētām interneta saitēm, piemēram, DSL vai kabeļa savienojumiem. Tas ir jēga maziem vai vidējiem uzņēmumiem, kuriem nav nepieciešama ātrā šķiedra. [Piezīme no tulka: neaizmirstiet, ka komunikācijas ziņā Krievija un dažas NVS valstis ir tālu priekšā Eiropai un ASV, jo mēs sākām veidot savus tīklus daudz vēlāk un līdz ar Ethernet un optisko šķiedru tīklu parādīšanos. standarta, mums bija vieglāk atjaunot. Tajās pašās ES vai ASV valstīs xDSL platjoslas piekļuve ar ātrumu 3-5 Mb/s joprojām ir vispārēja norma, un optiskās šķiedras pieslēgums maksā pēc mūsu standartiem nereālu naudu. Tāpēc raksta autore runā par DSL jeb kabeļa savienojumu kā normu, nevis seniem laikiem.] Tomēr DSL, kabeli, LTE (un citām bezvadu piekļuves metodēm) ir dinamiskas IP adreses. Protams, dažreiz tie nemainās bieži, bet mainās.

Ir apakšprojekts ar nosaukumu "wg-dynamic", kas pievieno lietotāja telpas dēmonu, lai novērstu šo trūkumu. Milzīga problēma iepriekš aprakstītajā lietotāja scenārijā ir dinamiskās IPv6 adresācijas saasināšanās.

No izplatītāja viedokļa tas viss arī neizskatās īpaši labi. Viens no dizaina mērķiem bija saglabāt protokolu vienkāršu un tīru.

Diemžēl tas viss ir kļuvis pārāk vienkārši un primitīvi, tāpēc mums ir jāizmanto papildu programmatūra, lai viss šis dizains būtu dzīvotspējīgs reālajā lietošanā.

Vai WireGuard ir tik vienkārši lietojams?

Vēl nē. Es nesaku, ka WireGuard nekad nebūs laba alternatīva tunelēšanai starp diviem punktiem, taču pagaidām tā ir tikai produkta alfa versija, kādai tai ir jābūt.

Bet ko tad viņš patiesībā dara? Vai tiešām IPsec ir daudz grūtāk uzturēt?

Acīmredzot nē. IPsec pārdevējs par to ir domājis un piegādā savu produktu kopā ar interfeisu, piemēram, ar IPFire.

Lai iestatītu VPN tuneli, izmantojot IPsec, jums būs nepieciešamas piecas datu kopas, kas jāievada konfigurācijā: jūsu publiskā IP adrese, saņēmējas puses publiskā IP adrese, apakštīkli, kurus vēlaties publiskot. šis VPN savienojums un iepriekš koplietotā atslēga. Tādējādi VPN tiek iestatīts dažu minūšu laikā un ir saderīgs ar jebkuru pārdevēju.

Diemžēl šim stāstam ir daži izņēmumi. Ikviens, kurš ir mēģinājis pāriet caur IPsec uz OpenBSD mašīnu, zina, par ko es runāju. Ir vēl pāris sāpīgi piemēri, bet patiesībā IPsec izmantošanai ir daudz, daudz vairāk labas prakses.

Par protokola sarežģītību

Galalietotājam nav jāuztraucas par protokola sarežģītību.

Ja mēs dzīvotu pasaulē, kur tas būtu patiess lietotāja rūpes, tad mēs būtu atbrīvojušies no SIP, H.323, FTP un citiem protokoliem, kas izveidoti pirms vairāk nekā desmit gadiem un kas nedarbojas labi ar NAT.

Ir iemesli, kāpēc IPsec ir sarežģītāks par WireGuard: tas veic daudz vairāk lietu. Piemēram, lietotāja autentifikācija, izmantojot pieteikumvārdu / paroli vai SIM karti ar EAP. Tam ir paplašināta iespēja pievienot jaunu kriptogrāfijas primitīvi.

Un WireGuard tā nav.

Un tas nozīmē, ka WireGuard kādā brīdī salūzīs, jo kāds no kriptogrāfijas primitīviem vājināsies vai tiks pilnībā kompromitēts. Tehniskās dokumentācijas autors saka:

Ir vērts atzīmēt, ka WireGuard ir kriptogrāfiski izteikts viedoklis. Tam apzināti trūkst šifru un protokolu elastības. Ja pamatā esošajos primitīvos tiek atrasti nopietni caurumi, būs jāatjaunina visi galapunkti. Kā redzams no pastāvīgās SLL/TLS ievainojamību straumes, šifrēšanas elastība tagad ir ārkārtīgi palielinājusies.

Pēdējais teikums ir pilnīgi pareizs.

Panākot vienprātību par to, kādu šifrēšanu izmantot, tiek izveidoti tādi protokoli kā IKE un TLS vairāk komplekss. Pārāk sarežģīti? Jā, ievainojamības TLS/SSL ir diezgan izplatītas, un tām nav alternatīvas.

Par reālu problēmu ignorēšanu

Iedomājieties, ka jums ir VPN serveris ar 200 kaujas klientiem visā pasaulē. Šis ir diezgan standarta lietošanas gadījums. Ja jums ir jāmaina šifrēšana, jums ir jāpiegādā atjauninājums uz visām WireGuard kopijām šajos klēpjdatoros, viedtālruņos un tā tālāk. Vienlaicīgi piegādāt. Tas ir burtiski neiespējami. Administratoriem, kas mēģina to izdarīt, būs nepieciešami mēneši, lai izvietotu vajadzīgās konfigurācijas, un burtiski vidēji lielam uzņēmumam būs vajadzīgi gadi, lai īstenotu šādu notikumu.

IPsec un OpenVPN piedāvā šifrēšanas sarunu funkciju. Tāpēc kādu laiku, pēc kura ieslēdzat jauno šifrēšanu, darbosies arī vecā. Tas ļaus pašreizējiem klientiem jaunināt uz jauno versiju. Kad atjauninājums ir izlaists, jūs vienkārši izslēdzat ievainojamo šifrēšanu. Un tas arī viss! Gatavs! tu esi skaista! Klienti to pat nepamanīs.

Tas patiesībā ir ļoti izplatīts gadījums lielām izvietošanām, un pat OpenVPN ar to ir dažas grūtības. Atgriezeniskā saderība ir svarīga, un, lai gan izmantojat vājāku šifrēšanu, daudziem tas nav iemesls uzņēmuma slēgšanai. Jo tas paralizēs simtiem klientu darbu, jo nespēj veikt savu darbu.

WireGuard komanda ir padarījusi savu protokolu vienkāršāku, taču pilnīgi nelietojamu cilvēkiem, kuriem nav pastāvīgas kontroles pār abiem vienaudžiem savā tunelī. Pēc manas pieredzes šis ir visizplatītākais scenārijs.

Kriptogrāfija!

Bet kāda ir šī interesantā jaunā šifrēšana, ko izmanto WireGuard?

WireGuard izmanto Curve25519 atslēgu apmaiņai, ChaCha20 šifrēšanai un Poly1305 datu autentifikācijai. Tas darbojas arī ar SipHash jaukšanas taustiņiem un BLAKE2 jaukšanai.

ChaCha20-Poly1305 ir standartizēts IPsec un OpenVPN (izmantojot TLS).

Ir acīmredzams, ka Daniela Bernsteina attīstība tiek izmantota ļoti bieži. BLAKE2 ir BLAKE pēctecis, SHA-3 finālists, kurš neuzvarēja tā līdzības dēļ ar SHA-2. Ja SHA-2 tiktu bojāts, pastāv liela iespēja, ka arī BLAKE tiks apdraudēta.

IPsec un OpenVPN to dizaina dēļ nav nepieciešams SipHash. Tātad vienīgais, ko pašlaik nevar izmantot kopā ar tiem, ir BLAKE2, un tas ir tikai līdz brīdim, kad tas tiek standartizēts. Tas nav liels trūkums, jo VPN integritātes izveidošanai izmanto HMAC, kas tiek uzskatīts par spēcīgu risinājumu pat kopā ar MD5.

Tāpēc es nonācu pie secinājuma, ka gandrīz vienāds kriptogrāfijas rīku komplekts tiek izmantots visos VPN. Tāpēc WireGuard nav vairāk vai mazāk drošs par jebkuru citu pašreizējo produktu attiecībā uz šifrēšanu vai pārsūtīto datu integritāti.

Bet pat tas nav vissvarīgākais, kam ir vērts pievērst uzmanību saskaņā ar projekta oficiālo dokumentāciju. Galu galā galvenais ir ātrums.

Vai WireGuard ir ātrāks par citiem VPN risinājumiem?

Īsāk sakot: nē, ne ātrāk.

ChaCha20 ir straumes šifrs, ko ir vieglāk ieviest programmatūrā. Tas šifrē pa vienam bitam. Bloku protokoli, piemēram, AES, vienlaikus šifrē bloku par 128 bitiem. Aparatūras atbalsta ieviešanai ir nepieciešams daudz vairāk tranzistoru, tāpēc lielākiem procesoriem ir AES-NI — instrukciju kopas paplašinājums, kas veic dažus šifrēšanas procesa uzdevumus, lai to paātrinātu.

Bija paredzēts, ka AES-NI nekad nenokļūs viedtālruņos [bet tas notika - apm. per.]. Šim nolūkam ChaCha20 tika izstrādāts kā viegla, akumulatoru taupoša alternatīva. Tāpēc jums var būt jaunums, ka katram viedtālrunim, kuru varat iegādāties šodien, ir sava veida AES paātrinājums un tas darbojas ātrāk un ar mazāku enerģijas patēriņu ar šo šifrēšanu nekā ar ChaCha20.

Acīmredzot gandrīz katram pēdējo pāris gadu laikā iegādātajam galddatoru/servera procesoram ir AES-NI.

Tāpēc es sagaidu, ka AES pārsniegs ChaCha20 katrā scenārijā. WireGuard oficiālajā dokumentācijā minēts, ka ar AVX512 ChaCha20-Poly1305 pārspēs AES-NI, taču šis instrukciju kopas paplašinājums būs pieejams tikai lielākiem CPU, kas atkal nepalīdzēs ar mazāku un mobilāku aparatūru, kas vienmēr būs ātrāka ar AES. - N.I.

Es neesmu pārliecināts, vai to varēja paredzēt WireGuard izstrādes laikā, taču šodien tas, ka tas ir pienaglots tikai ar šifrēšanu, jau ir trūkums, kas var neietekmēt tā darbību.

IPsec ļauj brīvi izvēlēties, kura šifrēšana ir vislabākā jūsu gadījumam. Un, protams, tas ir nepieciešams, ja, piemēram, vēlaties pārsūtīt 10 vai vairāk gigabaitus datu, izmantojot VPN savienojumu.

Integrācijas problēmas operētājsistēmā Linux

Lai gan WireGuard ir izvēlējies modernu šifrēšanas protokolu, tas jau tagad rada daudz problēmu. Tā vietā, lai izmantotu to, ko atbalsta kodols jau no kastes, WireGuard integrācija ir aizkavējusies gadiem ilgi, jo Linux trūkst šo primitīvu.

Es neesmu pilnīgi pārliecināts, kāda ir situācija citās operētājsistēmās, taču, iespējams, tā daudz neatšķiras no Linux.

Kā izskatās realitāte?

Diemžēl ikreiz, kad klients lūdz man izveidot viņam VPN savienojumu, es saskaros ar problēmu, ka viņi izmanto novecojušus akreditācijas datus un šifrēšanu. 3DES kopā ar MD5 joprojām ir izplatīta prakse, tāpat kā AES-256 un SHA1. Un, lai gan pēdējais ir nedaudz labāks, tas nav kaut kas, ko vajadzētu izmantot 2020. gadā.

Atslēgu maiņai vienmēr Tiek izmantots RSA - lēns, bet diezgan drošs rīks.

Mani klienti ir saistīti ar muitas iestādēm un citām valsts organizācijām un iestādēm, kā arī ar lielajām korporācijām, kuru vārdi ir zināmi visā pasaulē. Viņi visi izmanto pieprasījuma veidlapu, kas tika izveidota pirms gadu desmitiem, un iespēja izmantot SHA-512 vienkārši netika pievienota. Es nevaru teikt, ka tas kaut kā skaidri ietekmē tehnoloģisko progresu, bet acīmredzot tas bremzē korporatīvo procesu.

Man ir sāpīgi to redzēt, jo IPsec jau kopš 2005. gada atbalsta eliptiskās līknes. Curve25519 ir arī jaunāks un pieejams lietošanai. Ir arī AES alternatīvas, piemēram, Camellia un ChaCha20, taču acīmredzot ne visas no tām atbalsta lielie pārdevēji, piemēram, Cisco un citi.

Un cilvēki to izmanto. Ir daudz Cisco komplektu, ir daudz komplektu, kas paredzēti darbam ar Cisco. Viņi ir tirgus līderi šajā segmentā un nav īpaši ieinteresēti nekāda veida inovācijās.

Jā, situācija [korporatīvajā segmentā] ir šausmīga, taču WireGuard dēļ nekādas izmaiņas neredzēsim. Pārdevēji, iespējams, nekad neredzēs veiktspējas problēmas ar rīkiem un šifrēšanu, ko viņi jau izmanto, neredzēs nekādas problēmas ar IKEv2, un tāpēc viņi nemeklē alternatīvas.

Vispār, vai esat kādreiz domājis par atteikšanos no Cisco?

Etaloni

Un tagad pāriesim pie etaloniem no WireGuard dokumentācijas. Lai gan šī [dokumentācija] nav zinātnisks raksts, es tomēr gaidīju, ka izstrādātāji izmantos zinātniskāku pieeju vai izmantos zinātnisku pieeju kā atsauci. Jebkuri etaloni ir bezjēdzīgi, ja tos nevar reproducēt, un vēl jo vairāk bezjēdzīgi, ja tie tiek iegūti laboratorijā.

WireGuard Linux versijā tas izmanto GSO — vispārējās segmentācijas izkraušanas priekšrocības. Pateicoties viņam, klients izveido milzīgu 64 kilobaitu paketi un šifrē / atšifrē to vienā piegājienā. Tādējādi tiek samazinātas kriptogrāfijas operāciju izsaukšanas un ieviešanas izmaksas. Ja vēlaties maksimāli palielināt VPN savienojuma caurlaidspēju, šī ir laba ideja.

Bet, kā parasti, realitāte nav tik vienkārša. Lai nosūtītu tik lielu paketi uz tīkla adapteri, tā ir jāsagriež daudzās mazākās paketēs. Parastais sūtīšanas lielums ir 1500 baiti. Tas ir, mūsu 64 kilobaitu milzis tiks sadalīts 45 paketēs (1240 baiti informācijas un 20 baiti IP galvenes). Tad viņi kādu laiku pilnībā bloķēs tīkla adaptera darbu, jo tie ir jānosūta kopā un uzreiz. Rezultātā tas novedīs pie prioritātes lēciena, un paketes, piemēram, VoIP, tiks ievietotas rindā.

Tādējādi WireGuard tik drosmīgi apgalvotā augstā caurlaidspēja tiek sasniegta uz citu lietojumprogrammu tīkla palēnināšanas rēķina. Un WireGuard komanda jau ir apstiprināja tāds ir mans secinājums.

Bet ejam tālāk.

Saskaņā ar tehniskajā dokumentācijā norādītajiem etaloniem savienojuma caurlaidspēja ir 1011 Mbps.

Iespaidīgi.

Tas ir īpaši iespaidīgi tādēļ, ka viena Gigabit Ethernet savienojuma maksimālā teorētiskā caurlaidspēja ir 966 Mb/s ar paketes lielumu 1500 baiti mīnus 20 baiti IP galvenei, 8 baiti UDP galvenei un 16 baiti galvenei. pats WireGuard. Iekapsulētajā paketē ir vēl viena IP galvene un vēl viena TCP 20 baitiem. Tātad, no kurienes radās šis papildu joslas platums?

Ar milzīgiem kadriem un GSO priekšrocībām, par kurām mēs runājām iepriekš, teorētiskais maksimums kadra izmēram 9000 baiti būtu 1014 Mbps. Parasti šāda caurlaidspēja patiesībā ir nesasniedzama, jo ir saistīta ar lielām grūtībām. Līdz ar to varu tikai pieņemt, ka tests tika veikts, izmantojot vēl treknākus 64 kilobaitu lielizmēra kadrus ar teorētisko maksimumu 1023 Mb/s, ko atbalsta tikai daži tīkla adapteri. Bet tas ir absolūti nepiemērojams reālos apstākļos vai to var izmantot tikai starp divām tieši savienotām stacijām, tikai testa stendā.

Bet, tā kā VPN tunelis tiek pārsūtīts starp diviem resursdatoriem, izmantojot interneta savienojumu, kas vispār neatbalsta jumbo kadrus, uz stenda sasniegto rezultātu nevar uzskatīt par etalonu. Tas ir vienkārši nereāls laboratorijas sasniegums, kas nav iespējams un nav pielietojams reālos kaujas apstākļos.

Pat sēžot datu centrā, es nevarēju pārsūtīt kadrus, kas lielāki par 9000 baitiem.

Piemērojamības kritērijs reālajā dzīvē ir absolūti pārkāpts un, kā domāju, veiktā "mērījuma" autors acīmredzamu iemeslu dēļ sevi nopietni diskreditēja.

Pēdējais cerības stariņš

WireGuard vietne daudz runā par konteineriem un kļūst skaidrs, kam tas īsti ir paredzēts.

Vienkāršs un ātrs VPN, kam nav nepieciešama konfigurācija, un to var izvietot un konfigurēt, izmantojot tādus masveida orķestrēšanas rīkus kā Amazon savā mākonī. Konkrēti, Amazon izmanto jaunākās aparatūras funkcijas, kuras jau minēju iepriekš, piemēram, AVX512. Tas tiek darīts, lai paātrinātu darbu un netiktu saistīts ar x86 vai kādu citu arhitektūru.

Tie optimizē caurlaidspēju un paketes, kas ir lielākas par 9000 baitiem — tie būs milzīgi iekapsulēti rāmji konteineru savstarpējai saziņai vai dublēšanas operācijām, momentuzņēmumu izveidei vai šo pašu konteineru izvietošanai. Pat dinamiskas IP adreses nekādā veidā neietekmēs WireGuard darbību manis aprakstītā scenārija gadījumā.

Labi spēlēts. Lieliska ieviešana un ļoti plāns, gandrīz atsauces protokols.

Bet tas vienkārši neiederas pasaulē ārpus datu centra, kuru jūs pilnībā kontrolējat. Ja uzņematies risku un sākat lietot WireGuard, jums būs pastāvīgi jāpiekāpjas šifrēšanas protokola izstrādē un ieviešanā.

secinājums

Man ir viegli secināt, ka WireGuard vēl nav gatavs.

Tas tika iecerēts kā viegls un ātrs risinājums vairākām problēmām ar esošajiem risinājumiem. Diemžēl šo risinājumu dēļ viņš upurēja daudzas funkcijas, kas būs aktuālas lielākajai daļai lietotāju. Tāpēc tas nevar aizstāt IPsec vai OpenVPN.

Lai WireGuard kļūtu konkurētspējīgs, tam ir jāpievieno vismaz IP adreses iestatījums un maršrutēšanas un DNS konfigurācija. Acīmredzot šim nolūkam ir paredzēti šifrētie kanāli.

Drošība ir mana galvenā prioritāte, un šobrīd man nav iemesla uzskatīt, ka IKE vai TLS ir kaut kā apdraudēts vai bojāts. Abos no tiem tiek atbalstīta mūsdienīga šifrēšana, un to ir pierādījusi gadu desmitiem ilga darbība. Tas, ka kaut kas ir jaunāks, nenozīmē, ka tas ir labāks.

Sadarbspēja ir ārkārtīgi svarīga, sazinoties ar trešajām pusēm, kuru stacijas jūs nekontrolējat. IPsec ir de facto standarts, un tas tiek atbalstīts gandrīz visur. Un viņš strādā. Un neatkarīgi no tā, kā tas izskatās, teorētiski WireGuard nākotnē var nebūt saderīgs pat ar dažādām tā versijām.

Jebkāda kriptogrāfiskā aizsardzība agrāk vai vēlāk tiek sabojāta un attiecīgi jāaizstāj vai jāatjaunina.

Visu šo faktu noliegšana un akla vēlme izmantot WireGuard, lai savienotu savu iPhone ar mājas darbstaciju, ir tikai meistarklase, kā iebāzt galvu smiltīs.

Avots: www.habr.com