WireGuard нь сүүлийн үед олны анхаарлыг татаж байгаа бөгөөд үнэн хэрэгтээ энэ нь VPN-ийн шинэ од юм. Гэхдээ тэр харагдаж байгаа шигээ сайн уу? IPsec эсвэл OpenVPN-ийг солих шийдэл биш гэдгийг тайлбарлахын тулд би зарим ажиглалтын талаар ярилцаж, WireGuard-ийн хэрэгжилтийг хянаж үзэхийг хүсч байна.
Энэ нийтлэлд би [WireGuard-ийн эргэн тойронд байгаа] домогуудын заримыг задлахыг хүсч байна. Тийм ээ, уншихад удаан хугацаа шаардагдах тул хэрэв та өөртөө аяга цай, кофе хийж амжаагүй бол үүнийг хийх цаг болжээ. Эмх замбараагүй бодлыг минь зассан Петрт бас баярлалаа гэж хэлмээр байна.
Би WireGuard-ийн хөгжүүлэгчидийн нэр хүндийг гутаах, тэдний хүчин чармайлт, санаа бодлыг гутаах зорилго тавиагүй. Тэдний бүтээгдэхүүн ажиллаж байгаа, гэхдээ би хувьдаа энэ нь бодит байдлаас тэс өөр харагдаж байна гэж би бодож байна - энэ нь IPsec болон OpenVPN-ийг орлуулах хэлбэрээр танилцуулсан бөгөөд энэ нь үнэндээ одоо байхгүй.
WireGuard-ийн ийм байрлалын хариуцлагыг төсөл өөрөө эсвэл түүнийг бүтээгчид биш харин энэ тухай ярьсан хэвлэл мэдээллийнхэн хариуцдаг гэдгийг тэмдэглэхийг хүсч байна.
Сүүлийн үед Линуксийн цөмийн талаар тийм ч сайн мэдээ гарахгүй байна. Тиймээс, програм хангамжаар тэгшитгэсэн процессорын аймшигт эмзэг байдлын талаар бидэнд хэлсэн бөгөөд Линус Торвалдс үүнийг хөгжүүлэгчийн утилитар хэлээр хэтэрхий бүдүүлэг, уйтгартай ярьсан. Төлөвлөгч эсвэл тэг түвшний сүлжээний стек нь гялгар сэтгүүлийн хувьд тийм ч тодорхой сэдэв биш юм. Энд WireGuard ирлээ.
Цаасан дээр энэ бүхэн гайхалтай сонсогдож байна: сэтгэл хөдөлгөм шинэ технологи.
Гэхдээ үүнийг арай илүү нарийвчлан авч үзье.
WireGuard цагаан цаас
Энэ нийтлэл дээр үндэслэсэн болно Жейсон Доненфельд бичсэн. Тэнд тэрээр Linux цөм дэх [WireGuard]-ийн үзэл баримтлал, зорилго, техникийн хэрэгжилтийг тайлбарлав.
Эхний өгүүлбэр нь:
WireGuard […] нь ихэнх хэрэглээний тохиолдолд IPsec болон бусад түгээмэл хэрэглэгчийн орон зай ба/эсвэл OpenVPN зэрэг TLS-д суурилсан шийдлүүдийг солихын зэрэгцээ илүү найдвартай, гүйцэтгэлтэй, ашиглахад хялбар [хэрэгсэл] байх зорилготой.
Мэдээжийн хэрэг, бүх шинэ технологийн гол давуу тал нь тэдний энгийн байдал [өмнөх үеийнхтэй харьцуулахад]. Гэхдээ VPN нь бас байх ёстой үр дүнтэй, аюулгүй.
Тэгэхээр, дараа нь юу вэ?
Хэрэв та [VPN-ээс] энэ нь танд хэрэгтэй зүйл биш гэж хэлэх юм бол эндээс уншиж дуусгах боломжтой. Гэсэн хэдий ч, ийм даалгаврууд нь бусад ямар ч хонгилын технологид тавигддаг гэдгийг тэмдэглэх болно.
Дээрх ишлэлээс хамгийн сонирхолтой нь "ихэнх тохиолдолд" гэсэн үгэнд оршдог бөгөөд үүнийг мэдээж хэвлэлүүд үл тоомсорлодог. Тиймээс бид энэ хайхрамжгүй байдлаас үүдэн үүссэн эмх замбараагүй байдлын улмаас дууссан газар - энэ нийтлэлд.
WireGuard миний [IPsec] сайтаас сайт руу VPN-ийг солих уу?
Үгүй Cisco, Juniper болон бусад томоохон үйлдвэрлэгчид WireGuard-г бүтээгдэхүүнээ худалдаж авах боломж байхгүй. Асар их шаардлага байхгүй л бол тэд "зөрж өнгөрөх галт тэрэгнүүд дээр үсрдэггүй". Хожим нь би тэд хүссэн ч гэсэн WireGuard бүтээгдэхүүнээ авч чадахгүй байх зарим шалтгааныг авч үзэх болно.
WireGuard миний RoadWarrior-г зөөврийн компьютерээсээ дата төв рүү аваачих уу?
Үгүй Яг одоо WireGuard-д үүнтэй төстэй зүйлийг хийх боломжтой олон тооны чухал функцууд байхгүй байна. Жишээлбэл, энэ нь туннелийн серверийн тал дээр динамик IP хаягийг ашиглах боломжгүй бөгөөд энэ нь дангаараа бүтээгдэхүүний ийм ашиглалтын бүх хувилбарыг эвддэг.
IPFire нь ихэвчлэн DSL эсвэл кабелийн холболт гэх мэт хямд интернетийн холбоосуудад ашиглагддаг. Энэ нь хурдан шилэн хэрэгцээгүй жижиг, дунд бизнесүүдэд ойлгомжтой юм. [Орчуулагчийн тэмдэглэл: Харилцаа холбооны хувьд Орос болон ТУХН-ийн зарим орнууд Европ, АНУ-аас хол түрүүлж байгааг мартаж болохгүй, учир нь бид сүлжээгээ нэлээд хожуу байгуулж эхэлсэн бөгөөд Ethernet болон шилэн кабелийн сүлжээ бий болсон. стандарт бол бидэнд дахин барихад илүү хялбар байсан. ЕХ эсвэл АНУ-ын ижил орнуудад xDSL өргөн зурвасын холболтыг 3-5 Mbps хурдтай ашиглах нь нийтлэг жишиг хэвээр байгаа бөгөөд шилэн кабелийн холболт нь манай стандартын дагуу бодитой бус мөнгө шаарддаг. Тиймээс нийтлэлийн зохиогч DSL эсвэл кабелийн холболтыг эрт дээр үеэс биш ердийн зүйл гэж ярьдаг.] Гэсэн хэдий ч DSL, кабель, LTE (болон бусад утасгүй хандалтын аргууд) нь динамик IP хаягтай байдаг. Мэдээжийн хэрэг, заримдаа тэд байнга өөрчлөгддөггүй, гэхдээ тэд өөрчлөгддөг.
гэдэг дэд төсөл бий , энэ дутагдлыг арилгахын тулд хэрэглэгчийн орон зайн демоныг нэмдэг. Дээр дурдсан хэрэглэгчийн хувилбартай холбоотой томоохон асуудал бол динамик IPv6 хаягжилтыг улам хүндрүүлсэн явдал юм.
Дистрибьютерийн үүднээс энэ бүхэн тийм ч сайн харагдахгүй байна. Загварын нэг зорилго нь протоколыг энгийн бөгөөд цэвэр байлгах явдал байв.
Харамсалтай нь энэ бүхэн хэтэрхий энгийн бөгөөд энгийн зүйл болсон тул бид энэ бүх загварыг бодит хэрэглээнд ашиглах боломжтой болгохын тулд нэмэлт програм хангамж ашиглах шаардлагатай болсон.
WireGuard ашиглахад тийм хялбар гэж үү?
Хараахан болоогүй. Би WireGuard хэзээ ч хоёр цэгийн хооронд туннел хийх сайн хувилбар болохгүй гэж хэлээгүй ч одоогоор энэ нь байх ёстой бүтээгдэхүүний альфа хувилбар юм.
Гэхдээ тэр үнэхээр юу хийдэг вэ? IPsec-ийг хадгалахад үнэхээр хэцүү гэж үү?
Мэдээж үгүй. IPsec борлуулагч энэ талаар бодож, бүтээгдэхүүнээ IPFire гэх мэт интерфэйсийн хамт нийлүүлдэг.
IPsec-ээр VPN туннелийг тохируулахын тулд танд тохиргоонд оруулах шаардлагатай таван багц өгөгдөл хэрэгтэй болно: өөрийн нийтийн IP хаяг, хүлээн авагч талын нийтийн IP хаяг, олон нийтэд нээлттэй болгохыг хүссэн дэд сүлжээнүүд. энэ VPN холболт болон урьдчилан хуваалцсан түлхүүр. Тиймээс VPN-ийг хэдхэн минутын дотор тохируулдаг бөгөөд ямар ч үйлдвэрлэгчтэй нийцдэг.
Харамсалтай нь энэ түүхэнд цөөн хэдэн үл хамаарах зүйлүүд бий. OpenBSD машин руу IPsec-ээр туннель хийхийг оролдсон хэн бүхэн миний юу яриад байгааг мэднэ. Өөр хэд хэдэн зовлонтой жишээ байдаг, гэхдээ үнэндээ IPsec-ийг ашиглах олон сайн туршлагууд байдаг.
Протоколын нарийн төвөгтэй байдлын тухай
Эцсийн хэрэглэгч протоколын нарийн төвөгтэй байдлын талаар санаа зовох шаардлагагүй болно.
Хэрэв бид энэ нь хэрэглэгчдийн санааг зовоож буй ертөнцөд амьдарч байсан бол арав гаруй жилийн өмнө бий болсон NAT-тай сайн ажилладаггүй SIP, H.323, FTP болон бусад протоколуудаас салах байсан.
IPsec нь WireGuard-аас илүү төвөгтэй байдаг шалтгаанууд байдаг: энэ нь илүү олон зүйлийг хийдэг. Жишээлбэл, нэвтрэх / нууц үг эсвэл EAP бүхий SIM карт ашиглан хэрэглэгчийн баталгаажуулалт. Энэ нь шинийг нэмэх өргөтгөсөн чадвартай .
WireGuard-д тийм зүйл байхгүй.
Энэ нь WireGuard хэзээ нэгэн цагт эвдрэх болно гэсэн үг юм, учир нь криптографийн командуудын аль нэг нь сулрах эсвэл бүрмөсөн эвдрэх болно. Техникийн баримт бичгийн зохиогч ингэж хэлэв:
WireGuard нь криптографийн үзэл бодолтой гэдгийг тэмдэглэх нь зүйтэй. Энэ нь зориудаар шифр, протоколын уян хатан чанаргүй байдаг. Хэрэв үндсэн командуудад ноцтой нүх олдвол бүх төгсгөлийн цэгүүдийг шинэчлэх шаардлагатай болно. Та SLL/TLS-ийн сул талуудын үргэлжилсэн урсгалаас харж байгаагаар шифрлэлтийн уян хатан байдал одоо асар их нэмэгдсэн байна.
Сүүлийн өгүүлбэр үнэхээр зөв.
Ямар шифрлэлт ашиглах талаар зөвшилцөлд хүрснээр IKE болон TLS зэрэг протоколууд бий болдог дэлгэрэнгүй цогцолбор. Хэт төвөгтэй юу? Тийм ээ, эмзэг байдал нь TLS/SSL-д нэлээд түгээмэл байдаг бөгөөд үүнээс өөр зүйл байхгүй.
Бодит асуудлуудыг үл тоомсорлож байна
Та дэлхийн хаа нэгтээ 200 байлдааны үйлчлүүлэгчтэй VPN сервертэй гэж төсөөлөөд үз дээ. Энэ бол нэлээд стандарт хэрэглээний тохиолдол юм. Хэрэв та шифрлэлтийг өөрчлөх шаардлагатай бол эдгээр зөөврийн компьютер, ухаалаг гар утас гэх мэт WireGuard програмын бүх хуулбарт шинэчлэлтийг хүргэх хэрэгтэй. Нэг зэрэг хүргэх. Энэ нь шууд утгаараа боломжгүй юм. Үүнийг хийхийг оролдож буй админууд шаардлагатай тохиргоог хийхэд хэдэн сар шаардагдах бөгөөд ийм үйл явдлыг таслан зогсоохын тулд дунд хэмжээний компанид хэдэн жил шаардагдах болно.
IPsec болон OpenVPN нь шифрийн хэлэлцээр хийх боломжийг санал болгодог. Тиймээс, хэсэг хугацааны дараа та шинэ шифрлэлтийг асаахад хуучин нь бас ажиллах болно. Энэ нь одоогийн хэрэглэгчдэд шинэ хувилбар руу шинэчлэх боломжийг олгоно. Шинэчлэлтийг гаргасны дараа та зүгээр л эмзэг шифрлэлтийг унтраа. Тэгээд л болоо! Бэлэн! чи үзэсгэлэнтэй юм! Үйлчлүүлэгчид үүнийг анзаарахгүй байх болно.
Энэ нь үнэндээ том хэмжээний байршуулалтын хувьд маш түгээмэл тохиолдол бөгөөд OpenVPN хүртэл үүнд зарим хүндрэл гардаг. Буцаж нийцтэй байх нь чухал бөгөөд хэдийгээр та илүү сул шифрлэлт ашигладаг ч олон хүний хувьд энэ нь бизнесээ хаах шалтгаан биш юм. Учир нь энэ нь олон зуун үйлчлүүлэгчийн ажлыг хийж чадахгүйгээс болж ажлыг нь саатуулна.
WireGuard баг нь протоколоо илүү хялбар болгосон боловч хонгил дахь үе тэнгийнхнийхээ аль алиныг нь байнга хянаж чаддаггүй хүмүүст бүрэн ашиглах боломжгүй болгосон. Миний туршлагаас харахад энэ бол хамгийн түгээмэл хувилбар юм.
Криптограф!
Гэхдээ WireGuard ашигладаг энэ сонирхолтой шинэ шифрлэлт юу вэ?
WireGuard нь Curve25519-ийг түлхүүр солилцоход, ChaCha20-г шифрлэхэд, Poly1305-ыг өгөгдөл баталгаажуулахад ашигладаг. Энэ нь мөн хэш түлхүүрийн хувьд SipHash, хэшний хувьд BLAKE2-тэй ажилладаг.
ChaCha20-Poly1305 нь IPsec болон OpenVPN (TLS гаруй)-д стандартчилагдсан.
Даниел Бернштейний хөгжлийг маш олон удаа ашигладаг нь ойлгомжтой. BLAKE2 нь SHA-3-той төстэй байдгаас болж ялаагүй SHA-2-ын финалд шалгарсан BLAKE-ийн залгамж халаа юм. Хэрэв SHA-2 эвдэрсэн бол BLAKE-д ч бас аюул учрах магадлал өндөр байсан.
IPsec болон OpenVPN-д дизайны улмаас SipHash хэрэггүй. Тиймээс одоогоор тэдгээрийг ашиглах боломжгүй цорын ганц зүйл бол BLAKE2 бөгөөд энэ нь зөвхөн стандартчилагдсан хүртэл л болно. Энэ нь тийм ч том сул тал биш, учир нь VPN нь HMAC-ийг бүрэн бүтэн байдлыг бий болгоход ашигладаг бөгөөд энэ нь MD5-тай ч гэсэн хүчтэй шийдэл гэж тооцогддог.
Тиймээс би бүх VPN-д бараг ижил төрлийн криптограф хэрэгслийг ашигладаг гэсэн дүгнэлтэд хүрсэн. Тиймээс WireGuard нь шифрлэлт эсвэл дамжуулагдсан өгөгдлийн бүрэн бүтэн байдлын хувьд одоогийн бусад бүтээгдэхүүнээс илүү эсвэл дутуу хамгаалалттай байдаггүй.
Гэхдээ энэ нь төслийн албан ёсны баримт бичгийн дагуу анхаарах ёстой хамгийн чухал зүйл биш юм. Эцсийн эцэст гол зүйл бол хурд юм.
WireGuard бусад VPN шийдлүүдээс хурдан байдаг уу?
Товчхондоо: үгүй, илүү хурдан биш.
ChaCha20 нь програм хангамжид хэрэгжүүлэхэд хялбар урсгалын шифр юм. Энэ нь нэг битийг шифрлэдэг. AES гэх мэт блокийн протоколууд нь блокыг нэг удаад 128 битээр шифрлэдэг. Техник хангамжийн дэмжлэгийг хэрэгжүүлэхийн тулд илүү их транзистор шаардагддаг тул илүү том процессорууд нь шифрлэлтийн процессыг хурдасгах зарим ажлыг гүйцэтгэдэг AES-NI зааврын багц өргөтгөлтэй ирдэг.
AES-NI хэзээ ч ухаалаг гар утсанд орохгүй гэж таамаглаж байсан [гэхдээ тийм байсан - ойролцоогоор. per.]. Үүний тулд ChaCha20-ийг хөнгөн жинтэй, батарей хэмнэх хувилбар болгон боловсруулсан. Тиймээс өнөөдөр таны худалдан авч болох ухаалаг утас бүр AES хурдатгалтай бөгөөд энэ шифрлэлт нь ChaCha20-ээс илүү хурдан, бага эрчим хүч зарцуулдаг гэсэн мэдээ болж магадгүй юм.
Сүүлийн хоёр жилд худалдаж авсан бараг бүх ширээний/серверийн процессор бүр AES-NI-тэй байгаа нь ойлгомжтой.
Тиймээс би AES-ийг ChaCha20-г бүх хувилбараар давах болно гэж найдаж байна. WireGuard-ын албан ёсны баримт бичигт AVX512-ийн тусламжтайгаар ChaCha20-Poly1305 нь AES-NI-ээс илүү сайн ажиллах болно гэж дурьдсан боловч энэхүү зааврын багц өргөтгөл нь зөвхөн том CPU дээр ашиглах боломжтой бөгөөд энэ нь AES-тэй үргэлж илүү хурдан байх жижиг, илүү хөдөлгөөнт төхөөрөмжид тус болохгүй. - Н.И.
WireGuard-ийг хөгжүүлэх явцад үүнийг урьдчилан таамаглаж байсан эсэхийг би сайн мэдэхгүй байна, гэхдээ өнөөдөр үүнийг зөвхөн шифрлэхэд ашигладаг нь түүний үйл ажиллагаанд тийм ч сайн нөлөө үзүүлэхгүй байж болох сул тал юм.
IPsec нь таны хэрэг дээр аль шифрлэлт хамгийн тохиромжтой болохыг чөлөөтэй сонгох боломжийг танд олгоно. Мэдээжийн хэрэг, хэрэв та жишээлбэл, VPN холболтоор дамжуулан 10 ба түүнээс дээш гигабайт өгөгдөл дамжуулахыг хүсвэл энэ нь зайлшгүй шаардлагатай.
Линукс дээрх интеграцийн асуудал
Хэдийгээр WireGuard орчин үеийн шифрлэлтийн протоколыг сонгосон ч энэ нь аль хэдийн маш их асуудал үүсгэдэг. Тиймээс, цөмөөр дэмжигдсэн зүйлийг ашиглахын оронд Линукс дээр эдгээр командууд байхгүйгээс WireGuard-ийн интеграцчилал олон жилийн турш хойшлогдож байна.
Бусад үйлдлийн системүүд дээр нөхцөл байдал ямар байгааг би сайн мэдэхгүй байна, гэхдээ энэ нь Линуксээс тийм ч их ялгаатай биш байх.
Бодит байдал ямар харагддаг вэ?
Харамсалтай нь, үйлчлүүлэгч надаас VPN холболт хийхийг хүсэх болгонд би тэд хуучирсан итгэмжлэл, шифрлэлт ашиглаж байна гэсэн асуудалтай тулгардаг. MD3-тай хамт 5DES нь AES-256 ба SHA1-ийн нэгэн адил нийтлэг практик хэвээр байна. Хэдийгээр сүүлийнх нь арай дээрдсэн ч энэ нь 2020 онд ашиглах ёстой зүйл биш юм.
Түлхүүр солилцох зориулалттай үргэлж RSA ашигладаг - удаан боловч нэлээд аюулгүй хэрэгсэл.
Миний үйлчлүүлэгчид гаалийн байгууллага болон бусад төрийн байгууллага, институциуд, түүнчлэн дэлхий даяар нэр нь алдартай томоохон корпорациудтай холбоотой байдаг. Тэд бүгд хэдэн арван жилийн өмнө үүсгэсэн хүсэлтийн маягтыг ашигладаг бөгөөд SHA-512-г ашиглах чадварыг хэзээ ч нэмээгүй. Энэ нь технологийн дэвшилд ямар нэгэн байдлаар нөлөөлж байгаа гэж би хэлж чадахгүй, гэхдээ энэ нь компанийн үйл явцыг удаашруулдаг.
IPsec нь 2005 оноос хойш эллипс муруйг дэмжсээр ирсэн тул үүнийг харахад үнэхээр хэцүү байна. Curve25519 нь бас шинэ бөгөөд ашиглах боломжтой. Camellia, ChaCha20 гэх мэт AES-ийн өөр хувилбарууд байдаг боловч тэдгээрийг бүгдийг нь Cisco болон бусад томоохон үйлдвэрлэгчид дэмждэггүй нь ойлгомжтой.
Мөн үүнийг хүмүүс ашигладаг. Олон Cisco иж бүрдэл байдаг, Cisco-той ажиллахад зориулагдсан олон иж бүрдэл байдаг. Тэд энэ сегмент дэх зах зээлд тэргүүлэгчид бөгөөд ямар ч төрлийн инновацийг төдийлөн сонирхдоггүй.
Тиймээ, [корпорацийн сегмент дэх] байдал аймшигтай, гэхдээ WireGuard-аас болж бид ямар ч өөрчлөлтийг харахгүй. Борлуулагчид аль хэдийн ашиглаж байгаа багаж хэрэгсэл, шифрлэлтийн гүйцэтгэлийн асуудал хэзээ ч харагдахгүй, IKEv2-тэй холбоотой ямар ч асуудал гарахгүй, тиймээс тэд өөр хувилбар хайхгүй байх болно.
Ерөнхийдөө та Cisco-г орхих талаар бодож байсан уу?
Жишиг үзүүлэлт
Одоо WireGuard баримт бичгийн жишиг үзүүлэлтүүд рүү шилжье. Хэдийгээр энэ [баримт бичиг] нь шинжлэх ухааны нийтлэл биш ч хөгжүүлэгчид илүү шинжлэх ухаанч хандлагыг баримтлах эсвэл шинжлэх ухааны хандлагыг лавлагаа болгон ашиглахыг би хүлээсэн хэвээр байна. Аливаа шалгуур үзүүлэлтийг хуулбарлах боломжгүй бол үр дүнгүй, лабораторид олж авбал бүр ашиггүй болно.
WireGuard-ын Линукс бүтээхэд GSO - Ерөнхий сегментчилэн буулгах аргыг ашиглах давуу талтай. Түүний ачаар үйлчлүүлэгч 64 килобайтын асар том пакет үүсгэж, түүнийг нэг дор шифрлэдэг/шифрлэдэг. Тиймээс криптографийн үйлдлийг дуудах, хэрэгжүүлэх зардал багасна. Хэрэв та VPN холболтын хурдыг нэмэгдүүлэхийг хүсч байвал энэ нь сайн санаа юм.
Гэхдээ ердийнх шиг бодит байдал тийм ч энгийн биш юм. Ийм том пакетыг сүлжээний адаптер руу илгээх нь түүнийг олон жижиг пакетуудад хуваахыг шаарддаг. Ердийн илгээх хэмжээ нь 1500 байт байна. Өөрөөр хэлбэл, манай аварга 64 килобайтыг 45 пакет (1240 байт мэдээлэл, 20 байт IP толгой) болгон хуваах болно. Дараа нь хэсэг хугацаанд тэд сүлжээний адаптерийн ажлыг бүрэн хаах болно, учир нь тэдгээрийг нэг дор илгээх ёстой. Үүний үр дүнд энэ нь нэн тэргүүний үсрэлтэд хүргэж, жишээ нь VoIP гэх мэт пакетууд дараалалд орох болно.
Тиймээс WireGuard-ын зоригтойгоор мэдэгдэж байгаа өндөр дамжуулах чадвар нь бусад програмуудын сүлжээг удаашруулах зардлаар хүрдэг. WireGuard баг аль хэдийн байна энэ бол миний дүгнэлт.
Гэхдээ цаашаа явцгаая.
Техникийн баримт бичгийн жишиг үзүүлэлтүүдийн дагуу холболт нь 1011 Mbps дамжуулах чадварыг харуулж байна.
Сэтгэл хөдөлгөм.
Энэ нь ялангуяа нэг гигабит Ethernet холболтын онолын хамгийн дээд хурд нь 966 Mbps, пакетийн хэмжээ нь 1500 байт, IP толгой хэсэгт 20 байт, UDP толгой хэсэгт 8 байт, толгой хэсэгт 16 байт байдаг тул энэ нь онцгой гайхалтай юм. WireGuard өөрөө. Капсуллагдсан пакет дотор өөр нэг IP толгой, TCP-д 20 байт багтаамжтай өөр нэг IP толгой байна. Тэгэхээр энэ нэмэлт зурвасын өргөн хаанаас ирсэн бэ?
Бидний дээр дурдсан асар том фрэймүүд болон GSO-ийн давуу талуудын хувьд 9000 байт хэмжээтэй фрэймийн онолын дээд хэмжээ нь 1014 Mbps байх болно. Ихэвчлэн ийм дамжуулах чадвар нь бодит байдал дээр боломжгүй байдаг, учир нь энэ нь маш их бэрхшээлтэй холбоотой байдаг. Тиймээс би туршилтыг зөвхөн зарим сүлжээний адаптерууд дэмждэг онолын хувьд дээд тал нь 64 Mbps хурдтай 1023 килобайт хэмжээтэй илүү том хэмжээтэй фрейм ашиглан хийсэн гэж би таамаглаж байна. Гэхдээ энэ нь бодит нөхцөлд огт хэрэгжих боломжгүй, эсвэл зөвхөн шууд холбогдсон хоёр станцын хооронд, зөвхөн туршилтын тавцан дотор ашиглах боломжтой.
Гэхдээ VPN туннель нь jumbo хүрээг огт дэмждэггүй интернет холболтыг ашиглан хоёр хостын хооронд дамждаг тул вандан сандал дээр хүрсэн үр дүнг жишиг болгон авч үзэх боломжгүй юм. Энэ бол зүгээр л бодит бус лабораторийн ололт бөгөөд бодит байлдааны нөхцөлд боломжгүй, ашиглах боломжгүй юм.
Дата төвд сууж байхдаа ч би 9000 байтаас илүү хэмжээтэй фреймүүдийг шилжүүлж чадахгүй байсан.
Бодит амьдрал дээр хэрэглэх шалгуурыг бүрэн зөрчсөн бөгөөд миний бодлоор "хэмжилтийн" зохиогч тодорхой шалтгааны улмаас өөрийгөө ноцтой гутаасан.
Сүүлчийн найдварын гялбаа
WireGuard вэбсайт нь савны талаар маш их ярьдаг бөгөөд энэ нь яг юунд зориулагдсан нь тодорхой болсон.
Энгийн бөгөөд хурдан VPN бөгөөд ямар ч тохиргоо шаарддаггүй бөгөөд Amazon зэрэг үүлэн доторх асар том зохион байгуулалтын хэрэгслээр байрлуулж, тохируулах боломжтой. Тодруулбал, Amazon нь миний өмнө дурдсан AVX512 гэх мэт хамгийн сүүлийн үеийн техник хангамжийн функцуудыг ашигладаг. Энэ нь ажлыг хурдасгах, x86 эсвэл бусад архитектурт холбогдохгүйн тулд хийгддэг.
Тэд дамжуулах чадвар болон 9000 байт-аас их пакетуудыг оновчтой болгодог - эдгээр нь чингэлэгүүд хоорондоо харилцах, нөөцлөх үйлдлүүд, агшин зуурын зураг үүсгэх эсвэл ижил контейнеруудыг байрлуулахад зориулагдсан асар том хүрээтэй хүрээнүүд байх болно. Миний тайлбарласан хувилбарын хувьд динамик IP хаягууд ч WireGuard-ын үйл ажиллагаанд ямар ч байдлаар нөлөөлөхгүй.
Сайхан тоглолоо. Гайхалтай хэрэгжилт, маш нимгэн, бараг лавлагаа протокол.
Гэхдээ энэ нь таны бүрэн удирддаг дата төвөөс бусад ертөнцөд тохирохгүй. Хэрэв та эрсдэлд орж, WireGuard-г ашиглаж эхэлбэл шифрлэлтийн протоколыг боловсруулах, хэрэгжүүлэхэд байнгын буулт хийх шаардлагатай болно.
дүгнэлт
WireGuard хараахан бэлэн болоогүй байна гэж дүгнэхэд хялбар байна.
Энэ нь одоо байгаа шийдлүүдийн олон асуудлыг шийдвэрлэх хөнгөн бөгөөд хурдан шийдэл гэж бодож байсан. Харамсалтай нь эдгээр шийдлүүдийн төлөө тэрээр ихэнх хэрэглэгчдэд хамааралтай олон функцийг золиосолсон. Тийм ч учраас энэ нь IPsec эсвэл OpenVPN-ийг орлож чадахгүй.
WireGuard өрсөлдөх чадвартай болохын тулд дор хаяж IP хаягийн тохиргоо, чиглүүлэлт болон DNS тохиргоог нэмэх шаардлагатай. Шифрлэгдсэн сувгууд үүнд зориулагдсан нь ойлгомжтой.
Аюулгүй байдал миний нэн тэргүүний зорилт бөгөөд яг одоо IKE эсвэл TLS ямар нэгэн байдлаар эвдэрсэн эсвэл эвдэрсэн гэдэгт итгэх шалтгаан надад алга. Орчин үеийн шифрлэлтийг хоёуланд нь дэмждэг бөгөөд тэдгээр нь олон арван жилийн үйл ажиллагаагаар батлагдсан. Аливаа зүйл шинэ байна гэдэг нь илүү дээр гэсэн үг биш юм.
Таны удирддаггүй станцтай гуравдагч этгээдтэй харилцах үед харилцан ажиллах чадвар нь маш чухал юм. IPsec нь де факто стандарт бөгөөд бараг хаа сайгүй дэмжигддэг. Тэгээд тэр ажилладаг. Энэ нь яаж харагдахаас үл хамааран онолын хувьд ирээдүйд WireGuard нь өөр өөр хувилбаруудтай ч тохирохгүй байж магадгүй юм.
Аливаа криптографийн хамгаалалт эрт орой хэзээ нэгэн цагт эвдэрч, үүний дагуу солих эсвэл шинэчлэх шаардлагатай.
Эдгээр бүх баримтыг үгүйсгэж, WireGuard-г ашиглан iPhone-оо гэрийн ажлын байрандаа холбохыг хүсэх нь зүгээр л толгойгоо элсэнд оруулах мастер анги юм.
Эх сурвалж: www.habr.com