وائر گارڊ تازو گهڻو ڌيان حاصل ڪري رهيو آهي، حقيقت ۾ اهو آهي وي پي اينز جي وچ ۾ نئون اسٽار. پر ڇا هو ايترو سٺو آهي جيترو هو لڳي ٿو؟ مان ڪجهه مشاهدن تي بحث ڪرڻ چاهيان ٿو ۽ وائر گارڊ جي نفاذ جو جائزو وٺڻ چاهيان ٿو وضاحت ڪرڻ لاءِ ته اهو IPsec يا OpenVPN کي تبديل ڪرڻ جو حل ڇو ناهي.
هن آرٽيڪل ۾، مان ڪجهه افسانن کي ختم ڪرڻ چاهيندس [وائر گارڊ جي چوڌاري]. ها، ان کي پڙهڻ ۾ گهڻو وقت لڳندو، پوءِ جيڪڏهن توهان پاڻ کي چانهه يا ڪافي جو پيالو نه ٺاهيو آهي، ته پوءِ اهو ڪرڻ جو وقت آهي. مان پڻ چوڻ چاهيان ٿو پيٽر جي مهرباني جو منهنجي افراتفري خيالن کي درست ڪرڻ لاء.
مان پاڻ کي WireGuard جي ڊولپرز کي بدنام ڪرڻ، انهن جي ڪوششن يا خيالن جي قدر ڪرڻ جو مقصد مقرر نٿو ڪريان. انهن جي پراڊڪٽ ڪم ڪري رهي آهي، پر ذاتي طور تي مان سمجهان ٿو ته اهو پيش ڪيو ويو آهي مڪمل طور تي ان کان مختلف آهي جيڪو حقيقت ۾ آهي - اهو پيش ڪيو ويو آهي متبادل طور تي IPsec ۽ OpenVPN، جيڪو حقيقت ۾ هاڻي موجود ناهي.
هڪ نوٽ جي طور تي، مان شامل ڪرڻ چاهيان ٿو ته وائر گارڊ جي اهڙي پوزيشن جي ذميواري ميڊيا تي آهي جنهن ان بابت ڳالهايو آهي، ۽ نه ته پروجيڪٽ پاڻ يا ان جي تخليق ڪندڙ.
لينڪس ڪنيل بابت تازو ئي ڪا سٺي خبر نه آئي آهي. تنهن ڪري، اسان کي پروسيسر جي خوفناڪ نقصانن جي باري ۾ ٻڌايو ويو آهي، جيڪي سافٽ ويئر جي سطح تي ڪيا ويا آهن، ۽ لينس توروالڊس ان جي باري ۾ تمام بي رحم ۽ بورنگ سان ڳالهايو، ڊولپر جي استعمال جي ٻولي ۾. هڪ شيڊولر يا هڪ صفر-سطح نيٽ ورڪنگ اسٽيڪ پڻ چمڪندڙ رسالن لاء تمام واضح موضوع نه آهن. ۽ هتي اچي ٿو WireGuard.
ڪاغذ تي، اهو تمام سٺو آواز آهي: هڪ دلچسپ نئين ٽيڪنالاجي.
پر اچو ته ان کي ٿورو وڌيڪ ويجهي ڏسو.
وائر گارڊ اڇو پيپر
هن مضمون تي ٻڌل آهي جيسن ڊوننفيلڊ طرفان لکيل آهي. اتي هن لينڪس ڪنيل ۾ [WireGuard] جي تصور، مقصد ۽ ٽيڪنيڪل عمل جي وضاحت ڪئي.
پهريون جملو پڙهي ٿو:
WireGuard […] مقصد آهي IPsec کي اڪثر استعمال جي ڪيسن ۾ تبديل ڪرڻ ۽ ٻين مشهور يوزر اسپيس ۽/يا TLS تي ٻڌل حل جهڙوڪ OpenVPN جڏهن ته وڌيڪ محفوظ، ڪارڪردگي ۽ استعمال ڪرڻ آسان آهي [ٽول].
يقينن، سڀني نئين ٽيڪنالاجي جو بنيادي فائدو انهن جي آهي سادگي [اڳوڻين جي مقابلي ۾]. پر هڪ وي پي اين پڻ هجڻ گهرجي موثر ۽ محفوظ.
پوء، اڳتي ڇا آهي؟
جيڪڏهن توهان چئو ٿا ته اهو نه آهي جيڪو توهان کي گهربل آهي [هڪ وي پي اين کان]، پوء توهان هتي پڙهڻ کي ختم ڪري سگهو ٿا. بهرحال، مان نوٽ ڪندس ته اهڙيون ڪم ڪنهن ٻئي سرنگنگ ٽيڪنالاجي لاء مقرر ڪيا ويا آهن.
مٿين اقتباس جو سڀ کان وڌيڪ دلچسپ لفظ "اڪثر ڪيسن ۾" ۾ آهي، جيڪو، يقينا، پريس طرفان نظرانداز ڪيو ويو. ۽ ائين، اسان آهيون جتي اسان هن غفلت جي پيدا ڪيل افراتفري جي ڪري ختم ٿي ويا آهيون - هن مضمون ۾.
ڇا وائر گارڊ منهنجي [IPsec] سائيٽ کان سائيٽ وي پي اين کي تبديل ڪندو؟
نه. هتي ڪو به موقعو ناهي ته وڏا وينڊرز جهڙوڪ سسڪو، جونيپر ۽ ٻيا خريد ڪندا وائر گارڊ انهن جي شين لاءِ. اهي هلڻ دوران ”پسرندڙ ٽرينن تي ٽپو“ نٿا ڏين جيستائين ائين ڪرڻ جي ڪا وڏي ضرورت نه هجي. بعد ۾، مان ڪجهه سببن تي ويندس ڇو ته اهي شايد پنهنجي وائر گارڊ پروڊڪٽس کي بورڊ تي حاصل ڪرڻ جي قابل نه هوندا جيتوڻيڪ اهي چاهيندا.
ڇا وائر گارڊ منهنجي RoadWarrior کي منهنجي ليپ ٽاپ کان ڊيٽا سينٽر تائين وٺي ويندو؟
نه. هن وقت، وائر گارڊ وٽ وڏي تعداد ۾ اهم خصوصيتون نه آهن ان لاءِ لاڳو ڪيو ويو آهي ته جيئن ڪجهه هن طرح ڪرڻ جي قابل هجي. مثال طور، اهو سرنگ سرور جي پاسي تي متحرڪ IP پتي استعمال نٿو ڪري سگهي، ۽ اهو اڪيلو اهڙي پيداوار جي استعمال جي سڄي منظر کي ٽوڙي ٿو.
IPFire اڪثر استعمال ڪيو ويندو آهي سستا انٽرنيٽ لنڪس، جهڙوڪ DSL يا ڪيبل ڪنيڪشن. اهو سمجهه ۾ اچي ٿو ننڍن يا وچولي ڪاروبار لاءِ جن کي تيز فائبر جي ضرورت ناهي. [ترجمان کان نوٽ: اهو نه وساريو ته ڪميونيڪيشن جي لحاظ کان، روس ۽ ڪي سي آءِ ايس ملڪ يورپ ۽ آمريڪا کان گهڻو اڳتي آهن، ڇو ته اسان پنهنجو نيٽ ورڪ ٺاهڻ شروع ڪيو گهڻو پوءِ ۽ ايٿرنيٽ ۽ فائبر آپٽڪ نيٽ ورڪ جي اچڻ سان. معياري، اسان لاء ٻيهر تعمير ڪرڻ آسان هو. EU يا USA جي ساڳين ملڪن ۾، 3-5 Mbps جي رفتار تي xDSL براڊ بينڊ رسائي اڃا تائين عام آهي، ۽ هڪ فائبر آپٽڪ ڪنيڪشن اسان جي معيار جي لحاظ کان ڪجهه غير حقيقي پئسا خرچ ڪري ٿو. تنهن ڪري، مضمون جو مصنف ڊي ايس ايل يا ڪيبل ڪنيڪشن جو عام طور تي ڳالهائيندو آهي، ۽ نه قديم زماني ۾.] بهرحال، ڊي ايس ايل، ڪيبل، LTE (۽ ٻيا وائرليس رسائي جا طريقا) متحرڪ IP پتا آهن. يقينا، ڪڏهن ڪڏهن اهي تبديل نه ڪندا آهن، پر اهي تبديل ڪندا آهن.
اتي هڪ subproject سڏيو ويندو آهي ، جيڪو هن گهٽتائي کي ختم ڪرڻ لاءِ يوزر اسپيس ڊيمون شامل ڪري ٿو. مٿي بيان ڪيل صارف جي منظرنامي سان گڏ ھڪڙو وڏو مسئلو متحرڪ IPv6 ايڊريسنگ جو بگاڙ آھي.
تقسيم ڪندڙ جي نقطي نظر کان، اهو سڀ ڪجهه سٺو نه ٿو لڳي. ڊيزائن جي مقصدن مان هڪ پروٽوڪول کي سادو ۽ صاف رکڻ هو.
بدقسمتي سان، اهو سڀ ڪجهه حقيقت ۾ بلڪل سادو ۽ ابتدائي ٿي ويو آهي، تنهنڪري اسان کي اضافي سافٽ ويئر استعمال ڪرڻو پوندو ته جيئن هن سڄي ڊيزائن کي حقيقي استعمال ۾ قابل عمل هجي.
ڇا WireGuard استعمال ڪرڻ ايترو آسان آهي؟
اڃا نه. مان اهو نه چئي رهيو آهيان ته وائر گارڊ ڪڏهن به ٻن پوائنٽن جي وچ ۾ سرنگ ڪرڻ لاءِ سٺو متبادل نه هوندو ، پر هن وقت لاءِ اهو صرف هڪ الفا ورزن آهي پروڊڪٽ جو اهو هجڻ گهرجي.
پر پوءِ هو اصل ۾ ڇا ٿو ڪري؟ ڇا IPsec واقعي برقرار رکڻ ڏاڍو ڏکيو آهي؟
ظاهر آهي نه. IPsec وينڊر ان بابت سوچيو آهي ۽ انهن جي پيداوار کي هڪ انٽرفيس سان گڏ موڪلي ٿو، جهڙوڪ IPFire سان.
IPsec مٿان وي پي اين سرنگ قائم ڪرڻ لاءِ، توهان کي ڊيٽا جا پنج سيٽ گهربل هوندا جيڪي توهان کي ترتيب ۾ داخل ڪرڻ جي ضرورت پوندي: توهان جو پنهنجو عوامي IP پتو، وصول ڪندڙ پارٽي جو عوامي IP پتو، اهي ذيلي نيٽ جيڪي توهان عوامي ڪرڻ چاهيو ٿا. هي وي پي اين ڪنيڪشن ۽ اڳ ۾ شيئر ڪيل چيڪ. اهڙيء طرح، وي پي اين منٽن اندر سيٽ ڪيو ويو آهي ۽ ڪنهن به وينڊر سان مطابقت آهي.
بدقسمتي سان، هن ڪهاڻي ۾ ڪجهه استثنا آهن. ڪو به شخص جيڪو IPsec مٿان هڪ OpenBSD مشين تي سرنگ ڪرڻ جي ڪوشش ڪئي آهي اهو ڄاڻي ٿو ته آئون ڇا ڳالهائي رهيو آهيان. ڪجھ وڌيڪ ڏکوئيندڙ مثال آھن، پر حقيقت ۾، IPsec استعمال ڪرڻ لاء ڪيترائي، ڪيترائي وڌيڪ سٺا طريقا آھن.
پروٽوڪول پيچيدگي بابت
آخر صارف کي پروٽوڪول جي پيچيدگي بابت پريشان ٿيڻ جي ضرورت ناهي.
جيڪڏهن اسان هڪ اهڙي دنيا ۾ رهون ها جتي اهو صارف جو حقيقي خدشو هو، ته پوءِ اسان کي SIP، H.323، FTP ۽ ٻين پروٽوڪولن کان نجات ملي وڃي ها جيڪي ڏهه سال اڳ ٺاهيا ويا آهن جيڪي NAT سان سٺو ڪم نٿا ڪن.
اهڙا سبب آهن ڇو ته IPsec WireGuard کان وڌيڪ پيچيده آهي: اهو گهڻو ڪجهه ڪري ٿو. مثال طور، لاگ ان / پاسورڊ يا EAP سان سم ڪارڊ استعمال ڪندي صارف جي تصديق. اهو نئون شامل ڪرڻ لاء هڪ وڌايل صلاحيت آهي .
۽ WireGuard وٽ اهو ناهي.
۽ هن جو مطلب آهي ته WireGuard ڪنهن نقطي تي ڀڄي ويندو، ڇاڪاڻ ته هڪ cryptographic primitives ڪمزور ٿيندو يا مڪمل طور تي سمجھوتو ڪيو ويندو. ٽيڪنيڪل دستاويزن جو مصنف هي چوي ٿو:
اهو نوٽ ڪرڻ جي قابل آهي ته WireGuard cryptographically opinionated آهي. اهو عمدي طور تي سيفرز ۽ پروٽوڪول جي لچڪ جي کوٽ آهي. جيڪڏهن سنگين سوراخ بنيادي بنيادن ۾ مليا آهن، سڀني آخري پوائنٽن کي اپڊيٽ ڪرڻ جي ضرورت پوندي. جئين توهان SLL/TLS جي ڪمزورين جي جاري وهڪرو مان ڏسي سگهو ٿا، انڪريپشن جي لچڪ هاڻي تمام گهڻو وڌي چڪي آهي.
آخري جملو بلڪل صحيح آهي.
ڪھڙي انڪريپشن کي استعمال ڪرڻ تي اتفاق راءِ حاصل ڪرڻ پروٽوڪول ٺاھي ٿو IKE ۽ TLS более پيچيده. ڏاڍو پيچيده؟ ها، ڪمزوريون TLS/SSL ۾ ڪافي عام آهن، ۽ انهن لاءِ ڪو متبادل ناهي.
حقيقي مسئلن کي نظرانداز ڪرڻ تي
تصور ڪريو ته توھان وٽ ھڪڙو وي پي اين سرور آھي 200 جنگي ڪلائنٽ سان گڏ سڄي دنيا ۾. هي هڪ خوبصورت معياري استعمال ڪيس آهي. جيڪڏهن توهان کي انڪرپشن کي تبديل ڪرڻو آهي، توهان کي انهن ليپ ٽاپ، اسمارٽ فونز، وغيره تي WireGuard جي سڀني نقلن تي تازه ڪاري پهچائڻ جي ضرورت آهي. گڏوگڏ پهچائڻ. اهو لفظي طور تي ناممڪن آهي. منتظمين اهو ڪرڻ جي ڪوشش ڪري رهيا آهن گهربل ترتيبن کي ترتيب ڏيڻ ۾ مهينا لڳندا، ۽ اهو لفظي طور تي هڪ وچولي سائيز ڪمپني سال وٺي ويندي اهڙي واقعي کي ختم ڪرڻ لاء.
IPsec ۽ OpenVPN پيش ڪن ٿا سيفر ڳالهين جي خصوصيت. تنهن ڪري، ڪجهه وقت لاءِ جنهن کان پوءِ توهان نئين انڪرپشن کي آن ڪندا، پراڻو به ڪم ڪندو. هي موجوده گراهڪن کي نئين ورزن ۾ اپڊيٽ ڪرڻ جي اجازت ڏيندو. تازه ڪاري ختم ٿيڻ کان پوء، توهان صرف خطرناڪ انڪرپشن کي بند ڪريو. ۽ اهو آهي! تيار! تون خوبصورت آهين! گراهڪ به ان کي نوٽيس نه ڪندا.
اهو اصل ۾ هڪ تمام عام ڪيس آهي وڏي ڊيپلائيشنز لاءِ، ۽ جيتوڻيڪ OpenVPN هن سان گڏ ڪجهه مشڪل آهي. پسمانده مطابقت اهم آهي، ۽ جيتوڻيڪ توهان ڪمزور انڪرپشن استعمال ڪندا آهيو، ڪيترن ئي لاءِ، اهو ڪاروبار بند ڪرڻ جو سبب ناهي. ڇاڪاڻ ته اهو سوين گراهڪن جو ڪم مفلوج ڪري ڇڏيندو ڇاڪاڻ ته انهن جي ڪم ڪرڻ جي ناڪامي سبب.
وائر گارڊ ٽيم پنهنجو پروٽوڪول آسان بڻائي ڇڏيو آهي، پر انهن ماڻهن لاءِ مڪمل طور تي ناقابل استعمال آهي، جن وٽ پنهنجي سرنگ ۾ ٻنهي ساٿين تي مسلسل ڪنٽرول نه آهي. منهنجي تجربي ۾، هي سڀ کان عام منظر آهي.
Cryptography!
پر هي دلچسپ نئون انڪرپشن ڇا آهي جيڪو WireGuard استعمال ڪري ٿو؟
WireGuard استعمال ڪري ٿو Curve25519 اهم مٽاسٽا لاءِ، ChaCha20 انڪريپشن لاءِ ۽ Poly1305 ڊيٽا جي تصديق لاءِ. اهو پڻ ڪم ڪري ٿو SipHash لاءِ هيش ڪيز ۽ BLAKE2 لاءِ هيشنگ.
ChaCha20-Poly1305 IPsec ۽ OpenVPN (TLS مٿان) لاءِ معياري آهي.
ظاهر آهي ته ڊانيل برنسٽين جي ترقي گهڻو ڪري استعمال ڪيو ويندو آهي. BLAKE2 BLAKE جو جانشين آهي، هڪ SHA-3 فائنلسٽ جيڪو SHA-2 سان هڪجهڙائي سبب نه کٽيو. جيڪڏهن SHA-2 کي ٽوڙيو وڃي ها، اتي هڪ سٺو موقعو هو ته BLAKE پڻ سمجهوتو ڪيو ويندو.
IPsec ۽ OpenVPN کي ضرورت ناهي SipHash انهن جي ڊيزائن جي ڪري. تنهن ڪري صرف هڪ شيء جيڪا هن وقت انهن سان استعمال نه ٿي ڪري سگهجي BLAKE2 آهي، ۽ اهو صرف جيستائين اهو معياري نه آهي. اها ڪا وڏي خرابي نه آهي، ڇاڪاڻ ته وي پي اينز استعمال ڪن ٿا HMAC سالميت پيدا ڪرڻ لاءِ، جنهن کي MD5 سان گڏوگڏ هڪ مضبوط حل سمجهيو وڃي ٿو.
تنهن ڪري مان ان نتيجي تي پهتو آهيان ته تقريبن ساڳئي سيٽ ڪرپٽوگرافڪ اوزار استعمال ڪيو ويندو آهي سڀني وي پي اينز ۾. تنهن ڪري، WireGuard ڪنهن ٻئي موجوده پراڊڪٽ کان وڌيڪ يا گهٽ محفوظ ناهي جڏهن اهو اچي ٿو انڪرپشن يا منتقل ٿيل ڊيٽا جي سالميت.
پر اهو به سڀ کان اهم شيء نه آهي، جنهن کي پروجيڪٽ جي سرڪاري دستاويز مطابق ڌيان ڏيڻ جي قابل آهي. سڀ کان پوء، بنيادي شيء رفتار آهي.
ڇا وائر گارڊ ٻين وي پي اين حلن کان تيز آهي؟
مختصر ۾: نه، تيز نه.
ChaCha20 ھڪڙو وهڪرو سيفر آھي جيڪو سافٽ ويئر ۾ لاڳو ڪرڻ آسان آھي. اهو هڪ وقت ۾ هڪ بٽ encrypts. بلاڪ پروٽوڪول جهڙوڪ AES هڪ وقت ۾ هڪ بلاڪ 128 بٽ انڪرپٽ. هارڊويئر سپورٽ کي لاڳو ڪرڻ لاءِ وڌيڪ ٽرانزيسٽرن جي ضرورت هوندي آهي، تنهن ڪري وڏا پروسيسر AES-NI سان گڏ ايندا آهن، هڪ هدايتون سيٽ ايڪسٽينشن جيڪو انڪريشن جي عمل جي ڪجهه ڪمن کي انجام ڏئي ٿو ان کي تيز ڪرڻ لاءِ.
اها اميد هئي ته AES-NI ڪڏهن به اسمارٽ فونز ۾ نه ايندا [پر اهو ڪيو - تقريبن. في.]. ان لاءِ، ChaCha20 هڪ هلڪو وزن، بيٽري بچائڻ واري متبادل طور تيار ڪيو ويو. تنهن ڪري، اها خبر توهان لاءِ اچي سگهي ٿي ته هر سمارٽ فون جيڪو توهان اڄ خريد ڪري سگهو ٿا ڪنهن نه ڪنهن قسم جي AES ايڪسلريشن آهي ۽ تيز هلندي آهي ۽ گهٽ پاور واپرائڻ سان هن انڪرپشن سان ChaCha20 جي ڀيٽ ۾.
ظاهر آهي، گذريل ڪجهه سالن ۾ خريد ڪيل هر ڊيسڪ ٽاپ / سرور پروسيسر جي باري ۾ AES-NI آهي.
تنهن ڪري، مون کي اميد آهي ته AES هر هڪ منظر ۾ ChaCha20 کي ختم ڪري. وائر گارڊ جي سرڪاري دستاويزن جو ذڪر ڪيو ويو آهي ته AVX512 سان، ChaCha20-Poly1305 AES-NI کي ختم ڪري ڇڏيندو، پر هي هدايتون سيٽ ايڪسٽينشن صرف وڏن سي پي يوز تي دستياب هوندي، جيڪو ٻيهر ننڍن ۽ وڌيڪ موبائل هارڊويئر سان مدد نه ڪندو، جيڪو هميشه AES سان تيز هوندو. - N.I.
مون کي پڪ ناهي ته اها وائر گارڊ جي ترقي دوران اڳڪٿي ڪئي وئي هجي ها، پر اڄ حقيقت اها آهي ته اهو اڪيلو انڪرپشن تي نيل آهي اڳ ۾ ئي هڪ خرابي آهي جيڪا شايد ان جي آپريشن کي تمام گهڻو متاثر نه ڪري سگهي.
IPsec توهان کي آزاديءَ سان چونڊڻ جي اجازت ڏئي ٿي ته توهان جي ڪيس لاءِ ڪهڙي انڪريشن بهترين آهي. ۽ يقينا، اهو ضروري آهي جيڪڏهن، مثال طور، توهان هڪ وي پي اين ڪنيڪشن ذريعي 10 يا وڌيڪ گيگا بائيٽ ڊيٽا منتقل ڪرڻ چاهيو ٿا.
لينڪس ۾ انضمام جا مسئلا
جيتوڻيڪ WireGuard هڪ جديد انڪرپشن پروٽوڪول چونڊيو آهي، اهو اڳ ۾ ئي تمام گهڻيون مسئلا پيدا ڪري ٿو. ۽ تنهن ڪري، استعمال ڪرڻ جي بدران جيڪو دٻي جي ٻاهران ڪنيل جي مدد سان آهي، وائر گارڊ جو انضمام ڪيترن سالن تائين دير ٿي ويو آهي ڇاڪاڻ ته لينڪس ۾ انهن پرائمري جي کوٽ سبب.
مون کي مڪمل طور تي پڪ ناهي ته صورتحال ڇا آهي ٻين آپريٽنگ سسٽم تي، پر اهو شايد لينڪس کان گهڻو مختلف ناهي.
حقيقت ڇا نظر اچي ٿي؟
بدقسمتي سان، هر دفعي هڪ گراهڪ مون کان پڇي ٿو ته انهن لاء هڪ وي پي اين ڪنيڪشن قائم ڪرڻ لاء، مان ان مسئلي ۾ هلان ٿو ته اهي استعمال ڪري رهيا آهن پراڻي سندون ۽ انڪرپشن. MD3 سان گڏ 5DES اڃا تائين عام رواج آهي، جيئن AES-256 ۽ SHA1 آهن. ۽ جيتوڻيڪ بعد ۾ ٿورڙو بهتر آهي، اهو ڪجهه نه آهي جيڪو 2020 ۾ استعمال ڪيو وڃي.
اهم مٽاسٽا لاء ھميشہ RSA استعمال ڪيو ويو آهي - هڪ سست پر ڪافي محفوظ اوزار.
منهنجا گراهڪ ڪسٽم اختيارين ۽ ٻين سرڪاري ادارن ۽ ادارن سان گڏ گڏوگڏ وڏن ڪارپوريشنن سان لاڳاپيل آهن جن جا نالا سڄي دنيا ۾ مشهور آهن. اهي سڀ هڪ درخواست فارم استعمال ڪن ٿا جيڪو ڏهاڪن اڳ ٺاهيو ويو هو، ۽ SHA-512 استعمال ڪرڻ جي صلاحيت ڪڏهن به شامل نه ڪئي وئي هئي. مان اهو نٿو چئي سگهان ته اهو ڪنهن به طرح واضح طور تي ٽيڪنالاجي ترقي کي متاثر ڪري ٿو، پر ظاهر آهي ته اهو ڪارپوريٽ عمل کي سست ڪري ٿو.
اهو ڏسي مون کي ڏک ٿئي ٿو، ڇاڪاڻ ته IPsec سال 2005 کان بيضوي وکر بند ڪرڻ جي حمايت ڪئي آهي. Curve25519 پڻ نئون آهي ۽ استعمال لاءِ دستياب آهي. ڪيميليا ۽ چاچا 20 وانگر اي اي ايس جا متبادل پڻ آهن، پر ظاهر آهي ته انهن سڀني کي سپورٽ نه آهي وڏن وينڊرز جهڙوڪ سسکو ۽ ٻيا.
۽ ماڻهو ان مان فائدو وٺن ٿا. اتي ڪيترائي سسڪو ڪٽس آھن، اتي ڪيترائي ڪٽ آھن جيڪي Cisco سان ڪم ڪرڻ لاءِ ٺاھيا ويا آھن. اهي هن حصي ۾ مارڪيٽ ليڊر آهن ۽ ڪنهن به قسم جي جدت ۾ تمام گهڻي دلچسپي نه آهن.
ها، صورتحال [ڪارپوريٽ ڀاڱي ۾] خوفناڪ آهي، پر اسان WireGuard جي ڪري ڪا به تبديلي نه ڏسندا. وينڊرز شايد ڪڏهن به ڪارڪردگي جي مسئلن کي ڪڏهن به نه ڏسندا اوزار ۽ انڪرپشن سان جيڪي اهي اڳ ۾ ئي استعمال ڪري رهيا آهن، IKEv2 سان ڪو به مسئلو نه ڏسندا، ۽ انهي ڪري اهي متبادل نه ڳولي رهيا آهن.
عام طور تي، ڇا توهان ڪڏهن سسڪو کي ڇڏڻ بابت سوچيو آهي؟
معيار
۽ ھاڻي اچو ته وائر گارڊ دستاويزن مان معيارن ڏانھن وڃو. جيتوڻيڪ هي [دستاويز] هڪ سائنسي مضمون نه آهي، مون اڃا تائين ڊولپرز کي وڌيڪ سائنسي انداز اختيار ڪرڻ جي اميد ڪئي، يا هڪ حوالي جي طور تي سائنسي طريقي کي استعمال ڪيو. ڪي به معيار بيڪار آهن جيڪڏهن اهي ٻيهر پيدا نه ٿي سگهن، ۽ اڃا به وڌيڪ بيڪار آهن جڏهن اهي ليبارٽري ۾ حاصل ڪيا وڃن.
وائر گارڊ جي لينڪس تعمير ۾، اهو GSO - Generic Segmentation Offloading استعمال ڪرڻ جو فائدو وٺي ٿو. هن جي مهرباني، ڪلائنٽ 64 ڪلوبائٽس جو هڪ وڏو پيڪيٽ ٺاهي ٿو ۽ ان کي هڪ ئي وقت ۾ انڪرپٽ / ڊيڪرپٽ ڪري ٿو. اهڙيء طرح، cryptographic آپريشن کي سڏڻ ۽ لاڳو ڪرڻ جي قيمت گھٽجي وئي آهي. جيڪڏھن توھان چاھيو ٿا وڌ کان وڌ پنھنجي وي پي اين ڪنيڪشن جي ذريعي، اھو ھڪڙو سٺو خيال آھي.
پر، هميشه وانگر، حقيقت ايترو سادو ناهي. هڪ نيٽ ورڪ اڊاپٽر ڏانهن اهڙي وڏي پئڪيٽ موڪلڻ جي ضرورت آهي ته ان کي ڪيترن ئي ننڍڙن پيڪن ۾ ڪٽيو وڃي. عام موڪل جي سائيز 1500 بائيٽ آهي. اهو آهي، اسان جي 64 ڪلوبائٽس جو ديو 45 پيڪٽس ۾ ورهايو ويندو (1240 بائيٽ جي معلومات ۽ 20 بائيٽ IP هيڊر). ان کان پوء، ٿوري دير لاء، اهي نيٽ ورڪ اڊاپٽر جي ڪم کي مڪمل طور تي بلاڪ ڪندا، ڇو ته انهن کي گڏ ڪيو وڃي ۽ هڪ ڀيرو گڏ ڪيو وڃي. نتيجي طور، اھو ھڪڙو ترجيحي جمپ ڏانھن وٺي ويندو، ۽ پيڪيٽس جھڙوڪ VoIP، مثال طور، قطار ٿي ويندا.
اهڙيء طرح، وڏي پيماني تي جيڪو WireGuard ايترو جرئت سان دعوي ڪري ٿو ٻين ايپليڪيشنن جي نيٽ ورڪنگ کي سست ڪرڻ جي قيمت تي حاصل ڪيو ويو آهي. ۽ وائر گارڊ ٽيم اڳ ۾ ئي آهي هي منهنجو نتيجو آهي.
پر اچو ته اڳتي وڌون.
ٽيڪنيڪل دستاويزن ۾ معيارن جي مطابق، ڪنيڪشن 1011 Mbps جي ذريعي ڏيکاري ٿو.
متاثر ڪندڙ.
اهو خاص طور تي متاثر ڪندڙ آهي ان حقيقت جي ڪري ته هڪ گيگابٽ ايٿرنيٽ ڪنيڪشن جي وڌ ۾ وڌ نظرياتي ذريعي 966 Mbps آهي پيڪٽ جي سائيز 1500 بائيٽ مائنس 20 بائيٽ IP هيڊر لاءِ، 8 بائيٽ UDP هيڊر لاءِ ۽ 16 بائيٽس جي هيڊر لاءِ. وائر گارڊ پاڻ. 20 بائيٽس لاءِ هڪ وڌيڪ IP هيڊر شامل ٿيل پيڪٽ ۾ ۽ ٻيو هڪ TCP ۾ آهي. پوءِ هي اضافي بينڊوڊٿ ڪٿان آئي؟
وڏن فريم ۽ GSO جي فائدن سان گڏ اسان مٿي ذڪر ڪيو، 9000 بائيٽ جي فريم سائيز لاءِ نظرياتي وڌ ۾ وڌ 1014 Mbps هوندو. عام طور تي اهڙي throughput حقيقت ۾ ناگزير آهي، ڇاڪاڻ ته اهو وڏي مشڪلاتن سان لاڳاپيل آهي. اهڙيء طرح، مان صرف اهو فرض ڪري سگهان ٿو ته ٽيسٽ 64 ڪلوبائٽس جي وڌيڪ ٿلهي فريم جي استعمال سان ڪئي وئي هئي نظرياتي وڌ ۾ وڌ 1023 Mbps، جيڪا صرف ڪجهه نيٽ ورڪ ايڊاپٽرز جي حمايت ڪئي وئي آهي. پر اهو حقيقي حالتن ۾ بلڪل ناگزير آهي، يا صرف ٻن سڌو ڳنڍيل اسٽيشنن جي وچ ۾ استعمال ڪري سگهجي ٿو، خاص طور تي ٽيسٽ بينچ جي اندر.
پر جيئن ته وي پي اين سرنگ ٻن ميزبانن جي وچ ۾ انٽرنيٽ ڪنيڪشن استعمال ڪندي اڳتي وڌايو ويو آهي جيڪو جمبو فريم کي سپورٽ نٿو ڪري، بينچ تي حاصل ڪيل نتيجو بينچ مارڪ طور نه ٿو وٺي سگهجي. اها صرف هڪ غير حقيقي ليبارٽري ڪاميابي آهي جيڪا ناممڪن آهي ۽ حقيقي جنگي حالتن ۾ لاڳو ناهي.
جيتوڻيڪ ڊيٽا سينٽر ۾ ويٺي، مان 9000 بائيٽ کان وڏي فريم کي منتقل نه ڪري سگهيو.
حقيقي زندگي ۾ قابل اطلاق معيار بلڪل ڀڃڪڙي آهي ۽، جيئن مان سمجهان ٿو، "پيماني" جي ليکڪ پاڻ کي سنجيده سببن جي ڪري پاڻ کي بدنام ڪيو.
اميد جي آخري چمڪ
WireGuard ويب سائيٽ ڪنٽينرز جي باري ۾ تمام گهڻو ڳالهائيندو آهي ۽ اهو واضح ٿي ويندو آهي ته اهو واقعي جو مقصد آهي.
هڪ سادو ۽ تيز وي پي اين جنهن کي ڪنهن به ترتيب جي ضرورت ناهي ۽ ان کي ترتيب ڏئي سگهجي ٿو ۽ ترتيب ڏئي سگهجي ٿو وڏي آرڪيسٽريشن ٽولز سان جيئن Amazon انهن جي ڪلائوڊ ۾ آهي. خاص طور تي، Amazon استعمال ڪري ٿو جديد هارڊويئر خاصيتون جن جو مون اڳ ذڪر ڪيو آهي، جهڙوڪ AVX512. اهو ڪم کي تيز ڪرڻ لاءِ ڪيو ويو آهي ۽ x86 يا ڪنهن ٻئي فن تعمير سان جڙيل نه آهي.
اهي 9000 بائيٽس کان وڏيون ٿرو پُٽ ۽ پيڪٽس کي بهتر ڪن ٿا - اهي ڪنٽينرز لاءِ هڪ ٻئي سان رابطو ڪرڻ لاءِ ، يا بيڪ اپ آپريشنز لاءِ ، سنيپ شاٽ ٺاهڻ يا انهن ساڳين ڪنٽينرز کي ترتيب ڏيڻ لاءِ وڏا ڳجها فريم هوندا. جيتوڻيڪ متحرڪ IP پتا به وائر گارڊ جي آپريشن کي ڪنهن به طرح متاثر نه ڪندا منظر جي صورت ۾ جيڪو مون بيان ڪيو آهي.
سٺو کيڏيو. شاندار عملدرآمد ۽ تمام پتلي، تقريبن حوالو پروٽوڪول.
پر اهو صرف هڪ ڊيٽا سينٽر کان ٻاهر دنيا ۾ مناسب ناهي جيڪو توهان مڪمل طور تي ڪنٽرول ڪيو. جيڪڏهن توهان خطرو کڻو ۽ WireGuard استعمال ڪرڻ شروع ڪيو، توهان کي انڪرپشن پروٽوڪول جي ڊيزائن ۽ ان تي عمل درآمد ۾ مسلسل سمجهوتو ڪرڻو پوندو.
ٿڪل
مون لاءِ اهو نتيجو ڪڍڻ آسان آهي ته وائر گارڊ اڃا تيار ناهي.
اهو تصور ڪيو ويو هو ته موجوده حلن سان ڪيترن ئي مسئلن جو هڪ ٿلهي ۽ تڪڙو حل. بدقسمتي سان، انهن حلن جي خاطر، هن ڪيترن ئي خاصيتن کي قربان ڪيو جيڪي اڪثر استعمال ڪندڙن لاء لاڳاپيل هوندا. انهي ڪري اهو IPsec يا OpenVPN کي تبديل نٿو ڪري سگهي.
وائر گارڊ کي مقابلي ۾ آڻڻ لاءِ، ان کي شامل ڪرڻ جي ضرورت آهي گهٽ ۾ گهٽ هڪ IP پتي جي سيٽنگ ۽ هڪ روٽنگ ۽ DNS ترتيب. ظاھر آھي، اھو اھو آھي جيڪو اينڪريڊ ٿيل چينلز لاء آھي.
سيڪيورٽي منهنجي اولين ترجيح آهي، ۽ هن وقت مون وٽ يقين ڪرڻ جو ڪو سبب ناهي ته IKE يا TLS ڪنهن به طرح سمجھوتو يا ٽوڙيو ويو آهي. انهن ٻنهي ۾ جديد انڪرپشن جي حمايت ڪئي وئي آهي، ۽ اهي آپريشن جي ڏهاڪن کان ثابت ڪيا ويا آهن. بس ڇاڪاڻ ته ڪا شيء نئين آهي ان جو مطلب اهو ناهي ته اهو بهتر آهي.
مداخلت انتهائي اهم آهي جڏهن توهان ٽئين پارٽين سان رابطو ڪندا آهيو جن جي اسٽيشنن تي توهان ڪنٽرول نه ڪندا آهيو. IPsec ڊي فيڪٽو معيار آهي ۽ تقريبن هر جڳهه جي حمايت ڪئي وئي آهي. ۽ هو ڪم ڪري ٿو. ۽ ڪو مسئلو ناهي ته اهو ڪيئن نظر اچي ٿو، نظريي ۾، مستقبل ۾ وائر گارڊ شايد پاڻ جي مختلف نسخن سان مطابقت نه هجي.
ڪنهن به cryptographic تحفظ کي جلدي يا دير سان ٽوڙيو ويندو آهي ۽، مطابق، تبديل يا اپڊيٽ ڪيو وڃي.
انهن سڀني حقيقتن کي رد ڪرڻ ۽ انڌي طرح WireGuard استعمال ڪرڻ چاهي ٿو توهان جي آئي فون کي توهان جي گهر جي ڪم اسٽيشن سان ڳنڍڻ لاءِ صرف هڪ ماسٽر ڪلاس آهي توهان جي سر کي ريل ۾ رکڻ ۾.
جو ذريعو: www.habr.com