ඔබ WireGuard භාවිතා නොකළ යුත්තේ ඇයි?

WireGuard මෑතකදී වැඩි අවධානයක් දිනා ඇත, ඇත්ත වශයෙන්ම එය VPNs අතර නව තරුව වේ. නමුත් ඔහු පෙනෙන තරම් හොඳද? IPsec හෝ OpenVPN ප්‍රතිස්ථාපනය කිරීමට විසඳුමක් නොවන්නේ මන්දැයි පැහැදිලි කිරීමට WireGuard ක්‍රියාත්මක කිරීම පිළිබඳව සමහර නිරීක්ෂණ සාකච්ඡා කිරීමට සහ සමාලෝචනය කිරීමට මම කැමැත්තෙමි.

මෙම ලිපියෙන්, මම [WireGuard අවට] මිථ්‍යාවන් කිහිපයක් ඉවත් කිරීමට කැමතියි. ඔව්, එය කියවීමට බොහෝ කාලයක් ගතවනු ඇත, එබැවින් ඔබ තේ හෝ කෝපි කෝප්පයක් සාදා නොමැති නම්, එය කිරීමට කාලයයි. මගේ අවුල් සහගත සිතුවිලි නිවැරදි කිරීම ගැන පීටර්ට මම ස්තූතිවන්ත වෙමි.

WireGuard හි සංවර්ධකයින් අපකීර්තියට පත් කිරීම, ඔවුන්ගේ උත්සාහයන් හෝ අදහස් අවප්‍රමාණය කිරීමේ ඉලක්කය මා තබා නොගනිමි. ඔවුන්ගේ නිෂ්පාදනය ක්‍රියාත්මක වේ, නමුත් පුද්ගලිකව මම සිතන්නේ එය සැබවින්ම පවතින දෙයට වඩා සම්පූර්ණයෙන්ම වෙනස් ලෙස ඉදිරිපත් කර ඇති බවයි - එය IPsec සහ OpenVPN සඳහා ආදේශකයක් ලෙස ඉදිරිපත් කර ඇති අතර එය ඇත්ත වශයෙන්ම දැන් නොපවතී.

සටහනක් ලෙස, WireGuard එවැනි ස්ථානගත කිරීමේ වගකීම පැවරෙන්නේ ඒ ගැන කතා කළ මාධ්‍යයට මිස ව්‍යාපෘතියට හෝ එහි නිර්මාතෘවරුන්ට නොවන බව මම එකතු කිරීමට කැමැත්තෙමි.

ලිනක්ස් කර්නලය ගැන මෑතක සිට එතරම් හොඳ ආරංචියක් ලැබුණේ නැත. ඉතින්, මෘදුකාංග මගින් සමතලා කරන ලද ප්‍රොසෙසරයේ බිහිසුණු දුර්වලතා ගැන අපට පැවසූ අතර, ලිනස් ටොවල්ඩ්ස් ඒ ගැන සංවර්ධකයාගේ උපයෝගිතා භාෂාවෙන් ඉතා රළු ලෙස හා කම්මැලි ලෙස කතා කළේය. උපලේඛකයක් හෝ ශුන්‍ය මට්ටමේ ජාලකරණ තොගයක් ද දීප්තිමත් සඟරා සඳහා ඉතා පැහැදිලි මාතෘකා නොවේ. මෙන්න WireGuard එනවා.

කඩදාසි මත, ඒ සියල්ල විශිෂ්ටයි: ආකර්ෂණීය නව තාක්ෂණයක්.

නමුත් අපි එය ටිකක් සමීපව බලමු.

WireGuard සුදු කඩදාසි

මෙම ලිපිය පදනම් වී ඇත නිල WireGuard ලියකියවිලිJason Donenfeld විසින් ලියන ලද්දකි. එහිදී ඔහු ලිනක්ස් කර්නලයේ [WireGuard] සංකල්පය, අරමුණ සහ තාක්ෂණික ක්‍රියාත්මක කිරීම පැහැදිලි කරයි.

පළමු වාක්‍යයේ මෙසේ සඳහන් වේ.

WireGuard […] බොහෝ භාවිත අවස්ථා වලදී IPsec දෙකම ප්‍රතිස්ථාපනය කිරීම සහ වෙනත් ජනප්‍රිය පරිශීලක අවකාශය සහ/හෝ OpenVPN වැනි TLS පදනම් වූ විසඳුම් වඩාත් ආරක්ෂිත, කාර්ය සාධනය සහ භාවිතයට පහසු [මෙවලම] වීම අරමුණු කරයි.

ඇත්ත වශයෙන්ම, සියලු නව තාක්ෂණයන්හි ප්රධාන වාසිය ඔවුන්ගේ වේ සරල බව [පූර්වගාමීන් හා සසඳන විට]. නමුත් VPN එකක් ද විය යුතුය කාර්යක්ෂම සහ ආරක්ෂිත.

ඉතින්, ඊළඟට කුමක් ද?

මෙය ඔබට [VPN එකකින්] අවශ්‍ය නොවේ යැයි ඔබ පවසන්නේ නම්, ඔබට කියවීම මෙතැනින් අවසන් කළ හැක. කෙසේ වෙතත්, එවැනි කාර්යයන් වෙනත් ඕනෑම උමං තාක්ෂණයක් සඳහා සකසා ඇති බව මම සටහන් කරමි.

ඉහත උපුටා දැක්වීම් වලින් වඩාත් සිත්ගන්නා සුළු වන්නේ "බොහෝ අවස්ථාවලදී" යන වචනවලය, ඇත්ත වශයෙන්ම, පුවත්පත් විසින් නොසලකා හරින ලදී. ඉතින්, මෙම නොසැලකිල්ල නිසා ඇති වූ අවුල් සහගත තත්ත්වය නිසා අපි අවසන් වූ තැන අපි සිටිමු - මෙම ලිපියෙන්.

WireGuard මගේ [IPsec] අඩවියෙන් අඩවියට VPN ප්‍රතිස්ථාපනය කරයිද?

නැත. Cisco, Juniper සහ වෙනත් විශාල වෙළෙන්දන් ඔවුන්ගේ නිෂ්පාදන සඳහා WireGuard මිලදී ගැනීමට කිසිදු අවස්ථාවක් නොමැත. කිසියම් විශාල අවශ්‍යතාවයක් තිබේ නම් මිස ඔවුන් ගමනේ දී "පසුකරගෙන යන දුම්රිය මත පනින්නේ නැත". පසුව, ඔවුන්ට අවශ්‍ය වුව ද ඔවුන්ගේ WireGuard නිෂ්පාදන ලබා ගැනීමට නොහැකි වීමට හේතු කිහිපයක් මම විස්තර කරමි.

WireGuard මගේ ලැප්ටොප් පරිගණකයේ සිට මගේ RoadWarrior දත්ත මධ්‍යස්ථානය වෙත රැගෙන යයිද?

නැත. මේ වන විට, WireGuard හට මෙවැනි දෙයක් කිරීමට හැකි වීම සඳහා ක්‍රියාත්මක කළ වැදගත් විශේෂාංග විශාල ප්‍රමාණයක් නොමැත. උදාහරණයක් ලෙස, එය උමං සේවාදායක පැත්තේ ගතික IP ලිපින භාවිතා කළ නොහැකි අතර, මෙය පමණක් නිෂ්පාදනයේ එවැනි භාවිතයේ සමස්ත දර්ශනය බිඳ දමයි.

IPFire බොහෝ විට DSL හෝ කේබල් සම්බන්ධතා වැනි ලාභ අන්තර්ජාල සම්බන්ධතා සඳහා භාවිතා වේ. වේගවත් තන්තු අවශ්‍ය නොවන කුඩා හෝ මධ්‍යම ව්‍යාපාර සඳහා මෙය අර්ථවත් කරයි. [පරිවර්තකයාගේ සටහන: සන්නිවේදනය සම්බන්ධයෙන් රුසියාව සහ සමහර CIS රටවල් යුරෝපයට සහ එක්සත් ජනපදයට වඩා බොහෝ ඉදිරියෙන් සිටින බව අමතක නොකරන්න, මන්ද අපි අපගේ ජාල ගොඩනඟා ගැනීමට පටන් ගත්තේ බොහෝ කලකට පසුව සහ ඊතර්නෙට් සහ ෆයිබර් ඔප්ටික් ජාල පැමිණීමත් සමඟ ය. සම්මතය, එය අපට නැවත ගොඩනැඟීම පහසු විය. EU හෝ USA හි එකම රටවල, 3-5 Mbps වේගයකින් xDSL බ්‍රෝඩ්බෑන්ඩ් ප්‍රවේශය තවමත් සාමාන්‍ය සම්මතය වන අතර, ෆයිබර් ඔප්ටික් සම්බන්ධතාවයක් සඳහා අපගේ ප්‍රමිතීන්ට අනුව යථාර්ථවාදී නොවන මුදලක් වැය වේ. එමනිසා, ලිපියේ කතුවරයා ඩීඑස්එල් හෝ කේබල් සම්බන්ධතාවය සම්මතයක් ලෙස කථා කරයි, පැරණි කාලය නොවේ.] කෙසේ වෙතත්, DSL, cable, LTE (සහ අනෙකුත් රැහැන් රහිත ප්රවේශ ක්රම) ගතික IP ලිපින ඇත. ඇත්ත වශයෙන්ම, සමහර විට ඒවා බොහෝ විට වෙනස් නොවේ, නමුත් ඒවා වෙනස් වේ.

කියලා උප ව්‍යාපෘතියක් තියෙනවා "wg-dynamic", මෙම අඩුපාඩුව මඟහරවා ගැනීම සඳහා පරිශීලක අවකාශයේ ඩීමන් එකක් එක් කරයි. ඉහත විස්තර කර ඇති පරිශීලක අවස්ථාවෙහි විශාල ගැටලුවක් වන්නේ ගතික IPv6 ආමන්ත්‍රණයේ උග්‍ර වීමයි.

බෙදාහරින්නාගේ දෘෂ්ටි කෝණයෙන්, මේ සියල්ල ඉතා හොඳ පෙනුමක් නැත. එක් සැලසුම් ඉලක්කයක් වූයේ ප්‍රොටෝකෝලය සරලව සහ පිරිසිදුව තබා ගැනීමයි.

අවාසනාවකට මෙන්, මේ සියල්ල ඇත්ත වශයෙන්ම ඉතා සරල හා ප්‍රාථමික වී ඇත, එබැවින් මෙම සම්පූර්ණ සැලසුම සැබෑ භාවිතයේ ශක්‍ය වීමට නම් අපට අමතර මෘදුකාංග භාවිතා කිරීමට සිදුවේ.

WireGuard භාවිතා කිරීම එතරම් පහසුද?

තවමත් නෑ. WireGuard ලකුණු දෙකක් අතර උමං මාර්ග සඳහා හොඳ විකල්පයක් නොවනු ඇතැයි මම නොකියමි, නමුත් දැනට එය විය යුතු නිෂ්පාදනයේ ඇල්ෆා අනුවාදයක් පමණි.

නමුත් එවිට ඔහු ඇත්තටම කරන්නේ කුමක්ද? ඇත්තටම IPsec නඩත්තු කිරීම එතරම් අපහසුද?

පැහැදිලිවම නැහැ. IPsec වෙළෙන්දා මේ ගැන සිතා ඇති අතර ඔවුන්ගේ නිෂ්පාදනය IPFire වැනි අතුරු මුහුණතක් සමඟ යවයි.

IPsec හරහා VPN උමගක් පිහිටුවීමට, ඔබට වින්‍යාසයට ඇතුළු කිරීමට අවශ්‍ය දත්ත කට්ටල පහක් අවශ්‍ය වනු ඇත: ඔබේම පොදු IP ලිපිනය, ලබන පාර්ශ්වයේ පොදු IP ලිපිනය, ඔබට ප්‍රසිද්ධ කිරීමට අවශ්‍ය උපජාල මෙම VPN සම්බන්ධතාවය සහ පෙර-බෙදාගත් යතුර. මේ අනුව, VPN මිනිත්තු කිහිපයක් ඇතුළත පිහිටුවා ඇති අතර ඕනෑම වෙළෙන්දෙකු සමඟ අනුකූල වේ.

අවාසනාවකට, මෙම කතාවට ව්යතිරේක කිහිපයක් තිබේ. IPsec හරහා OpenBSD යන්ත්‍රයකට උමං කිරීමට උත්සාහ කළ ඕනෑම අයෙක් මා කතා කරන්නේ කුමක් දැයි දනී. තවත් වේදනාකාරී උදාහරණ කිහිපයක් ඇත, නමුත් ඇත්ත වශයෙන්ම, IPsec භාවිතා කිරීම සඳහා තවත් බොහෝ හොඳ භාවිතයන් තිබේ.

ප්රොටෝකෝල සංකීර්ණත්වය ගැන

අවසාන පරිශීලකයා ප්‍රොටෝකෝලයේ සංකීර්ණත්වය ගැන කරදර විය යුතු නැත.

මෙය පරිශීලකයාගේ සැබෑ සැලකිල්ලක් වූ ලෝකයක අප ජීවත් වූයේ නම්, NAT සමඟ හොඳින් ක්‍රියා නොකරන වසර දහයකට වඩා වැඩි කාලයකට පෙර නිර්මාණය කරන ලද SIP, H.323, FTP සහ වෙනත් ප්‍රොටෝකෝලවලින් අපි මිදෙන්නෙමු.

WireGuard වලට වඩා IPsec සංකීර්ණ වීමට හේතු තිබේ: එය තවත් බොහෝ දේ කරයි. උදාහරණයක් ලෙස, පිවිසුම් / මුරපදයක් හෝ EAP සමඟ SIM කාඩ්පතක් භාවිතයෙන් පරිශීලක සත්‍යාපනය. එය නව එකතු කිරීමට දීර්ඝ හැකියාව ඇත ගුප්ත ලේඛන ප්රාථමික.

අනික WireGuard එකේ එහෙම නෑ.

තවද මෙයින් අදහස් කරන්නේ WireGuard යම් අවස්ථාවක දී බිඳ වැටෙනු ඇති බවයි, මන්දයත් එක් ගුප්තකේතන ප්‍රාථමිකයක් දුර්වල වීම හෝ සම්පූර්ණයෙන්ම සම්මුතියට පත් වනු ඇත. තාක්ෂණික ලියකියවිලි කතුවරයා මෙසේ පවසයි.

WireGuard ගුප්ත ලේඛනමය වශයෙන් අදහස් කරන බව සඳහන් කිරීම වටී. එය හිතාමතාම කේතාංක සහ ප්‍රොටෝකෝලවල නම්‍යශීලී බවක් නොමැත. යටින් පවතින ප්‍රාථමික වල බරපතල සිදුරු හමු වුවහොත්, සියලුම අන්ත ලක්ෂ්‍ය යාවත්කාලීන කිරීමට අවශ්‍ය වනු ඇත. දැනට පවතින SLL/TLS අවදානම් ප්‍රවාහයෙන් ඔබට පෙනෙන පරිදි, සංකේතනයෙහි නම්‍යශීලී බව දැන් විශාල ලෙස වැඩි වී ඇත.

අවසාන වාක්‍යය සම්පූර්ණයෙන්ම නිවැරදියි.

භාවිතා කළ යුතු සංකේතනය කුමක්ද යන්න පිළිබඳ සම්මුතියකට පැමිණීම IKE සහ TLS වැනි ප්‍රොටෝකෝල බවට පත් කරයි. более සංකීර්ණ. ඉතා සංකීර්ණද? ඔව්, TLS/SSL හි දුර්වලතා බහුලව දක්නට ලැබෙන අතර, ඒවාට විකල්පයක් නොමැත.

සැබෑ ගැටළු නොසලකා හැරීම මත

ඔබට ලොව පුරා කොතැනක හෝ සටන් සේවාලාභීන් 200ක් සමඟ VPN සේවාදායකයක් ඇති බව සිතන්න. මෙය තරමක් සම්මත භාවිත නඩුවකි. ඔබට සංකේතනය වෙනස් කිරීමට සිදුවුවහොත්, මෙම ලැප්ටොප්, ස්මාර්ට්ෆෝන් සහ යනාදිය මත WireGuard හි සියලුම පිටපත් වෙත යාවත්කාලීනය ලබා දිය යුතුය. එකවරම භාර දෙන්න. එය වචනාර්ථයෙන් කළ නොහැක්කකි. මෙය කිරීමට උත්සාහ කරන පරිපාලකයින්ට අවශ්‍ය වින්‍යාසයන් යෙදවීමට මාස කිහිපයක් ගතවනු ඇති අතර, එවැනි සිදුවීමක් ඉවත් කිරීමට මධ්‍යම ප්‍රමාණයේ සමාගමකට වචනාර්ථයෙන් වසර ගණනාවක් ගතවනු ඇත.

IPsec සහ OpenVPN කේතාංක සාකච්ඡා විශේෂාංගයක් ඉදිරිපත් කරයි. එමනිසා, ඔබ නව සංකේතනය සක්‍රිය කළ පසු, පැරණි එකද ක්‍රියා කරයි. මෙමගින් වත්මන් පාරිභෝගිකයින්ට නව අනුවාදයට උත්ශ්‍රේණි කිරීමට ඉඩ සැලසේ. යාවත්කාලීනය ක්‍රියාත්මක වූ පසු, ඔබ හුදෙක් අවදානමට ලක්විය හැකි සංකේතනය අක්‍රිය කරන්න. හා එච්චරයි! සූදානම්! ඔබ ලස්සනයි! ගනුදෙනුකරුවන් එය නොදකිනු ඇත.

මෙය ඇත්ත වශයෙන්ම විශාල යෙදවීම් සඳහා ඉතා සුලභ අවස්ථාවක් වන අතර OpenVPN ට පවා මේ සම්බන්ධයෙන් යම් දුෂ්කරතා ඇත. පසුගාමී අනුකූලතාව වැදගත් වන අතර, ඔබ දුර්වල සංකේතනය භාවිතා කළද, බොහෝ දෙනෙකුට, මෙය ව්‍යාපාරයක් වසා දැමීමට හේතුවක් නොවේ. මක්නිසාද යත් එය ඔවුන්ගේ කාර්යය කිරීමට නොහැකි වීම නිසා සිය ගණනක ගනුදෙනුකරුවන්ගේ වැඩ අඩාල කරන බැවිනි.

WireGuard කණ්ඩායම ඔවුන්ගේ ප්‍රොටෝකෝලය සරල කර ඇත, නමුත් ඔවුන්ගේ උමග තුළ සම වයසේ මිතුරන් දෙදෙනාටම නිරන්තර පාලනයක් නොමැති පුද්ගලයින් සඳහා සම්පූර්ණයෙන්ම භාවිතා කළ නොහැක. මගේ අත්දැකීම් අනුව, මෙය වඩාත් පොදු අවස්ථාවයි.

ගුප්ත විද්‍යාව!

නමුත් WireGuard භාවිතා කරන මෙම රසවත් නව සංකේතනය කුමක්ද?

WireGuard යතුරු හුවමාරුව සඳහා Curve25519, සංකේතනය සඳහා ChaCha20 සහ දත්ත සත්‍යාපනය සඳහා Poly1305 භාවිතා කරයි. එය හැෂ් යතුරු සඳහා SipHash සහ හැෂ් කිරීම සඳහා BLAKE2 සමඟ ද ක්‍රියා කරයි.

ChaCha20-Poly1305 IPsec සහ OpenVPN (TLS හරහා) සඳහා ප්‍රමිතිගත කර ඇත.

ඩැනියෙල් බර්න්ස්ටයින්ගේ සංවර්ධනය බොහෝ විට භාවිතා වන බව පැහැදිලිය. BLAKE2 යනු BLAKE ගේ අනුප්‍රාප්තිකයා වන අතර, SHA-3 ට සමාන වීම නිසා ජයග්‍රහණය නොකළ SHA-2 අවසන් තරඟකරුවෙකි. SHA-2 කැඩෙන්න ගියොත් BLAKE එකටත් compromise වෙන්න ගොඩක් ඉඩ තිබුනා.

IPsec සහ OpenVPN ඒවායේ සැලසුම නිසා SipHash අවශ්‍ය නොවේ. එබැවින් ඔවුන් සමඟ දැනට භාවිතා කළ නොහැකි එකම දෙය BLAKE2 වන අතර එය ප්‍රමිතිගත වන තුරු පමණි. මෙය විශාල අඩුපාඩුවක් නොවේ, මන්ද VPNs අඛණ්ඩතාව නිර්මාණය කිරීමට HMAC භාවිතා කරයි, එය MD5 සමඟ ඒකාබද්ධව පවා ශක්තිමත් විසඳුමක් ලෙස සැලකේ.

ඉතින් මම නිගමනයකට ආවා හැම VPN එකකම පාහේ එකම cryptographic tools සෙට් එකක් භාවිතා වෙනවා කියලා. එබැවින්, සංකේතනය හෝ සම්ප්‍රේෂණය වන දත්තවල අඛණ්ඩතාව සම්බන්ධයෙන් WireGuard වෙනත් වත්මන් නිෂ්පාදනයකට වඩා වැඩි හෝ අඩු ආරක්ෂිත නොවේ.

නමුත් මෙය පවා වැදගත්ම දෙය නොවේ, එය ව්‍යාපෘතියේ නිල ලේඛනවලට අනුව අවධානය යොමු කිරීම වටී. සියල්ලට පසු, ප්රධාන දෙය වන්නේ වේගයයි.

WireGuard අනෙකුත් VPN විසඳුම් වලට වඩා වේගවත්ද?

කෙටියෙන්: නැත, වේගවත් නොවේ.

ChaCha20 යනු මෘදුකාංගයේ ක්‍රියාත්මක කිරීමට පහසු ප්‍රවාහ කේතාංකයකි. එය වරකට බිට් එකක් සංකේතනය කරයි. AES වැනි බ්ලොක් ප්‍රොටෝකෝල වරකට බිටු 128ක් බ්ලොක් එකක් සංකේතනය කරයි. දෘඪාංග සහය ක්‍රියාත්මක කිරීම සඳහා තවත් ට්‍රාන්සිස්ටර විශාල ප්‍රමාණයක් අවශ්‍ය වේ, එබැවින් විශාල ප්‍රොසෙසර AES-NI සමඟ පැමිණේ, එය වේගවත් කිරීම සඳහා සංකේතන ක්‍රියාවලියේ සමහර කාර්යයන් ඉටු කරන උපදෙස් කට්ටල දිගුවකි.

AES-NI කිසි විටෙකත් ස්මාර්ට්ෆෝන් වලට ඇතුළු නොවනු ඇතැයි අපේක්ෂා කරන ලදී [නමුත් එය සිදු විය - දළ වශයෙන්. එක්.]. මේ සඳහා, ChaCha20 සැහැල්ලු, බැටරි ඉතිරි කිරීමේ විකල්පයක් ලෙස සංවර්ධනය කරන ලදී. එමනිසා, අද ඔබට මිලදී ගත හැකි සෑම ස්මාර්ට් ජංගම දුරකතනයක්ම යම් ආකාරයක AES ත්වරණයක් ඇති අතර ChaCha20 සමඟ වඩා මෙම සංකේතනය සමඟ වඩා වේගයෙන් සහ අඩු බලශක්ති පරිභෝජනයකින් ක්‍රියාත්මක වන බව ඔබට ප්‍රවෘත්තියක් විය හැකිය.

පැහැදිලිවම, පසුගිය වසර කිහිපය තුළ මිලදී ගත් සෑම ඩෙස්ක්ටොප්/සර්වර් ප්‍රොසෙසරයකම AES-NI ඇත.

එබැවින්, සෑම අවස්ථාවකදීම AES ChaCha20 අභිබවා යනු ඇතැයි මම අපේක්ෂා කරමි. WireGuard හි නිල ලේඛන AVX512 සමඟින් ChaCha20-Poly1305 AES-NI අභිබවා යන බව සඳහන් කරයි, නමුත් මෙම උපදෙස් කට්ටල දිගුව ලබා ගත හැක්කේ විශාල CPU වල පමණක් වන අතර, එය කුඩා සහ වැඩි ජංගම දෘඩාංග සඳහා නැවත උදව් නොකරනු ඇත, එය සෑම විටම AES සමඟ වේගවත් වනු ඇත. - එන්.අයි.

WireGuard සංවර්ධනය කිරීමේදී මෙය පුරෝකථනය කළ හැකිදැයි මට විශ්වාස නැත, නමුත් අද එය සංකේතනයට පමණක් ඇණ ගසා තිබීම දැනටමත් එහි ක්‍රියාකාරිත්වයට එතරම් බලපෑමක් නොකරන අඩුපාඩුවක් වේ.

IPsec ඔබට නිදහසේ තෝරා ගැනීමට ඉඩ සලසයි ඔබේ නඩුව සඳහා හොඳම සංකේතනය කුමක්ද. උදාහරණයක් ලෙස, ඔබට VPN සම්බන්ධතාවයක් හරහා දත්ත ගිගාබයිට් 10 ක් හෝ ඊට වැඩි ප්‍රමාණයක් මාරු කිරීමට අවශ්‍ය නම් මෙය අවශ්‍ය වේ.

ලිනක්ස් හි ඒකාබද්ධ කිරීමේ ගැටළු

WireGuard නවීන සංකේතාංකන ප්‍රොටෝකෝලයක් තෝරාගෙන ඇතත්, මෙය දැනටමත් ගැටළු රාශියක් ඇති කරයි. ඉතින්, කොටුවෙන් පිටත කර්නලයෙන් සහය දක්වන දේ භාවිතා කරනවා වෙනුවට, Linux හි මෙම ප්‍රාථමිකයන් නොමැතිකම නිසා WireGuard ඒකාබද්ධ කිරීම වසර ගණනාවක් ප්‍රමාද වී ඇත.

අනෙකුත් මෙහෙයුම් පද්ධතිවල තත්වය කුමක්දැයි මට සම්පූර්ණයෙන්ම විශ්වාස නැත, නමුත් එය බොහෝ විට ලිනක්ස් වලට වඩා වෙනස් නොවේ.

යථාර්ථය පෙනෙන්නේ කෙසේද?

අවාසනාවන්ත ලෙස, සේවාදායකයෙක් ඔවුන් සඳහා VPN සම්බන්ධතාවයක් පිහිටුවීමට මගෙන් ඉල්ලා සිටින සෑම අවස්ථාවකම, ඔවුන් යල් පැන ගිය අක්තපත්‍ර සහ සංකේතනය භාවිතා කරන බවට මම ගැටලුවකට මුහුණ දෙමි. AES-3 සහ SHA5 වැනි 256DES MD1 සමඟ ඒකාබද්ධව තවමත් පොදු භාවිතයකි. දෙවැන්න තරමක් හොඳ වුවද, මෙය 2020 දී භාවිතා කළ යුතු දෙයක් නොවේ.

යතුරු හුවමාරුව සඳහා හැම විටම RSA භාවිතා වේ - මන්දගාමී නමුත් තරමක් ආරක්ෂිත මෙවලමක්.

මගේ සේවාදායකයින් රේගු අධිකාරීන් සහ අනෙකුත් රාජ්‍ය සංවිධාන සහ ආයතන සමඟ මෙන්ම ලොව පුරා නම් දන්නා විශාල සමාගම් සමඟ සම්බන්ධ වී ඇත. ඔවුන් සියල්ලෝම දශක ගණනාවකට පෙර නිර්මාණය කරන ලද ඉල්ලීම් පෝරමයක් භාවිතා කරන අතර SHA-512 භාවිතා කිරීමේ හැකියාව සරලව එකතු කර නැත. එය කෙසේ හෝ තාක්ෂණික ප්‍රගතියට පැහැදිලිවම බලපාන බව මට පැවසිය නොහැක, නමුත් පැහැදිලිවම එය ආයතනික ක්‍රියාවලිය මන්දගාමී කරයි.

IPsec 2005 වසරේ සිට ඉලිප්සීය වක්‍ර සඳහා සහය දක්වන නිසා මෙය දැකීම මට වේදනාවකි. Curve25519 ද අලුත් වන අතර භාවිතය සඳහා පවතී. Camellia සහ ChaCha20 වැනි AES සඳහා විකල්ප ද ඇත, නමුත් පැහැදිලිවම ඒවා සියල්ලම Cisco සහ අනෙකුත් ප්‍රධාන වෙළෙන්දන් විසින් සහාය නොදක්වයි.

ඒ වගේම මිනිස්සු ඒකෙන් ප්‍රයෝජන ගන්නවා. Cisco kits ගොඩක් තියෙනවා, Cisco එක්ක වැඩ කරන්න හදපු kits ගොඩක් තියෙනවා. ඔවුන් මෙම කොටසේ වෙළඳපල නායකයින් වන අතර කිසිදු ආකාරයක නවෝත්පාදනයක් කෙරෙහි එතරම් උනන්දුවක් නොදක්වයි.

ඔව්, [සංස්ථාපිත අංශයේ] තත්වය භයානකයි, නමුත් WireGuard නිසා අපි කිසිම වෙනසක් දකින්නේ නැහැ. විකුණුම්කරුවන් බොහෝ විට ඔවුන් දැනටමත් භාවිතා කරන මෙවලම් සහ සංකේතනය සමඟ කිසිඳු කාර්ය සාධන ගැටළු නොදකිනු ඇත, IKEv2 සමඟ කිසිදු ගැටළුවක් නොදකිනු ඇත, එබැවින් ඔවුන් විකල්ප සොයන්නේ නැත.

පොදුවේ, ඔබ කවදා හෝ Cisco අත්හැරීම ගැන සිතා තිබේද?

මිණුම් සලකුණු

දැන් අපි WireGuard ලේඛනයෙන් මිණුම් සලකුණු වෙත යමු. මෙය [ලේඛනගත කිරීම] විද්‍යාත්මක ලිපියක් නොවුවද, සංවර්ධකයින් වඩාත් විද්‍යාත්මක ප්‍රවේශයක් හෝ යොමු කිරීමක් ලෙස විද්‍යාත්මක ප්‍රවේශයක් භාවිතා කරනු ඇතැයි මම තවමත් අපේක්ෂා කළෙමි. ඕනෑම මිණුම් සලකුණු ඒවා ප්‍රතිනිෂ්පාදනය කළ නොහැකි නම් නිෂ්ඵල වන අතර ඒවා රසායනාගාරයේදී ලබා ගත් විට ඊටත් වඩා නිෂ්ඵල වේ.

WireGuard හි Linux ගොඩනැගීමේදී, එය GSO - Generic Segmentation Offloading භාවිතා කිරීමේ වාසිය ලබා ගනී. ඔහුට ස්තූතියි, සේවාදායකයා කිලෝබයිට් 64 ක විශාල පැකට්ටුවක් නිර්මාණය කර එය එකවර සංකේතනය කරයි / විකේතනය කරයි. මේ අනුව, ක්‍රිප්ටෝග්‍රැෆික් මෙහෙයුම් ක්‍රියාත්මක කිරීමේ සහ ක්‍රියාත්මක කිරීමේ පිරිවැය අඩු වේ. ඔබට ඔබගේ VPN සම්බන්ධතාවයේ ප්‍රතිදානය උපරිම කිරීමට අවශ්‍ය නම්, මෙය හොඳ අදහසකි.

එහෙත්, සුපුරුදු පරිදි, යථාර්ථය එතරම් සරල නැත. එවැනි විශාල පැකට්ටුවක් ජාල ඇඩැප්ටරයකට යැවීම සඳහා එය කුඩා පැකට් කිහිපයකට කපා ගත යුතුය. සාමාන්‍ය යැවීමේ ප්‍රමාණය බයිට් 1500 කි. එනම්, අපගේ කිලෝබයිට් 64 යෝධයා පැකට් 45 කට බෙදා ඇත (තොරතුරු බයිට් 1240 ක් සහ IP ශීර්ෂයේ බයිට් 20 ක්). ඉන්පසුව, ටික වේලාවකට, ඔවුන් එකට සහ එකවර යැවිය යුතු නිසා, ජාල ඇඩප්ටරයේ වැඩ සම්පූර්ණයෙන්ම අවහිර කරනු ඇත. ප්රතිඵලයක් වශයෙන්, මෙය ප්රමුඛතා පැනීමකට තුඩු දෙනු ඇත, උදාහරණයක් ලෙස VoIP වැනි පැකට් පෝලිම් වනු ඇත.

මේ අනුව, WireGuard ඉතා නිර්භීතව ප්‍රකාශ කරන ඉහළ ප්‍රතිදානය වෙනත් යෙදුම් ජාලකරණය මන්දගාමී කිරීමේ පිරිවැයෙන් ලබා ගනී. සහ WireGuard කණ්ඩායම දැනටමත් ඇත තහවුරු කර ඇත මෙය මගේ නිගමනයයි.

නමුත් අපි ඉදිරියට යමු.

තාක්ෂණික ලියකියවිලි වල මිණුම් සලකුණු වලට අනුව, සම්බන්ධතාවය 1011 Mbps ප්‍රතිදානයක් පෙන්වයි.

සිත් ඇදගන්නා සුළුය.

IP ශීර්ෂය සඳහා බයිට් 966ක් අඩුවෙන් බයිට් 1500ක පැකට් ප්‍රමාණයකින් යුත් තනි ගිගාබිට් ඊතර්නෙට් සම්බන්ධතාවයක උපරිම න්‍යායාත්මක ප්‍රතිදානය 20 Mbps වන අතර UDP ශීර්ෂය සඳහා බයිට් 8ක් සහ ශීර්ෂය සඳහා බයිට් 16ක් වීම මෙය විශේෂයෙන් ආකර්ෂණීය වේ. WireGuard ම ය . සංවෘත පැකට්ටුවේ තවත් එක් IP ශීර්ෂයක් සහ බයිට් 20 ක් සඳහා TCP හි තවත් එකක් ඇත. එසේනම් මෙම අමතර කලාප පළල පැමිණියේ කොහෙන්ද?

විශාල රාමු සහ අපි ඉහත කතා කළ GSO හි ප්‍රතිලාභ සමඟින්, බයිට් 9000 ක රාමු ප්‍රමාණයක න්‍යායාත්මක උපරිමය 1014 Mbps වේ. සාමාන්‍යයෙන් එවැනි ප්‍රතිදානය යථාර්ථයේ දී ලබා ගත නොහැක, මන්ද එය විශාල දුෂ්කරතා සමඟ සම්බන්ධ වී ඇත. මේ අනුව, සමහර ජාල ඇඩප්ටරයන් විසින් පමණක් සහාය දක්වන න්‍යායික උපරිමය 64 Mbps සහිත කිලෝබයිට් 1023 ක ඊටත් වඩා තරබාරු රාමු භාවිතා කරමින් පරීක්ෂණය සිදු කර ඇති බව මට උපකල්පනය කළ හැකිය. නමුත් මෙය සත්‍ය තත්ත්‍වයන්හිදී කිසිසේත්ම අදාළ නොවේ, නැතහොත් සෘජුවම සම්බන්ධිත ස්ථාන දෙකක් අතර පමණක්, පරීක්ෂණ බංකුව තුළ පමණක් භාවිතා කළ හැක.

නමුත් ජම්බෝ රාමු සඳහා කිසිසේත්ම සහය නොදක්වන අන්තර්ජාල සම්බන්ධතාවයක් භාවිතා කරමින් VPN උමග ධාරක දෙකක් අතර ඉදිරියට යවන බැවින්, බංකුව මත ලබා ගන්නා ප්‍රතිඵලය මිණුම් ලකුණක් ලෙස ගත නොහැක. මෙය හුදෙක් යථාර්ථවාදී නොවන රසායනාගාර ජයග්‍රහණයක් වන අතර එය සැබෑ සටන් තත්වයන් තුළ කළ නොහැකි සහ අදාළ නොවේ.

ඩේටා සෙන්ටර් එකේ ඉඳගෙන හිටියත් බයිට් 9000ට වඩා ලොකු ෆ් රේම් මාරු කරන්න බැරි වුණා.

සැබෑ ජීවිතයේ අදාළ වීමේ නිර්ණායකය සම්පූර්ණයෙන්ම උල්ලංඝනය වී ඇති අතර, මා සිතන පරිදි, "මිනුම්" කතුවරයා පැහැදිලි හේතු නිසා බරපතල ලෙස අපකීර්තියට පත් විය.

බලාපොරොත්තුවේ අවසාන දිලිසීම

WireGuard වෙබ් අඩවිය බහාලුම් ගැන බොහෝ දේ කතා කරන අතර එය සැබවින්ම අදහස් කරන්නේ කුමක් සඳහාද යන්න පැහැදිලි වේ.

වින්‍යාස කිරීමක් අවශ්‍ය නොවන සරල සහ වේගවත් VPN එකක් ඔවුන්ගේ වලාකුළෙහි ඇති Amazon වැනි දැවැන්ත වාද්‍ය වෘන්ද මෙවලම් සමඟ යෙදවීමට සහ වින්‍යාසගත කළ හැකිය. විශේෂයෙන්ම, Amazon විසින් AVX512 වැනි මා කලින් සඳහන් කළ නවතම දෘඪාංග විශේෂාංග භාවිතා කරයි. මෙය සිදු කරනුයේ කාර්යය වේගවත් කිරීම සඳහා වන අතර x86 හෝ වෙනත් ගෘහ නිර්මාණ ශිල්පයකට සම්බන්ධ නොවේ.

ඒවා බයිට් 9000 ට වඩා විශාල ප්‍රතිදානය සහ පැකට් ප්‍රශස්ත කරයි - මේවා බහාලුම් එකිනෙකා සමඟ සන්නිවේදනය කිරීමට හෝ උපස්ථ මෙහෙයුම් සඳහා, ස්නැප්ෂොට් සෑදීමට හෝ මෙම බහාලුම් යෙදවීමට විශාල සංවෘත රාමු වනු ඇත. ගතික IP ලිපින පවා මා විස්තර කළ අවස්ථාවෙහිදී WireGuard හි ක්‍රියාකාරිත්වයට කිසිදු ආකාරයකින් බලපාන්නේ නැත.

හොඳින් සෙල්ලම් කළා. දීප්තිමත් ක්‍රියාත්මක කිරීම සහ ඉතා තුනී, පාහේ යොමු ප්‍රොටෝකෝලය.

නමුත් එය ඔබ සම්පූර්ණයෙන්ම පාලනය කරන දත්ත මධ්‍යස්ථානයකින් පිටත ලෝකයකට නොගැලපේ. ඔබ අවදානමක් ගෙන WireGuard භාවිතා කිරීම ආරම්භ කරන්නේ නම්, සංකේතාංකන ප්‍රොටෝකෝලය සැලසුම් කිරීමේදී සහ ක්‍රියාත්මක කිරීමේදී ඔබට නිරන්තර සම්මුතීන් ඇති කිරීමට සිදුවේ.

නිගමනය

WireGuard තවමත් සූදානම් නැති බව මට නිගමනය කිරීම පහසුය.

පවතින විසඳුම් සමඟ ගැටලු ගණනාවකට සැහැල්ලු සහ ඉක්මන් විසඳුමක් ලෙස එය සංකල්පනය කරන ලදී. අවාසනාවකට මෙන්, මෙම විසඳුම් සඳහා, ඔහු බොහෝ පරිශීලකයින්ට අදාළ වන බොහෝ විශේෂාංග කැප කළේය. එය IPsec හෝ OpenVPN ආදේශ කළ නොහැක්කේ එබැවිනි.

WireGuard තරඟකාරී වීමට නම්, එයට අවම වශයෙන් IP ලිපින සැකසීමක් සහ මාර්ගගත කිරීම සහ DNS වින්‍යාස කිරීමක් එක් කිරීමට අවශ්‍ය වේ. පැහැදිලිවම, සංකේතාත්මක නාලිකා සඳහා මෙයයි.

ආරක්ෂාව මගේ ප්‍රමුඛතාවය වන අතර, දැන් IKE හෝ TLS කෙසේ හෝ සම්මුතියකට හෝ කැඩී ඇති බව විශ්වාස කිරීමට මට හේතුවක් නැත. නවීන සංකේතාංකනය ඒ දෙකෙහිම සහය දක්වන අතර, ඒවා දශක ගනනාවක ක්රියාකාරිත්වය මගින් ඔප්පු කර ඇත. යමක් අලුත් වූ පමණින් එය වඩා හොඳ යැයි අදහස් නොවේ.

ඔබ පාලනය නොකරන ස්ථාන සහිත තෙවන පාර්ශවයන් සමඟ ඔබ සන්නිවේදනය කරන විට අන්තර් ක්‍රියාකාරීත්වය අතිශයින් වැදගත් වේ. IPsec යනු තථ්‍ය ප්‍රමිතිය වන අතර සෑම තැනකම පාහේ සහය දක්වයි. ඒ වගේම ඔහු වැඩ කරනවා. එය කෙසේ පෙනුනත්, න්‍යායාත්මකව, අනාගතයේදී WireGuard එහි විවිධ අනුවාද සමඟ පවා නොගැලපේ.

ඕනෑම ගුප්ත ලේඛන ආරක්ෂණයක් ඉක්මනින් හෝ පසුව කැඩී ඇති අතර, ඒ අනුව, ප්රතිස්ථාපනය හෝ යාවත්කාලීන කළ යුතුය.

මෙම සියලු කරුණු ප්‍රතික්ෂේප කිරීම සහ ඔබේ iPhone ඔබේ නිවසේ වැඩපොළට සම්බන්ධ කිරීමට WireGuard භාවිතා කිරීමට අන්ධ ලෙස අවශ්‍ය වීම ඔබේ හිස වැල්ලේ ඇලවීමේ ප්‍රධාන පන්තියක් පමණි.

මූලාශ්රය: www.habr.com