WireGuard சமீபத்தில் அதிக கவனத்தை ஈர்த்து வருகிறது, உண்மையில் இது VPN களில் புதிய நட்சத்திரம். ஆனால் அவர் தோன்றுவது போல் நல்லவரா? IPsec அல்லது OpenVPN ஐ மாற்றுவதற்கான தீர்வு ஏன் இல்லை என்பதை விளக்க, சில அவதானிப்புகளைப் பற்றி விவாதிக்கவும், WireGuard செயல்படுத்துவதை மதிப்பாய்வு செய்யவும் விரும்புகிறேன்.
இந்த கட்டுரையில், [WireGuard சுற்றி] சில கட்டுக்கதைகளை நீக்க விரும்புகிறேன். ஆம், படிக்க நீண்ட நேரம் எடுக்கும், எனவே நீங்கள் ஒரு கப் டீ அல்லது காபி செய்யவில்லை என்றால், அதைச் செய்ய வேண்டிய நேரம் இது. என் குழப்பமான எண்ணங்களைத் திருத்திய பீட்டருக்கும் நன்றி சொல்ல விரும்புகிறேன்.
வயர்கார்டின் டெவலப்பர்களை இழிவுபடுத்துவது, அவர்களின் முயற்சிகள் அல்லது யோசனைகளை மதிப்பிழக்கச் செய்வது போன்ற இலக்கை நானே அமைத்துக் கொள்ளவில்லை. அவர்களின் தயாரிப்பு வேலை செய்கிறது, ஆனால் தனிப்பட்ட முறையில் இது உண்மையில் இருந்து முற்றிலும் வேறுபட்டது என்று நான் நினைக்கிறேன் - இது IPsec மற்றும் OpenVPN க்கு மாற்றாக வழங்கப்படுகிறது, இது உண்மையில் இப்போது இல்லை.
ஒரு குறிப்பாக, WireGuard-ஐ இவ்வாறு நிலைநிறுத்துவதற்கான பொறுப்பு, அதைப் பற்றிப் பேசிய ஊடகங்களிடமே உள்ளது, திட்டமோ அல்லது அதன் படைப்பாளிகளோ அல்ல என்பதைச் சேர்க்க விரும்புகிறேன்.
சமீப காலமாக லினக்ஸ் கர்னல் பற்றி நல்ல செய்திகள் வரவில்லை. எனவே, மென்பொருளால் சமன் செய்யப்பட்ட செயலியின் பயங்கரமான பாதிப்புகளைப் பற்றி எங்களிடம் கூறப்பட்டது, மேலும் லினஸ் டொர்வால்ட்ஸ் அதை டெவலப்பரின் பயனுள்ள மொழியில் மிகவும் முரட்டுத்தனமாகவும் சலிப்பாகவும் பேசினார். ஒரு திட்டமிடுபவர் அல்லது பூஜ்ஜிய-நிலை நெட்வொர்க்கிங் அடுக்கு ஆகியவை பளபளப்பான பத்திரிகைகளுக்கு மிகவும் தெளிவான தலைப்புகள் அல்ல. இங்கே WireGuard வருகிறது.
காகிதத்தில், எல்லாம் நன்றாக இருக்கிறது: ஒரு அற்புதமான புதிய தொழில்நுட்பம்.
ஆனால் அதை இன்னும் கொஞ்சம் விரிவாகப் பார்ப்போம்.
வயர்கார்ட் வெள்ளை காகிதம்
இந்த கட்டுரை அடிப்படையாக கொண்டது ஜேசன் டோனென்ஃபெல்ட் எழுதியது. அங்கு அவர் லினக்ஸ் கர்னலில் [WireGuard] இன் கருத்து, நோக்கம் மற்றும் தொழில்நுட்ப செயலாக்கத்தை விளக்குகிறார்.
முதல் வாக்கியம் பின்வருமாறு:
WireGuard […] IPsec இரண்டையும் பெரும்பாலான பயன்பாட்டு சந்தர்ப்பங்களில் மாற்றுவதை நோக்கமாகக் கொண்டுள்ளது மற்றும் பிற பிரபலமான பயனர்வெளி மற்றும்/அல்லது OpenVPN போன்ற TLS அடிப்படையிலான தீர்வுகள் மிகவும் பாதுகாப்பானது, செயல்திறன் மிக்கது மற்றும் பயன்படுத்த எளிதானது.
நிச்சயமாக, அனைத்து புதிய தொழில்நுட்பங்களின் முக்கிய நன்மை அவற்றின் எளிதாக்க [முன்னோடிகளுடன் ஒப்பிடும்போது]. ஆனால் ஒரு VPN இருக்க வேண்டும் பயனுள்ள மற்றும் பாதுகாப்பான.
எனவே, அடுத்தது என்ன?
[VPN இலிருந்து] உங்களுக்கு இது தேவையில்லை என்று நீங்கள் கூறினால், நீங்கள் வாசிப்பை இங்கே முடிக்கலாம். இருப்பினும், இதுபோன்ற பணிகள் வேறு எந்த சுரங்கப்பாதை தொழில்நுட்பத்திற்கும் அமைக்கப்பட்டுள்ளன என்பதை நான் கவனிக்கிறேன்.
மேலே உள்ள மேற்கோள்களில் மிகவும் சுவாரஸ்யமானது "பெரும்பாலான சந்தர்ப்பங்களில்" என்ற வார்த்தைகளில் உள்ளது, இது நிச்சயமாக பத்திரிகைகளால் புறக்கணிக்கப்பட்டது. எனவே, இந்த அலட்சியத்தால் உருவாக்கப்பட்ட குழப்பம் காரணமாக நாங்கள் எங்கே இருக்கிறோம் - இந்த கட்டுரையில்.
WireGuard எனது [IPsec] தளத்திலிருந்து தளத்திற்கு VPN ஐ மாற்றுமா?
இல்லை. சிஸ்கோ, ஜூனிபர் மற்றும் பிற பெரிய விற்பனையாளர்கள் தங்கள் தயாரிப்புகளுக்கு வயர்கார்டை வாங்குவதற்கு வாய்ப்பு இல்லை. அவர்கள் "கடந்து செல்லும் ரயில்களில் குதிக்க மாட்டார்கள்". பின்னர், அவர்கள் விரும்பினாலும் கூட அவர்களது WireGuard தயாரிப்புகளை அவர்கள் பெற முடியாமல் போனதற்கான சில காரணங்களை நான் கூறுவேன்.
WireGuard எனது மடிக்கணினியிலிருந்து தரவு மையத்திற்கு எனது RoadWarrior ஐ எடுத்துச் செல்லுமா?
இல்லை. தற்சமயம், WireGuard இது போன்ற ஏதாவது ஒன்றைச் செய்ய பெரிய அளவிலான முக்கியமான அம்சங்களை செயல்படுத்தவில்லை. எடுத்துக்காட்டாக, இது டன்னல் சர்வர் பக்கத்தில் டைனமிக் ஐபி முகவரிகளைப் பயன்படுத்த முடியாது, மேலும் இது தயாரிப்பின் அத்தகைய பயன்பாட்டின் முழு சூழ்நிலையையும் உடைக்கிறது.
IPFire பெரும்பாலும் DSL அல்லது கேபிள் இணைப்புகள் போன்ற மலிவான இணைய இணைப்புகளுக்குப் பயன்படுத்தப்படுகிறது. வேகமான ஃபைபர் தேவையில்லாத சிறு அல்லது நடுத்தர வணிகங்களுக்கு இது அர்த்தமுள்ளதாக இருக்கும். [மொழிபெயர்ப்பாளரிடமிருந்து குறிப்பு: தகவல்தொடர்பு அடிப்படையில், ரஷ்யா மற்றும் சில சிஐஎஸ் நாடுகள் ஐரோப்பா மற்றும் அமெரிக்காவை விட மிகவும் முன்னால் உள்ளன என்பதை மறந்துவிடாதீர்கள், ஏனென்றால் நாங்கள் எங்கள் நெட்வொர்க்குகளை உருவாக்கத் தொடங்கினோம், மேலும் ஈதர்நெட் மற்றும் ஃபைபர் ஆப்டிக் நெட்வொர்க்குகளின் வருகையுடன் நிலையானது, மீண்டும் கட்டியெழுப்புவது எங்களுக்கு எளிதாக இருந்தது. அதே EU அல்லது USA நாடுகளில், 3-5 Mbps வேகத்தில் xDSL பிராட்பேண்ட் அணுகல் இன்னும் பொதுவான விதிமுறையாக உள்ளது, மேலும் ஒரு ஃபைபர் ஆப்டிக் இணைப்பு எங்கள் தரநிலைகளின்படி சில உண்மையற்ற பணத்தை செலவழிக்கிறது. எனவே, கட்டுரையின் ஆசிரியர் டி.எஸ்.எல் அல்லது கேபிள் இணைப்பைப் பற்றி பேசுகிறார், ஆனால் பண்டைய காலங்கள் அல்ல.] இருப்பினும், டிஎஸ்எல், கேபிள், எல்டிஇ (மற்றும் பிற வயர்லெஸ் அணுகல் முறைகள்) டைனமிக் ஐபி முகவரிகளைக் கொண்டுள்ளன. நிச்சயமாக, சில நேரங்களில் அவை அடிக்கடி மாறாது, ஆனால் அவை மாறுகின்றன.
என்ற துணைத் திட்டம் உள்ளது , இந்தக் குறைபாட்டைப் போக்க பயனர்வெளி டீமானைச் சேர்க்கிறது. மேலே விவரிக்கப்பட்ட பயனர் சூழ்நிலையில் ஒரு பெரிய பிரச்சனை டைனமிக் IPv6 முகவரியின் மோசமடைதல் ஆகும்.
விநியோகஸ்தரின் பார்வையில், இவை அனைத்தும் நன்றாக இல்லை. நெறிமுறையை எளிமையாகவும் சுத்தமாகவும் வைத்திருப்பது வடிவமைப்பு இலக்குகளில் ஒன்றாகும்.
துரதிர்ஷ்டவசமாக, இவை அனைத்தும் உண்மையில் மிகவும் எளிமையானதாகவும் பழமையானதாகவும் மாறிவிட்டன, எனவே இந்த முழு வடிவமைப்பும் உண்மையான பயன்பாட்டில் சாத்தியமானதாக இருக்க கூடுதல் மென்பொருளைப் பயன்படுத்த வேண்டும்.
WireGuard பயன்படுத்த மிகவும் எளிதானதா?
இதுவரை இல்லை. WireGuard இரண்டு புள்ளிகளுக்கு இடையில் சுரங்கப்பாதைக்கு ஒரு நல்ல மாற்றாக இருக்காது என்று நான் கூறவில்லை, ஆனால் இப்போது அது இருக்க வேண்டிய தயாரிப்பின் ஆல்பா பதிப்பு மட்டுமே.
ஆனால் அவர் உண்மையில் என்ன செய்கிறார்? IPsec உண்மையில் பராமரிப்பது மிகவும் கடினமானதா?
வெளிப்படையாக இல்லை. IPsec விற்பனையாளர் இதைப் பற்றி யோசித்து, IPFire போன்ற இடைமுகத்துடன் தங்கள் தயாரிப்புகளை அனுப்புகிறார்.
IPsec இல் VPN சுரங்கப்பாதையை அமைக்க, நீங்கள் உள்ளமைவில் உள்ளிட வேண்டிய ஐந்து தரவுத் தொகுப்புகள் உங்களுக்குத் தேவைப்படும்: உங்கள் சொந்த பொது IP முகவரி, பெறும் தரப்பினரின் பொது IP முகவரி, நீங்கள் பகிரங்கப்படுத்த விரும்பும் சப்நெட்டுகள் இந்த VPN இணைப்பு மற்றும் முன் பகிர்ந்த விசை. எனவே, VPN ஆனது நிமிடங்களுக்குள் அமைக்கப்பட்டு எந்த விற்பனையாளருடனும் இணக்கமாக இருக்கும்.
துரதிர்ஷ்டவசமாக, இந்த கதைக்கு சில விதிவிலக்குகள் உள்ளன. IPsec ஐ OpenBSD மெஷினுடன் இணைக்க முயற்சித்த எவருக்கும் நான் எதைப் பற்றி பேசுகிறேன் என்பது தெரியும். இன்னும் இரண்டு வலிமிகுந்த உதாரணங்கள் உள்ளன, ஆனால் உண்மையில், IPsec ஐப் பயன்படுத்துவதற்கு இன்னும் பல நல்ல நடைமுறைகள் உள்ளன.
நெறிமுறை சிக்கலானது பற்றி
இறுதிப் பயனர் நெறிமுறையின் சிக்கலான தன்மையைப் பற்றி கவலைப்பட வேண்டியதில்லை.
இது பயனரின் உண்மையான கவலையாக இருக்கும் உலகில் நாங்கள் வாழ்ந்திருந்தால், பத்து ஆண்டுகளுக்கு முன்பு உருவாக்கப்பட்ட SIP, H.323, FTP மற்றும் பிற நெறிமுறைகள் NAT உடன் சரியாக வேலை செய்யாத நிலையில் இருந்து விடுபட்டிருப்போம்.
WireGuard ஐ விட IPsec மிகவும் சிக்கலானதாக இருப்பதற்கு காரணங்கள் உள்ளன: இது நிறைய விஷயங்களைச் செய்கிறது. எடுத்துக்காட்டாக, உள்நுழைவு / கடவுச்சொல் அல்லது EAP உடன் சிம் கார்டைப் பயன்படுத்தி பயனர் அங்கீகாரம். இது புதியவற்றைச் சேர்க்கும் நீட்டிக்கப்பட்ட திறனைக் கொண்டுள்ளது .
மற்றும் WireGuard அது இல்லை.
இதன் அர்த்தம், WireGuard ஒரு கட்டத்தில் உடைந்து விடும், ஏனென்றால் கிரிப்டோகிராஃபிக் ப்ரிமிட்டிவ்களில் ஒன்று பலவீனமடையும் அல்லது முற்றிலும் சமரசம் செய்யப்படும். தொழில்நுட்ப ஆவணங்களின் ஆசிரியர் கூறுகிறார்:
WireGuard குறியாக்கவியல் கருத்துடையது என்பது குறிப்பிடத்தக்கது. இது வேண்டுமென்றே மறைக்குறியீடுகள் மற்றும் நெறிமுறைகளின் நெகிழ்வுத்தன்மையைக் கொண்டிருக்கவில்லை. அடிப்படையான பழமையானவற்றில் தீவிர ஓட்டைகள் காணப்பட்டால், அனைத்து முடிவுப்புள்ளிகளும் புதுப்பிக்கப்பட வேண்டும். SLL/TLS பாதிப்புகளின் தற்போதைய ஸ்ட்ரீமில் இருந்து நீங்கள் பார்க்க முடியும், என்க்ரிப்ஷனின் நெகிழ்வுத்தன்மை இப்போது மிகப்பெரிய அளவில் அதிகரித்துள்ளது.
கடைசி வாக்கியம் முற்றிலும் சரியானது.
என்ன குறியாக்கத்தைப் பயன்படுத்த வேண்டும் என்பதில் ஒருமித்த கருத்தை எட்டுவது IKE மற்றும் TLS போன்ற நெறிமுறைகளை உருவாக்குகிறது மேலும் சிக்கலான. ரொம்ப சிக்கலானது? ஆம், TLS/SSL இல் பாதிப்புகள் மிகவும் பொதுவானவை, அவற்றிற்கு மாற்று எதுவும் இல்லை.
உண்மையான பிரச்சனைகளை புறக்கணிப்பது
உலகில் எங்காவது 200 போர் கிளையண்டுகளுடன் VPN சேவையகம் உங்களிடம் உள்ளது என்று கற்பனை செய்து பாருங்கள். இது ஒரு அழகான நிலையான பயன்பாட்டு வழக்கு. நீங்கள் குறியாக்கத்தை மாற்ற வேண்டும் என்றால், இந்த மடிக்கணினிகள், ஸ்மார்ட்போன்கள் மற்றும் பலவற்றில் உள்ள WireGuard இன் அனைத்து நகல்களுக்கும் புதுப்பிப்பை வழங்க வேண்டும். ஒரே நேரத்தில் வழங்கு. அது உண்மையில் சாத்தியமற்றது. இதைச் செய்ய முயற்சிக்கும் நிர்வாகிகள், தேவையான உள்ளமைவுகளைச் செயல்படுத்த பல மாதங்கள் ஆகும், மேலும் நடுத்தர அளவிலான நிறுவனங்கள் அத்தகைய நிகழ்வை நிறுத்துவதற்கு பல ஆண்டுகள் ஆகும்.
IPsec மற்றும் OpenVPN ஆகியவை சைபர் பேச்சுவார்த்தை அம்சத்தை வழங்குகின்றன. எனவே, புதிய குறியாக்கத்தை நீங்கள் இயக்கிய சிறிது நேரம், பழையது வேலை செய்யும். இது தற்போதைய வாடிக்கையாளர்களை புதிய பதிப்பிற்கு மேம்படுத்த அனுமதிக்கும். புதுப்பிப்பு வெளியிடப்பட்ட பிறகு, பாதிக்கப்படக்கூடிய குறியாக்கத்தை நீங்கள் முடக்கலாம். அவ்வளவு தான்! தயார்! நீ அழகாக இருக்கிறாய்! வாடிக்கையாளர்கள் அதை கண்டுகொள்ளவே மாட்டார்கள்.
இது உண்மையில் பெரிய வரிசைப்படுத்தல்களுக்கு மிகவும் பொதுவான வழக்கு, மேலும் OpenVPN கூட இதில் சில சிரமங்களைக் கொண்டுள்ளது. பின்தங்கிய இணக்கத்தன்மை முக்கியமானது, மேலும் நீங்கள் பலவீனமான குறியாக்கத்தைப் பயன்படுத்தினாலும், பலருக்கு, வணிகத்தை மூடுவதற்கு இது ஒரு காரணம் அல்ல. ஏனெனில் நூற்றுக்கணக்கான வாடிக்கையாளர்களின் வேலையைச் செய்ய முடியாமல் முடங்கிவிடும்.
WireGuard குழு அவர்களின் நெறிமுறையை எளிமையாக்கியுள்ளது, ஆனால் அவர்களது சுரங்கப்பாதையில் உள்ள இரு சகாக்கள் மீதும் நிலையான கட்டுப்பாடு இல்லாத நபர்களுக்கு முற்றிலும் பயன்படுத்த முடியாதது. என் அனுபவத்தில், இது மிகவும் பொதுவான காட்சி.
கிரிப்டோகிராஃபி!
ஆனால் WireGuard பயன்படுத்தும் இந்த சுவாரஸ்யமான புதிய குறியாக்கம் என்ன?
WireGuard முக்கிய பரிமாற்றத்திற்கு Curve25519, குறியாக்கத்திற்கு ChaCha20 மற்றும் தரவு அங்கீகாரத்திற்காக Poly1305 ஐப் பயன்படுத்துகிறது. இது ஹாஷ் விசைகளுக்கு SipHash மற்றும் ஹாஷிங்கிற்கு BLAKE2 உடன் வேலை செய்கிறது.
ChaCha20-Poly1305 ஐ IPsec மற்றும் OpenVPN (TLSக்கு மேல்) தரப்படுத்தப்பட்டது.
டேனியல் பெர்ன்ஸ்டீனின் வளர்ச்சி அடிக்கடி பயன்படுத்தப்படுகிறது என்பது வெளிப்படையானது. BLAKE2 என்பது SHA-3 இறுதிப் போட்டியாளரான BLAKE இன் வாரிசு ஆகும், அது SHA-2 உடன் உள்ள ஒற்றுமையின் காரணமாக வெற்றி பெறவில்லை. SHA-2 உடைந்தால், BLAKE யும் சமரசம் செய்யப்படுவதற்கான வாய்ப்புகள் அதிகம்.
IPsec மற்றும் OpenVPNக்கு அவற்றின் வடிவமைப்பு காரணமாக SipHash தேவையில்லை. எனவே தற்போது அவர்களுடன் பயன்படுத்த முடியாத ஒரே விஷயம் BLAKE2 ஆகும், அது தரப்படுத்தப்படும் வரை மட்டுமே. இது ஒரு பெரிய குறைபாடு அல்ல, ஏனென்றால் VPNகள் HMAC ஐப் பயன்படுத்தி ஒருமைப்பாட்டை உருவாக்குகின்றன, இது MD5 உடன் இணைந்து கூட வலுவான தீர்வாகக் கருதப்படுகிறது.
எனவே எல்லா VPNகளிலும் கிட்டத்தட்ட ஒரே மாதிரியான கிரிப்டோகிராஃபிக் கருவிகள் பயன்படுத்தப்படுகின்றன என்ற முடிவுக்கு வந்தேன். எனவே, WireGuard குறியாக்கம் அல்லது கடத்தப்பட்ட தரவின் ஒருமைப்பாடு என்று வரும்போது, வேறு எந்த தற்போதைய தயாரிப்பையும் விட அதிகமாகவோ அல்லது குறைவாகவோ பாதுகாப்பானது அல்ல.
ஆனால் இது கூட மிக முக்கியமான விஷயம் அல்ல, இது திட்டத்தின் அதிகாரப்பூர்வ ஆவணங்களின்படி கவனம் செலுத்துவது மதிப்பு. எல்லாவற்றிற்கும் மேலாக, முக்கிய விஷயம் வேகம்.
மற்ற VPN தீர்வுகளை விட WireGuard வேகமானதா?
சுருக்கமாக: இல்லை, வேகமாக இல்லை.
ChaCha20 என்பது மென்பொருளில் செயல்படுத்த எளிதான ஒரு ஸ்ட்ரீம் சைஃபர் ஆகும். இது ஒரு நேரத்தில் ஒரு பிட் குறியாக்கம் செய்கிறது. AES போன்ற தடுப்பு நெறிமுறைகள் ஒரு நேரத்தில் 128 பிட்களை குறியாக்குகின்றன. வன்பொருள் ஆதரவைச் செயல்படுத்த அதிக டிரான்சிஸ்டர்கள் தேவைப்படுகின்றன, எனவே பெரிய செயலிகள் AES-NI உடன் வருகின்றன, இது ஒரு அறிவுறுத்தல் தொகுப்பு நீட்டிப்பு ஆகும், இது குறியாக்க செயல்முறையின் சில பணிகளை விரைவுபடுத்துகிறது.
AES-NI ஸ்மார்ட்போன்களில் வராது என்று எதிர்பார்க்கப்பட்டது [ஆனால் அது - தோராயமாக. per.]. இதற்காக, ChaCha20 ஒரு இலகுரக, பேட்டரி சேமிப்பு மாற்றாக உருவாக்கப்பட்டது. எனவே, இன்று நீங்கள் வாங்கக்கூடிய ஒவ்வொரு ஸ்மார்ட்போனும் ஒருவித AES முடுக்கம் மற்றும் ChaCha20 ஐ விட இந்த குறியாக்கத்துடன் வேகமாகவும் குறைந்த மின் நுகர்வுடன் இயங்குகிறது என்பது உங்களுக்கு செய்தியாக வரலாம்.
வெளிப்படையாக, கடந்த இரண்டு ஆண்டுகளில் வாங்கிய ஒவ்வொரு டெஸ்க்டாப்/சர்வர் செயலியிலும் AES-NI உள்ளது.
எனவே, ஒவ்வொரு சூழ்நிலையிலும் AES ChaCha20 ஐ விட சிறப்பாக செயல்படும் என்று நான் எதிர்பார்க்கிறேன். WireGuard இன் அதிகாரப்பூர்வ ஆவணங்கள் AVX512 உடன், ChaCha20-Poly1305 AES-NI ஐ விட சிறப்பாக செயல்படும் என்று குறிப்பிடுகிறது, ஆனால் இந்த அறிவுறுத்தல் தொகுப்பு நீட்டிப்பு பெரிய CPU களில் மட்டுமே கிடைக்கும், இது மீண்டும் சிறிய மற்றும் அதிக மொபைல் வன்பொருளுக்கு உதவாது, இது AES உடன் எப்போதும் வேகமாக இருக்கும். - என்.ஐ.
WireGuard இன் வளர்ச்சியின் போது இதை முன்னறிவித்திருக்க முடியுமா என்று எனக்குத் தெரியவில்லை, ஆனால் இன்று அது குறியாக்கத்திற்கு மட்டுமே பொருத்தப்பட்டுள்ளது என்பது ஏற்கனவே ஒரு குறைபாடாகும், இது அதன் செயல்பாட்டை நன்றாக பாதிக்காது.
உங்கள் விஷயத்தில் எந்த குறியாக்கம் சிறந்தது என்பதை சுதந்திரமாக தேர்வு செய்ய IPsec உங்களை அனுமதிக்கிறது. எடுத்துக்காட்டாக, VPN இணைப்பு மூலம் 10 அல்லது அதற்கு மேற்பட்ட ஜிகாபைட் தரவை மாற்ற விரும்பினால், நிச்சயமாக இது அவசியம்.
லினக்ஸில் ஒருங்கிணைப்பு சிக்கல்கள்
WireGuard ஒரு நவீன குறியாக்க நெறிமுறையைத் தேர்ந்தெடுத்திருந்தாலும், இது ஏற்கனவே நிறைய சிக்கல்களை ஏற்படுத்துகிறது. எனவே, பெட்டிக்கு வெளியே உள்ள கர்னலால் ஆதரிக்கப்படுவதைப் பயன்படுத்துவதற்குப் பதிலாக, Linux இல் இந்த primitives இல்லாததால் WireGuard இன் ஒருங்கிணைப்பு பல ஆண்டுகளாக தாமதமானது.
மற்ற இயங்குதளங்களில் நிலைமை என்னவென்று எனக்கு முழுமையாகத் தெரியவில்லை, ஆனால் லினக்ஸை விட இது மிகவும் வித்தியாசமாக இருக்காது.
யதார்த்தம் எப்படி இருக்கும்?
துரதிர்ஷ்டவசமாக, ஒவ்வொரு முறையும் ஒரு கிளையன்ட் என்னிடம் VPN இணைப்பை அமைக்கும்படி கேட்கும்போது, அவர்கள் காலாவதியான நற்சான்றிதழ்கள் மற்றும் குறியாக்கத்தைப் பயன்படுத்துகிறார்கள் என்ற சிக்கலை எதிர்கொள்கிறேன். MD3 உடன் இணைந்து 5DES இன்னும் பொதுவான நடைமுறையில் உள்ளது, AES-256 மற்றும் SHA1 போன்றவை. பிந்தையது சற்று சிறப்பாக இருந்தாலும், இது 2020 இல் பயன்படுத்தப்பட வேண்டிய ஒன்றல்ல.
முக்கிய பரிமாற்றத்திற்கு எப்போதும் RSA பயன்படுத்தப்படுகிறது - மெதுவான ஆனால் மிகவும் பாதுகாப்பான கருவி.
எனது வாடிக்கையாளர்கள் சுங்க அதிகாரிகள் மற்றும் பிற அரசு நிறுவனங்கள் மற்றும் நிறுவனங்களுடனும், உலகம் முழுவதும் அறியப்பட்ட பெரிய நிறுவனங்களுடனும் தொடர்புடையவர்கள். அவர்கள் அனைவரும் பல தசாப்தங்களுக்கு முன்பு உருவாக்கப்பட்ட கோரிக்கை படிவத்தைப் பயன்படுத்துகின்றனர், மேலும் SHA-512 ஐப் பயன்படுத்துவதற்கான திறன் ஒருபோதும் சேர்க்கப்படவில்லை. இது தொழில்நுட்ப முன்னேற்றத்தை எப்படியாவது தெளிவாக பாதிக்கிறது என்று என்னால் கூற முடியாது, ஆனால் வெளிப்படையாக இது பெருநிறுவன செயல்முறையை மெதுவாக்குகிறது.
IPsec 2005 ஆம் ஆண்டு முதல் நீள்வட்ட வளைவுகளை ஆதரித்ததால், இதைப் பார்ப்பது எனக்கு வேதனை அளிக்கிறது. Curve25519 புதியது மற்றும் பயன்பாட்டிற்கு கிடைக்கிறது. Camellia மற்றும் ChaCha20 போன்ற AES க்கு மாற்றுகளும் உள்ளன, ஆனால் அவை அனைத்தும் Cisco மற்றும் பிற பெரிய விற்பனையாளர்களால் ஆதரிக்கப்படவில்லை.
மற்றும் மக்கள் அதை பயன்படுத்தி கொள்கிறார்கள். பல சிஸ்கோ கருவிகள் உள்ளன, சிஸ்கோவுடன் வேலை செய்ய வடிவமைக்கப்பட்ட பல கருவிகள் உள்ளன. அவர்கள் இந்த பிரிவில் சந்தை தலைவர்கள் மற்றும் எந்த வகையான புதுமைகளிலும் அதிக ஆர்வம் காட்டவில்லை.
ஆம், [கார்ப்பரேட் பிரிவில்] நிலைமை மிகவும் மோசமாக உள்ளது, ஆனால் WireGuard காரணமாக எந்த மாற்றத்தையும் நாங்கள் காண மாட்டோம். விற்பனையாளர்கள் அவர்கள் ஏற்கனவே பயன்படுத்தும் கருவிகள் மற்றும் குறியாக்கத்தில் செயல்திறன் சிக்கல்களை ஒருபோதும் பார்க்க மாட்டார்கள், IKEv2 உடன் எந்த பிரச்சனையும் பார்க்க மாட்டார்கள், எனவே அவர்கள் மாற்று வழிகளைத் தேடுவதில்லை.
பொதுவாக, சிஸ்கோவை கைவிடுவது பற்றி நீங்கள் எப்போதாவது யோசித்திருக்கிறீர்களா?
வரையறைகள்
இப்போது WireGuard ஆவணத்தில் இருந்து வரையறைகளுக்கு செல்லலாம். இது [ஆவணம்] ஒரு அறிவியல் கட்டுரை இல்லை என்றாலும், டெவலப்பர்கள் இன்னும் அறிவியல் அணுகுமுறையை எடுக்க வேண்டும் அல்லது அறிவியல் அணுகுமுறையை குறிப்புகளாகப் பயன்படுத்த வேண்டும் என்று நான் இன்னும் எதிர்பார்த்தேன். எந்த அளவுகோல்களும் இனப்பெருக்கம் செய்ய முடியாவிட்டால் அவை பயனற்றவை, மேலும் அவை ஆய்வகத்தில் பெறப்பட்டால் இன்னும் பயனற்றவை.
WireGuard இன் Linux உருவாக்கத்தில், GSO - ஜெனரிக் செக்மென்டேஷன் ஆஃப்லோடிங்கைப் பயன்படுத்துவதன் மூலம் இது பயனடைகிறது. அவருக்கு நன்றி, வாடிக்கையாளர் 64 கிலோபைட்டுகள் கொண்ட ஒரு பெரிய பாக்கெட்டை உருவாக்கி, அதை ஒரே நேரத்தில் குறியாக்கம் / மறைகுறியாக்கம் செய்கிறார். இதனால், கிரிப்டோகிராஃபிக் செயல்பாடுகளை செயல்படுத்துவதற்கான செலவு குறைக்கப்படுகிறது. உங்கள் VPN இணைப்பின் செயல்திறனை அதிகரிக்க விரும்பினால், இது ஒரு நல்ல யோசனை.
ஆனால், வழக்கம் போல், உண்மை அவ்வளவு எளிதல்ல. இவ்வளவு பெரிய பாக்கெட்டை நெட்வொர்க் அடாப்டருக்கு அனுப்புவதற்கு, அதை பல சிறிய பாக்கெட்டுகளாக வெட்ட வேண்டும். சாதாரண அனுப்பும் அளவு 1500 பைட்டுகள். அதாவது, 64 கிலோபைட்டுகள் கொண்ட எங்கள் மாபெரும் 45 பாக்கெட்டுகளாக பிரிக்கப்படும் (1240 பைட்டுகள் தகவல் மற்றும் 20 பைட்டுகள் ஐபி ஹெடரின்). பின்னர், சிறிது நேரம், அவர்கள் பிணைய அடாப்டரின் வேலையை முழுமையாகத் தடுப்பார்கள், ஏனென்றால் அவை ஒன்றாகவும் ஒரே நேரத்தில் அனுப்பப்பட வேண்டும். இதன் விளைவாக, இது ஒரு முன்னுரிமை ஜம்ப்க்கு வழிவகுக்கும், மேலும் VoIP போன்ற பாக்கெட்டுகள் வரிசைப்படுத்தப்படும்.
எனவே, WireGuard மிகவும் தைரியமாக கூறும் உயர் செயல்திறன் மற்ற பயன்பாடுகளின் நெட்வொர்க்கிங் வேகத்தை குறைக்கும் செலவில் அடையப்படுகிறது. மற்றும் WireGuard குழு ஏற்கனவே உள்ளது இது எனது முடிவு.
ஆனால் தொடரலாம்.
தொழில்நுட்ப ஆவணங்களில் உள்ள வரையறைகளின்படி, இணைப்பு 1011 Mbps செயல்திறனைக் காட்டுகிறது.
ஈர்க்கக்கூடியது.
ஒரு கிகாபிட் ஈதர்நெட் இணைப்பின் அதிகபட்ச கோட்பாட்டு செயல்திறன் 966 Mbps ஆகும், இது IP ஹெடருக்கு 1500 பைட்டுகள் கழித்தல் 20 பைட்டுகள், UDP தலைப்புக்கு 8 பைட்டுகள் மற்றும் தலைப்புக்கு 16 பைட்டுகள். வயர்கார்டு தானே. இணைக்கப்பட்ட பாக்கெட்டில் மேலும் ஒரு IP தலைப்பு உள்ளது மற்றும் TCP இல் 20 பைட்டுகளுக்கு மற்றொன்று உள்ளது. இந்த கூடுதல் அலைவரிசை எங்கிருந்து வந்தது?
பெரிய பிரேம்கள் மற்றும் மேலே நாம் பேசிய GSO இன் பலன்களுடன், 9000 பைட்டுகள் கொண்ட பிரேம் அளவிற்கான தத்துவார்த்த அதிகபட்சம் 1014 Mbps ஆக இருக்கும். பொதுவாக இத்தகைய செயல்திறன் உண்மையில் அடைய முடியாதது, ஏனெனில் இது பெரும் சிரமங்களுடன் தொடர்புடையது. எனவே, சில நெட்வொர்க் அடாப்டர்களால் மட்டுமே ஆதரிக்கப்படும் கோட்பாட்டு ரீதியில் அதிகபட்சமாக 64 Mbps உடன் 1023 கிலோபைட்டுகள் கொண்ட பெரிய அளவிலான பிரேம்களைப் பயன்படுத்தி சோதனை செய்யப்பட்டது என்று மட்டுமே என்னால் கருத முடியும். ஆனால் இது உண்மையான நிலைமைகளில் முற்றிலும் பொருந்தாது அல்லது நேரடியாக இணைக்கப்பட்ட இரண்டு நிலையங்களுக்கு இடையில் மட்டுமே பயன்படுத்த முடியும், பிரத்தியேகமாக சோதனை பெஞ்சிற்குள்.
ஆனால் ஜம்போ பிரேம்களை ஆதரிக்காத இணைய இணைப்பைப் பயன்படுத்தி இரண்டு ஹோஸ்ட்களுக்கு இடையே VPN சுரங்கப்பாதை அனுப்பப்படுவதால், பெஞ்சில் அடையப்பட்ட முடிவை ஒரு அளவுகோலாக எடுத்துக்கொள்ள முடியாது. இது வெறுமனே ஒரு யதார்த்தமற்ற ஆய்வக சாதனையாகும், இது உண்மையான போர் நிலைமைகளில் சாத்தியமற்றது மற்றும் பொருந்தாது.
டேட்டா சென்டரில் அமர்ந்திருந்தாலும், 9000 பைட்டுகளை விட பெரிய பிரேம்களை என்னால் மாற்ற முடியவில்லை.
நிஜ வாழ்க்கையில் பொருந்தக்கூடிய அளவுகோல் முற்றிலும் மீறப்பட்டுள்ளது மற்றும் நான் நினைப்பது போல், "அளவீடு" ஆசிரியர் வெளிப்படையான காரணங்களுக்காக தன்னை தீவிரமாக இழிவுபடுத்தினார்.
நம்பிக்கையின் கடைசி மினுமினுப்பு
WireGuard வலைத்தளம் கொள்கலன்களைப் பற்றி நிறைய பேசுகிறது மற்றும் அது உண்மையில் எதற்காக வடிவமைக்கப்பட்டுள்ளது என்பது தெளிவாகிறது.
எளிமையான மற்றும் வேகமான VPN ஆனது, எந்த உள்ளமைவும் தேவைப்படாது மற்றும் Amazon போன்ற பெரிய ஆர்கெஸ்ட்ரேஷன் கருவிகளைக் கொண்டு வரிசைப்படுத்தலாம் மற்றும் கட்டமைக்க முடியும். குறிப்பாக, நான் முன்பு குறிப்பிட்ட AVX512 போன்ற சமீபத்திய வன்பொருள் அம்சங்களை Amazon பயன்படுத்துகிறது. இது வேலையை விரைவுபடுத்துவதற்காக செய்யப்படுகிறது மற்றும் x86 அல்லது வேறு எந்த கட்டிடக்கலைக்கும் இணைக்கப்படவில்லை.
அவை 9000 பைட்டுகளை விட பெரிய செயல்திறன் மற்றும் பாக்கெட்டுகளை மேம்படுத்துகின்றன - இவை கன்டெய்னர்கள் ஒன்றோடொன்று தொடர்புகொள்வதற்கு அல்லது காப்புப் பிரதி செயல்பாடுகள், ஸ்னாப்ஷாட்களை உருவாக்குதல் அல்லது இதே கண்டெய்னர்களை வரிசைப்படுத்துதல் போன்றவற்றிற்காக பெரிய இணைக்கப்பட்ட சட்டங்களாக இருக்கும். டைனமிக் ஐபி முகவரிகள் கூட நான் விவரித்த சூழ்நிலையில் WireGuard இன் செயல்பாட்டை எந்த வகையிலும் பாதிக்காது.
நன்றாக விளையாடினாய். புத்திசாலித்தனமான செயல்படுத்தல் மற்றும் மிக மெல்லிய, கிட்டத்தட்ட குறிப்பு நெறிமுறை.
ஆனால் நீங்கள் முழுமையாகக் கட்டுப்படுத்தும் தரவு மையத்திற்கு வெளியே உள்ள உலகில் இது பொருந்தாது. நீங்கள் ரிஸ்க் எடுத்து WireGuard ஐப் பயன்படுத்தத் தொடங்கினால், குறியாக்க நெறிமுறையின் வடிவமைப்பு மற்றும் செயல்படுத்தலில் நீங்கள் தொடர்ந்து சமரசம் செய்ய வேண்டியிருக்கும்.
முடிவுக்கு
WireGuard இன்னும் தயாராகவில்லை என்று முடிவு செய்வது எனக்கு எளிதானது.
தற்போதுள்ள தீர்வுகளுடன் கூடிய பல பிரச்சனைகளுக்கு இலகுரக மற்றும் விரைவான தீர்வாக இது கருதப்பட்டது. துரதிர்ஷ்டவசமாக, இந்த தீர்வுகளுக்காக, பெரும்பாலான பயனர்களுக்கு பொருத்தமான பல அம்சங்களை அவர் தியாகம் செய்தார். அதனால்தான் இது IPsec அல்லது OpenVPN ஐ மாற்ற முடியாது.
WireGuard போட்டித்தன்மையடைய, குறைந்தபட்சம் ஒரு IP முகவரி அமைப்பு மற்றும் ஒரு ரூட்டிங் மற்றும் DNS உள்ளமைவைச் சேர்க்க வேண்டும். வெளிப்படையாக, மறைகுறியாக்கப்பட்ட சேனல்கள் இதுதான்.
பாதுகாப்பு எனது முதன்மையானது, இப்போது IKE அல்லது TLS எப்படியோ சமரசம் செய்யப்பட்டுள்ளது அல்லது உடைந்து விட்டது என்று நம்புவதற்கு எனக்கு எந்த காரணமும் இல்லை. நவீன குறியாக்கம் இரண்டிலும் ஆதரிக்கப்படுகிறது, மேலும் அவை பல தசாப்தங்களாக செயல்பாட்டின் மூலம் நிரூபிக்கப்பட்டுள்ளன. ஒன்று புதியதாக இருப்பதால் அது சிறந்தது என்று அர்த்தமல்ல.
நீங்கள் கட்டுப்படுத்தாத நிலையங்களின் மூன்றாம் தரப்பினருடன் நீங்கள் தொடர்பு கொள்ளும்போது இயங்குதன்மை மிகவும் முக்கியமானது. IPsec என்பது நடைமுறை தரநிலை மற்றும் கிட்டத்தட்ட எல்லா இடங்களிலும் ஆதரிக்கப்படுகிறது. மேலும் அவர் வேலை செய்கிறார். அது எப்படி தோற்றமளித்தாலும், கோட்பாட்டளவில், எதிர்காலத்தில் WireGuard அதன் வெவ்வேறு பதிப்புகளுடன் கூட இணக்கமாக இருக்காது.
எந்தவொரு கிரிப்டோகிராஃபிக் பாதுகாப்பும் விரைவில் அல்லது பின்னர் உடைக்கப்படும், அதன்படி, மாற்றப்பட வேண்டும் அல்லது புதுப்பிக்கப்பட வேண்டும்.
இந்த உண்மைகள் அனைத்தையும் மறுத்து, உங்கள் ஐபோனை உங்கள் வீட்டுப் பணிநிலையத்துடன் இணைக்க WireGuard ஐப் பயன்படுத்த கண்மூடித்தனமாக விரும்புவது உங்கள் தலையை மணலில் ஒட்டிக்கொள்வதில் ஒரு தலைசிறந்த வகுப்பாகும்.
ஆதாரம்: www.habr.com