WireGuard ఇటీవల చాలా దృష్టిని ఆకర్షిస్తోంది, వాస్తవానికి ఇది VPN లలో కొత్త స్టార్. కానీ అతను అనిపించినంత మంచివాడా? IPsec లేదా OpenVPNని భర్తీ చేయడం ఎందుకు పరిష్కారం కాదో వివరించడానికి నేను కొన్ని పరిశీలనలను చర్చించాలనుకుంటున్నాను మరియు WireGuard అమలును సమీక్షించాలనుకుంటున్నాను.
ఈ వ్యాసంలో, నేను [WireGuard చుట్టూ] కొన్ని అపోహలను తొలగించాలనుకుంటున్నాను. అవును, ఇది చదవడానికి చాలా సమయం పడుతుంది, కాబట్టి మీరు మీరే ఒక కప్పు టీ లేదా కాఫీని తయారు చేసుకోకపోతే, దీన్ని చేయడానికి ఇది సమయం. నా అస్తవ్యస్తమైన ఆలోచనలను సరిదిద్దినందుకు నేను పీటర్కి కూడా ధన్యవాదాలు చెప్పాలనుకుంటున్నాను.
వైర్గార్డ్ డెవలపర్లను కించపరచడం, వారి ప్రయత్నాలు లేదా ఆలోచనలను తగ్గించడం అనే లక్ష్యాన్ని నేను నిర్దేశించుకోను. వారి ఉత్పత్తి పనిచేస్తోంది, కానీ వ్యక్తిగతంగా ఇది నిజంగా ఉన్నదానికి భిన్నంగా ప్రదర్శించబడిందని నేను భావిస్తున్నాను - ఇది IPsec మరియు OpenVPN లకు ప్రత్యామ్నాయంగా ప్రదర్శించబడుతుంది, వాస్తవానికి ఇది ఇప్పుడు ఉనికిలో లేదు.
గమనికగా, WireGuard యొక్క అటువంటి స్థానానికి సంబంధించిన బాధ్యత దాని గురించి మాట్లాడిన మీడియాపై ఉంది మరియు ప్రాజెక్ట్ లేదా దాని సృష్టికర్తలది కాదని నేను జోడించాలనుకుంటున్నాను.
ఇటీవల Linux కెర్నల్ గురించి పెద్దగా శుభవార్తలు లేవు. కాబట్టి, సాఫ్ట్వేర్ ద్వారా సమం చేయబడిన ప్రాసెసర్ యొక్క భయంకరమైన దుర్బలత్వాల గురించి మాకు చెప్పబడింది మరియు లైనస్ టోర్వాల్డ్స్ డెవలపర్ యొక్క ప్రయోజనకరమైన భాషలో దాని గురించి చాలా మొరటుగా మరియు విసుగుగా మాట్లాడాడు. నిగనిగలాడే మ్యాగజైన్లకు షెడ్యూలర్ లేదా జీరో-లెవల్ నెట్వర్కింగ్ స్టాక్ కూడా చాలా స్పష్టమైన విషయాలు కాదు. మరియు ఇక్కడ WireGuard వస్తుంది.
కాగితంపై, ఇదంతా చాలా బాగుంది: ఉత్తేజకరమైన కొత్త సాంకేతికత.
అయితే దానిని కొంచెం నిశితంగా పరిశీలిద్దాం.
వైర్గార్డ్ వైట్ పేపర్
ఈ వ్యాసం ఆధారంగా ఉంది
మొదటి వాక్యం ఇలా ఉంది:
WireGuard […] చాలా వినియోగ సందర్భాలలో IPsec మరియు ఇతర ప్రసిద్ధ వినియోగదారు స్థలం మరియు/లేదా OpenVPN వంటి TLS ఆధారిత సొల్యూషన్లు రెండింటినీ భర్తీ చేయడం లక్ష్యంగా పెట్టుకుంది, అయితే ఇది మరింత సురక్షితమైనది, పనితీరు మరియు ఉపయోగించడానికి సులభమైనది.
వాస్తవానికి, అన్ని కొత్త సాంకేతికతల యొక్క ప్రధాన ప్రయోజనం వారిది సరళత [పూర్వములతో పోలిస్తే]. కానీ VPN కూడా ఉండాలి సమర్థవంతమైన మరియు సురక్షితమైన.
కాబట్టి, తదుపరి ఏమిటి?
ఇది మీకు [VPN నుండి] అవసరం కాదని మీరు చెబితే, మీరు పఠనాన్ని ఇక్కడ ముగించవచ్చు. అయితే, అలాంటి పనులు ఏదైనా ఇతర టన్నెలింగ్ టెక్నాలజీ కోసం సెట్ చేయబడతాయని నేను గమనించాను.
పైన పేర్కొన్న కోట్లో అత్యంత ఆసక్తికరమైనది "చాలా సందర్భాలలో" అనే పదాలలో ఉంది, ఇది పత్రికలచే విస్మరించబడింది. కాబట్టి, ఈ నిర్లక్ష్యం సృష్టించిన గందరగోళం కారణంగా మనం ఎక్కడ ఉన్నాం - ఈ వ్యాసంలో.
WireGuard నా [IPsec] సైట్-టు-సైట్ VPNని భర్తీ చేస్తుందా?
నం. Cisco, Juniper మరియు ఇతరులు వంటి పెద్ద విక్రేతలు తమ ఉత్పత్తుల కోసం WireGuardని కొనుగోలు చేసే అవకాశం లేదు. వారు ప్రయాణంలో "పాసింగ్ రైళ్లలో దూకడం" చేయరు. తరువాత, వారు కోరుకున్నప్పటికీ వారు తమ WireGuard ఉత్పత్తులను పొందలేకపోవడానికి గల కొన్ని కారణాలను నేను పరిశీలిస్తాను.
WireGuard నా ల్యాప్టాప్ నుండి నా RoadWarriorని డేటా సెంటర్కు తీసుకువెళుతుందా?
నం. ప్రస్తుతం, WireGuard ఇలాంటి పని చేయగలిగేలా పెద్ద సంఖ్యలో ముఖ్యమైన ఫీచర్లను అమలు చేయలేదు. ఉదాహరణకు, ఇది టన్నెల్ సర్వర్ వైపు డైనమిక్ IP చిరునామాలను ఉపయోగించదు మరియు ఇది మాత్రమే ఉత్పత్తి యొక్క అటువంటి ఉపయోగం యొక్క మొత్తం దృశ్యాన్ని విచ్ఛిన్నం చేస్తుంది.
IPFire తరచుగా DSL లేదా కేబుల్ కనెక్షన్ల వంటి చౌకైన ఇంటర్నెట్ లింక్ల కోసం ఉపయోగించబడుతుంది. ఫాస్ట్ ఫైబర్ అవసరం లేని చిన్న లేదా మధ్యస్థ వ్యాపారాలకు ఇది అర్ధమే. [అనువాదకుని నుండి గమనిక: కమ్యూనికేషన్ పరంగా, రష్యా మరియు కొన్ని CIS దేశాలు యూరప్ మరియు యునైటెడ్ స్టేట్స్ కంటే చాలా ముందున్నాయని మర్చిపోవద్దు, ఎందుకంటే మేము మా నెట్వర్క్లను చాలా తరువాత మరియు ఈథర్నెట్ మరియు ఫైబర్ ఆప్టిక్ నెట్వర్క్ల రాకతో నిర్మించడం ప్రారంభించాము. ప్రామాణికమైనది, పునర్నిర్మించడం మాకు సులభం. EU లేదా USAలోని అదే దేశాలలో, 3-5 Mbps వేగంతో xDSL బ్రాడ్బ్యాండ్ యాక్సెస్ ఇప్పటికీ సాధారణ ప్రమాణం, మరియు ఫైబర్ ఆప్టిక్ కనెక్షన్కు మా ప్రమాణాల ప్రకారం కొంత అవాస్తవ డబ్బు ఖర్చవుతుంది. అందువల్ల, వ్యాసం యొక్క రచయిత DSL లేదా కేబుల్ కనెక్షన్ కట్టుబాటు గురించి మాట్లాడుతున్నారు మరియు పురాతన కాలం కాదు.] అయితే, DSL, కేబుల్, LTE (మరియు ఇతర వైర్లెస్ యాక్సెస్ పద్ధతులు) డైనమిక్ IP చిరునామాలను కలిగి ఉంటాయి. వాస్తవానికి, కొన్నిసార్లు అవి తరచుగా మారవు, కానీ అవి మారుతాయి.
అనే ఉపప్రాజెక్టు ఉంది
డిస్ట్రిబ్యూటర్ కోణం నుండి, ఇవన్నీ కూడా అంత బాగా కనిపించడం లేదు. ప్రోటోకాల్ను సరళంగా మరియు శుభ్రంగా ఉంచడం డిజైన్ లక్ష్యాలలో ఒకటి.
దురదృష్టవశాత్తూ, ఇవన్నీ చాలా సరళంగా మరియు ప్రాచీనమైనవిగా మారాయి, కాబట్టి ఈ మొత్తం డిజైన్ వాస్తవ ఉపయోగంలో ఆచరణీయంగా ఉండాలంటే మనం అదనపు సాఫ్ట్వేర్ను ఉపయోగించాలి.
WireGuardని ఉపయోగించడం అంత సులభమా?
ఇంకా లేదు. రెండు పాయింట్ల మధ్య టన్నెలింగ్ చేయడానికి WireGuard ఎప్పటికీ మంచి ప్రత్యామ్నాయం కాదని నేను చెప్పడం లేదు, కానీ ప్రస్తుతానికి ఇది కేవలం ఉత్పత్తి యొక్క ఆల్ఫా వెర్షన్ మాత్రమే.
అయితే అసలు అతను ఏం చేస్తాడు? IPsec నిర్వహించడం నిజంగా చాలా కష్టమా?
ఖచ్చితంగా కాదు. IPsec విక్రేత దీని గురించి ఆలోచించాడు మరియు IPFire వంటి ఇంటర్ఫేస్తో పాటు వారి ఉత్పత్తిని రవాణా చేస్తాడు.
IPsec ద్వారా VPN టన్నెల్ని సెటప్ చేయడానికి, మీరు కాన్ఫిగరేషన్లోకి ప్రవేశించాల్సిన ఐదు సెట్ల డేటా అవసరం: మీ స్వంత పబ్లిక్ IP చిరునామా, స్వీకరించే పార్టీ యొక్క పబ్లిక్ IP చిరునామా, మీరు పబ్లిక్ చేయాలనుకుంటున్న సబ్నెట్లు ఈ VPN కనెక్షన్ మరియు ముందుగా షేర్ చేసిన కీ. అందువలన, VPN నిమిషాల్లో సెటప్ చేయబడుతుంది మరియు ఏదైనా విక్రేతకు అనుకూలంగా ఉంటుంది.
దురదృష్టవశాత్తు, ఈ కథకు కొన్ని మినహాయింపులు ఉన్నాయి. ఓపెన్బిఎస్డి మెషీన్కు IPsec ద్వారా టన్నెల్ చేయడానికి ప్రయత్నించిన ఎవరికైనా నేను ఏమి మాట్లాడుతున్నానో తెలుసు. మరికొన్ని బాధాకరమైన ఉదాహరణలు ఉన్నాయి, కానీ వాస్తవానికి, IPsecని ఉపయోగించడం కోసం చాలా మంచి పద్ధతులు ఉన్నాయి.
ప్రోటోకాల్ సంక్లిష్టత గురించి
తుది వినియోగదారు ప్రోటోకాల్ యొక్క సంక్లిష్టత గురించి ఆందోళన చెందాల్సిన అవసరం లేదు.
ఇది వినియోగదారుకు నిజమైన ఆందోళన కలిగించే ప్రపంచంలో మనం నివసించినట్లయితే, NATతో సరిగ్గా పని చేయని SIP, H.323, FTP మరియు పదేళ్ల క్రితం సృష్టించిన ఇతర ప్రోటోకాల్లను వదిలించుకుని ఉండేవాళ్లం.
WireGuard కంటే IPsec చాలా క్లిష్టంగా ఉండటానికి కారణాలు ఉన్నాయి: ఇది చాలా ఎక్కువ పనులను చేస్తుంది. ఉదాహరణకు, EAPతో లాగిన్ / పాస్వర్డ్ లేదా SIM కార్డ్ని ఉపయోగించి వినియోగదారు ప్రమాణీకరణ. ఇది కొత్త వాటిని జోడించే సామర్థ్యాన్ని కలిగి ఉంటుంది
మరియు WireGuard అది లేదు.
మరియు దీని అర్థం WireGuard ఏదో ఒక సమయంలో విచ్ఛిన్నమవుతుంది, ఎందుకంటే క్రిప్టోగ్రాఫిక్ ఆదిమలలో ఒకటి బలహీనపడుతుంది లేదా పూర్తిగా రాజీపడుతుంది. సాంకేతిక డాక్యుమెంటేషన్ రచయిత ఇలా చెప్పారు:
వైర్గార్డ్ క్రిప్టోగ్రాఫికల్ అభిప్రాయంతో ఉందని గమనించాలి. ఇది ఉద్దేశపూర్వకంగా సాంకేతికలిపి మరియు ప్రోటోకాల్ల సౌలభ్యాన్ని కలిగి ఉండదు. అంతర్లీన ఆదిమాంశాలలో తీవ్రమైన రంధ్రాలు కనుగొనబడితే, అన్ని ముగింపు బిందువులు నవీకరించబడాలి. SLL/TLS దుర్బలత్వాల యొక్క కొనసాగుతున్న స్ట్రీమ్ నుండి మీరు చూడగలిగినట్లుగా, ఎన్క్రిప్షన్ యొక్క సౌలభ్యం ఇప్పుడు బాగా పెరిగింది.
చివరి వాక్యం ఖచ్చితంగా సరైనది.
ఏ గుప్తీకరణను ఉపయోగించాలనే దానిపై ఏకాభిప్రాయాన్ని చేరుకోవడం IKE మరియు TLS వంటి ప్రోటోకాల్లను చేస్తుంది. మరింత క్లిష్టమైన. చాలా క్లిష్టమైనది? అవును, TLS/SSLలో దుర్బలత్వాలు సర్వసాధారణం మరియు వాటికి ప్రత్యామ్నాయం లేదు.
నిజమైన సమస్యలను విస్మరించడంపై
మీరు ప్రపంచవ్యాప్తంగా ఎక్కడో 200 పోరాట క్లయింట్లతో VPN సర్వర్ని కలిగి ఉన్నారని ఊహించండి. ఇది చాలా ప్రామాణిక వినియోగ సందర్భం. మీరు ఎన్క్రిప్షన్ను మార్చవలసి వస్తే, మీరు ఈ ల్యాప్టాప్లు, స్మార్ట్ఫోన్లు మొదలైనవాటిలో WireGuard యొక్క అన్ని కాపీలకు నవీకరణను అందించాలి. ఏకకాలంలో బట్వాడా. ఇది అక్షరాలా అసాధ్యం. దీన్ని చేయడానికి ప్రయత్నిస్తున్న నిర్వాహకులు అవసరమైన కాన్ఫిగరేషన్లను అమలు చేయడానికి నెలల సమయం పడుతుంది మరియు అలాంటి ఈవెంట్ను ఉపసంహరించుకోవడానికి ఒక మధ్య తరహా కంపెనీకి అక్షరాలా సంవత్సరాలు పడుతుంది.
IPsec మరియు OpenVPN సైఫర్ నెగోషియేషన్ ఫీచర్ను అందిస్తాయి. అందువల్ల, మీరు కొత్త ఎన్క్రిప్షన్ను ఆన్ చేసిన కొంత సమయం వరకు, పాతది కూడా పని చేస్తుంది. ఇది ప్రస్తుత కస్టమర్లను కొత్త వెర్షన్కి అప్గ్రేడ్ చేయడానికి అనుమతిస్తుంది. అప్డేట్ రోల్ అవుట్ అయిన తర్వాత, మీరు హాని కలిగించే ఎన్క్రిప్షన్ను ఆఫ్ చేయండి. అంతే! సిద్ధంగా ఉంది! మీరు చాలా శోభాయమానంగా ఉన్నారు! ఖాతాదారులు కూడా దీనిని గమనించరు.
పెద్ద విస్తరణలకు ఇది చాలా సాధారణమైన సందర్భం మరియు OpenVPNకి కూడా దీనితో కొంత ఇబ్బంది ఉంది. వెనుకకు అనుకూలత ముఖ్యం, మరియు మీరు బలహీనమైన ఎన్క్రిప్షన్ని ఉపయోగిస్తున్నప్పటికీ, చాలా మందికి, వ్యాపారాన్ని మూసివేయడానికి ఇది కారణం కాదు. ఎందుకంటే ఇది వారి పనిని చేయలేకపోవడం వల్ల వందలాది మంది కస్టమర్ల పనిని స్తంభింపజేస్తుంది.
WireGuard బృందం వారి ప్రోటోకాల్ను సులభతరం చేసింది, కానీ వారి సొరంగంలో ఇద్దరు సహచరులపై స్థిరమైన నియంత్రణ లేని వ్యక్తులకు పూర్తిగా ఉపయోగించలేనిది. నా అనుభవంలో, ఇది సర్వసాధారణమైన దృశ్యం.
క్రిప్టోగ్రఫీ!
అయితే WireGuard ఉపయోగించే ఈ ఆసక్తికరమైన కొత్త ఎన్క్రిప్షన్ ఏమిటి?
WireGuard కీ మార్పిడి కోసం Curve25519, ఎన్క్రిప్షన్ కోసం ChaCha20 మరియు డేటా ప్రమాణీకరణ కోసం Poly1305ని ఉపయోగిస్తుంది. ఇది హాష్ కీల కోసం SipHash మరియు హ్యాషింగ్ కోసం BLAKE2తో కూడా పని చేస్తుంది.
ChaCha20-Poly1305 IPsec మరియు OpenVPN (TLS ద్వారా) కోసం ప్రమాణీకరించబడింది.
డేనియల్ బెర్న్స్టెయిన్ అభివృద్ధి చాలా తరచుగా ఉపయోగించబడుతుందని స్పష్టంగా తెలుస్తుంది. BLAKE2 BLAKE యొక్క వారసుడు, SHA-3 ఫైనలిస్ట్ SHA-2కి సారూప్యత కారణంగా గెలవలేదు. SHA-2 విచ్ఛిన్నమైతే, BLAKE కూడా రాజీపడే అవకాశం ఉంది.
IPsec మరియు OpenVPN వాటి డిజైన్ కారణంగా SipHash అవసరం లేదు. కాబట్టి ప్రస్తుతం వాటితో ఉపయోగించలేని ఏకైక విషయం BLAKE2, మరియు అది ప్రమాణీకరించబడే వరకు మాత్రమే. ఇది పెద్ద లోపం కాదు, ఎందుకంటే VPNలు సమగ్రతను సృష్టించడానికి HMACని ఉపయోగిస్తాయి, ఇది MD5తో కలిపి కూడా బలమైన పరిష్కారంగా పరిగణించబడుతుంది.
కాబట్టి అన్ని VPNలలో దాదాపు ఒకే విధమైన క్రిప్టోగ్రాఫిక్ సాధనాలు ఉపయోగించబడుతున్నాయని నేను నిర్ధారణకు వచ్చాను. అందువల్ల, గుప్తీకరణ లేదా ప్రసారం చేయబడిన డేటా యొక్క సమగ్రత విషయానికి వస్తే WireGuard ఏ ఇతర ప్రస్తుత ఉత్పత్తి కంటే ఎక్కువ లేదా తక్కువ సురక్షితం కాదు.
కానీ ఇది కూడా చాలా ముఖ్యమైన విషయం కాదు, ఇది ప్రాజెక్ట్ యొక్క అధికారిక డాక్యుమెంటేషన్ ప్రకారం దృష్టి పెట్టడం విలువ. అన్ని తరువాత, ప్రధాన విషయం వేగం.
ఇతర VPN పరిష్కారాల కంటే WireGuard వేగవంతమైనదా?
సంక్షిప్తంగా: లేదు, వేగంగా కాదు.
ChaCha20 అనేది సాఫ్ట్వేర్లో అమలు చేయడానికి సులభమైన స్ట్రీమ్ సాంకేతికలిపి. ఇది ఒక సమయంలో ఒక బిట్ను గుప్తీకరిస్తుంది. AES వంటి బ్లాక్ ప్రోటోకాల్లు ఒకేసారి 128 బిట్లను బ్లాక్ చేస్తాయి. హార్డ్వేర్ మద్దతును అమలు చేయడానికి చాలా ఎక్కువ ట్రాన్సిస్టర్లు అవసరం, కాబట్టి పెద్ద ప్రాసెసర్లు AES-NIతో వస్తాయి, ఇది ఇన్స్ట్రక్షన్ సెట్ ఎక్స్టెన్షన్ను వేగవంతం చేయడానికి గుప్తీకరణ ప్రక్రియ యొక్క కొన్ని పనులను చేస్తుంది.
AES-NI ఎప్పటికీ స్మార్ట్ఫోన్లలోకి రాదని ఊహించబడింది [కానీ అది - సుమారు. ప్రతి.]. దీని కోసం, ChaCha20 తేలికైన, బ్యాటరీని ఆదా చేసే ప్రత్యామ్నాయంగా అభివృద్ధి చేయబడింది. అందువల్ల, ఈరోజు మీరు కొనుగోలు చేయగల ప్రతి స్మార్ట్ఫోన్లో కొన్ని రకాల AES యాక్సిలరేషన్ ఉంటుంది మరియు ChaCha20 కంటే ఈ ఎన్క్రిప్షన్తో వేగంగా మరియు తక్కువ విద్యుత్ వినియోగంతో నడుస్తుందని మీకు వార్తగా రావచ్చు.
సహజంగానే, గత రెండు సంవత్సరాలలో కొనుగోలు చేసిన ప్రతి డెస్క్టాప్/సర్వర్ ప్రాసెసర్లో AES-NI ఉంటుంది.
అందువల్ల, ప్రతి ఒక్క దృష్టాంతంలో AES ChaCha20ని అధిగమిస్తుందని నేను ఆశిస్తున్నాను. WireGuard యొక్క అధికారిక డాక్యుమెంటేషన్ AVX512తో, ChaCha20-Poly1305 AES-NIని అధిగమిస్తుందని పేర్కొంది, అయితే ఈ సూచనల సెట్ పొడిగింపు పెద్ద CPUలలో మాత్రమే అందుబాటులో ఉంటుంది, ఇది మళ్లీ చిన్న మరియు ఎక్కువ మొబైల్ హార్డ్వేర్తో సహాయం చేయదు, ఇది AESతో ఎల్లప్పుడూ వేగంగా ఉంటుంది. - ఎన్.ఐ.
WireGuard అభివృద్ధి సమయంలో ఇది ఊహించబడి ఉంటుందో లేదో నాకు ఖచ్చితంగా తెలియదు, కానీ నేడు అది కేవలం ఎన్క్రిప్షన్కు వ్రేలాడదీయబడిందనే వాస్తవం ఇప్పటికే దాని ఆపరేషన్ను బాగా ప్రభావితం చేయని లోపం.
IPsec మీ విషయంలో ఏ ఎన్క్రిప్షన్ ఉత్తమమో స్వేచ్ఛగా ఎంచుకోవడానికి మిమ్మల్ని అనుమతిస్తుంది. ఉదాహరణకు, మీరు VPN కనెక్షన్ ద్వారా 10 లేదా అంతకంటే ఎక్కువ గిగాబైట్ల డేటాను బదిలీ చేయాలనుకుంటే ఇది అవసరం.
Linuxలో ఇంటిగ్రేషన్ సమస్యలు
వైర్గార్డ్ ఆధునిక ఎన్క్రిప్షన్ ప్రోటోకాల్ను ఎంచుకున్నప్పటికీ, ఇది ఇప్పటికే చాలా సమస్యలను కలిగిస్తుంది. కాబట్టి, బాక్స్ వెలుపల కెర్నల్ ద్వారా మద్దతునిచ్చే వాటిని ఉపయోగించకుండా, Linuxలో ఈ ఆదిమాంశాలు లేకపోవడం వల్ల WireGuard యొక్క ఏకీకరణ సంవత్సరాల తరబడి ఆలస్యం చేయబడింది.
ఇతర ఆపరేటింగ్ సిస్టమ్లలో పరిస్థితి ఎలా ఉందో నాకు పూర్తిగా తెలియదు, కానీ ఇది బహుశా Linux కంటే చాలా భిన్నంగా లేదు.
రియాలిటీ ఎలా కనిపిస్తుంది?
దురదృష్టవశాత్తూ, క్లయింట్ వారి కోసం VPN కనెక్షన్ని సెటప్ చేయమని నన్ను అడిగిన ప్రతిసారీ, వారు పాత ఆధారాలు మరియు ఎన్క్రిప్షన్ని ఉపయోగిస్తున్నారనే సమస్యను నేను ఎదుర్కొంటాను. AES-3 మరియు SHA5 వంటి 256DES MD1తో కలిపి ఇప్పటికీ సాధారణ అభ్యాసం. మరియు రెండోది కొంచెం మెరుగ్గా ఉన్నప్పటికీ, ఇది 2020లో ఉపయోగించాల్సిన విషయం కాదు.
కీ మార్పిడి కోసం ఎల్లప్పుడూ RSA ఉపయోగించబడుతుంది - నెమ్మదిగా కానీ చాలా సురక్షితమైన సాధనం.
నా క్లయింట్లు కస్టమ్స్ అధికారులు మరియు ఇతర ప్రభుత్వ సంస్థలు మరియు సంస్థలతో పాటు ప్రపంచవ్యాప్తంగా తెలిసిన పెద్ద సంస్థలతో అనుబంధించబడ్డారు. వారంతా దశాబ్దాల క్రితం సృష్టించిన అభ్యర్థన ఫారమ్ను ఉపయోగిస్తున్నారు మరియు SHA-512ని ఉపయోగించగల సామర్థ్యం ఎప్పుడూ జోడించబడలేదు. ఇది ఏదో ఒకవిధంగా సాంకేతిక పురోగతిని స్పష్టంగా ప్రభావితం చేస్తుందని నేను చెప్పలేను, కానీ స్పష్టంగా అది కార్పొరేట్ ప్రక్రియను నెమ్మదిస్తుంది.
IPsec 2005 నుండి ఎలిప్టిక్ కర్వ్లను ఆఫ్హ్యాండ్గా సపోర్ట్ చేస్తోంది కాబట్టి దీన్ని చూడడం నాకు బాధ కలిగించింది. Curve25519 కూడా కొత్తది మరియు ఉపయోగం కోసం అందుబాటులో ఉంది. కామెల్లియా మరియు ChaCha20 వంటి AESకి ప్రత్యామ్నాయాలు కూడా ఉన్నాయి, కానీ స్పష్టంగా వాటన్నింటికీ Cisco మరియు ఇతరుల వంటి ప్రధాన విక్రేతల మద్దతు లేదు.
మరియు ప్రజలు దానిని సద్వినియోగం చేసుకుంటారు. అనేక సిస్కో కిట్లు ఉన్నాయి, సిస్కోతో పని చేయడానికి రూపొందించబడిన అనేక కిట్లు ఉన్నాయి. వారు ఈ విభాగంలో మార్కెట్ లీడర్లు మరియు ఏ రకమైన ఆవిష్కరణల పట్ల పెద్దగా ఆసక్తి చూపరు.
అవును, [కార్పొరేట్ విభాగంలో] పరిస్థితి భయంకరంగా ఉంది, కానీ WireGuard కారణంగా మాకు ఎలాంటి మార్పులు కనిపించవు. విక్రేతలు వారు ఇప్పటికే ఉపయోగిస్తున్న టూలింగ్ మరియు ఎన్క్రిప్షన్తో పనితీరు సమస్యలను ఎప్పటికీ చూడలేరు, IKEv2తో ఎటువంటి సమస్యలను చూడలేరు మరియు వారు ప్రత్యామ్నాయాల కోసం వెతకరు.
సాధారణంగా, సిస్కోను విడిచిపెట్టడం గురించి మీరు ఎప్పుడైనా ఆలోచించారా?
బెంచ్మార్క్లు
మరియు ఇప్పుడు వైర్గార్డ్ డాక్యుమెంటేషన్ నుండి బెంచ్మార్క్లకు వెళ్దాం. ఇది [డాక్యుమెంటేషన్] శాస్త్రీయ కథనం కానప్పటికీ, డెవలపర్లు మరింత శాస్త్రీయ విధానాన్ని తీసుకోవాలని లేదా శాస్త్రీయ విధానాన్ని సూచనగా ఉపయోగించాలని నేను ఇప్పటికీ ఆశించాను. ఏదైనా బెంచ్మార్క్లు పునరుత్పత్తి చేయలేకపోతే అవి పనికిరానివి మరియు వాటిని ప్రయోగశాలలో పొందినప్పుడు మరింత పనికిరానివి.
WireGuard యొక్క Linux బిల్డ్లో, ఇది GSO - జెనరిక్ సెగ్మెంటేషన్ ఆఫ్లోడింగ్ని ఉపయోగించడం ద్వారా ప్రయోజనాన్ని పొందుతుంది. అతనికి ధన్యవాదాలు, క్లయింట్ 64 కిలోబైట్ల భారీ ప్యాకెట్ని సృష్టించి, దానిని ఒకేసారి ఎన్క్రిప్ట్ / డీక్రిప్ట్ చేస్తాడు. అందువలన, క్రిప్టోగ్రాఫిక్ కార్యకలాపాలను ప్రారంభించడం మరియు అమలు చేయడం ఖర్చు తగ్గుతుంది. మీరు మీ VPN కనెక్షన్ యొక్క నిర్గమాంశను పెంచుకోవాలనుకుంటే, ఇది మంచి ఆలోచన.
కానీ, ఎప్పటిలాగే, వాస్తవికత అంత సులభం కాదు. ఇంత పెద్ద ప్యాకెట్ను నెట్వర్క్ అడాప్టర్కి పంపాలంటే దానిని చాలా చిన్న ప్యాకెట్లుగా కట్ చేయాలి. సాధారణ పంపే పరిమాణం 1500 బైట్లు. అంటే, మా దిగ్గజం 64 కిలోబైట్లు 45 ప్యాకెట్లుగా విభజించబడతాయి (1240 బైట్ల సమాచారం మరియు 20 బైట్లు IP హెడర్). అప్పుడు, కొంతకాలం, వారు నెట్వర్క్ అడాప్టర్ యొక్క పనిని పూర్తిగా బ్లాక్ చేస్తారు, ఎందుకంటే వారు కలిసి మరియు ఒకేసారి పంపాలి. ఫలితంగా, ఇది ప్రాధాన్యతా జంప్కు దారి తీస్తుంది మరియు ఉదాహరణకు VoIP వంటి ప్యాకెట్లు క్యూలో ఉంచబడతాయి.
అందువలన, WireGuard చాలా ధైర్యంగా క్లెయిమ్ చేసే అధిక నిర్గమాంశ ఇతర అప్లికేషన్ల నెట్వర్కింగ్ను మందగించే ఖర్చుతో సాధించబడుతుంది. మరియు వైర్గార్డ్ బృందం ఇప్పటికే ఉంది
అయితే ముందుకు వెళ్దాం.
సాంకేతిక డాక్యుమెంటేషన్లోని బెంచ్మార్క్ల ప్రకారం, కనెక్షన్ 1011 Mbps నిర్గమాంశను చూపుతుంది.
ఆకట్టుకుంది.
IP హెడర్కి 966 బైట్లు మైనస్ 1500 బైట్లు, UDP హెడర్కు 20 బైట్లు మరియు హెడర్కి 8 బైట్లు ప్యాకెట్ పరిమాణంతో ఒక గిగాబిట్ ఈథర్నెట్ కనెక్షన్ యొక్క గరిష్ట సైద్ధాంతిక నిర్గమాంశ 16 Mbps ఉన్నందున ఇది విశేషంగా ఆకట్టుకుంటుంది. వైర్గార్డ్ కూడా. ఎన్క్యాప్సులేటెడ్ ప్యాకెట్లో మరో IP హెడర్ మరియు 20 బైట్ల కోసం TCPలో మరొకటి ఉంది. కాబట్టి ఈ అదనపు బ్యాండ్విడ్త్ ఎక్కడ నుండి వచ్చింది?
మేము పైన మాట్లాడిన భారీ ఫ్రేమ్లు మరియు GSO ప్రయోజనాలతో, 9000 బైట్ల ఫ్రేమ్ పరిమాణం కోసం సైద్ధాంతిక గరిష్టం 1014 Mbps. సాధారణంగా ఇటువంటి నిర్గమాంశ వాస్తవానికి సాధించలేనిది, ఎందుకంటే ఇది చాలా ఇబ్బందులతో ముడిపడి ఉంటుంది. అందువల్ల, కొన్ని నెట్వర్క్ ఎడాప్టర్ల ద్వారా మాత్రమే మద్దతు ఇవ్వబడే సైద్ధాంతిక గరిష్టంగా 64 Mbpsతో 1023 కిలోబైట్ల భారీ భారీ ఫ్రేమ్లను ఉపయోగించి పరీక్ష నిర్వహించబడిందని నేను ఊహించగలను. కానీ ఇది వాస్తవ పరిస్థితులలో పూర్తిగా వర్తించదు లేదా నేరుగా కనెక్ట్ చేయబడిన రెండు స్టేషన్ల మధ్య మాత్రమే ఉపయోగించబడుతుంది, ప్రత్యేకంగా టెస్ట్ బెంచ్ లోపల.
కానీ జంబో ఫ్రేమ్లకు అస్సలు మద్దతు ఇవ్వని ఇంటర్నెట్ కనెక్షన్ని ఉపయోగించి VPN టన్నెల్ రెండు హోస్ట్ల మధ్య ఫార్వార్డ్ చేయబడినందున, బెంచ్పై సాధించిన ఫలితం బెంచ్మార్క్గా తీసుకోబడదు. ఇది కేవలం అవాస్తవమైన ప్రయోగశాల సాధన, ఇది నిజమైన పోరాట పరిస్థితుల్లో అసాధ్యం మరియు వర్తించదు.
డేటా సెంటర్లో కూర్చున్నప్పటికీ, నేను 9000 బైట్ల కంటే పెద్ద ఫ్రేమ్లను బదిలీ చేయలేకపోయాను.
నిజ జీవితంలో వర్తించే ప్రమాణం పూర్తిగా ఉల్లంఘించబడింది మరియు నేను అనుకున్నట్లుగా, "కొలత" యొక్క రచయిత స్పష్టమైన కారణాల వల్ల తనను తాను తీవ్రంగా కించపరిచాడు.
ఆశ యొక్క చివరి మెరుపు
WireGuard వెబ్సైట్ కంటైనర్ల గురించి చాలా మాట్లాడుతుంది మరియు ఇది నిజంగా దేని కోసం ఉద్దేశించబడిందో స్పష్టమవుతుంది.
కాన్ఫిగరేషన్ అవసరం లేని సరళమైన మరియు వేగవంతమైన VPN మరియు అమెజాన్ వారి క్లౌడ్లో ఉన్న భారీ ఆర్కెస్ట్రేషన్ సాధనాలతో అమర్చవచ్చు మరియు కాన్ఫిగర్ చేయవచ్చు. ప్రత్యేకంగా, నేను ఇంతకు ముందు పేర్కొన్న AVX512 వంటి తాజా హార్డ్వేర్ ఫీచర్లను Amazon ఉపయోగిస్తుంది. ఇది పనిని వేగవంతం చేయడానికి మరియు x86 లేదా మరే ఇతర ఆర్కిటెక్చర్తో ముడిపడి ఉండకూడదు.
అవి 9000 బైట్ల కంటే పెద్ద నిర్గమాంశ మరియు ప్యాకెట్లను ఆప్టిమైజ్ చేస్తాయి - ఇవి కంటైనర్లు ఒకదానితో ఒకటి కమ్యూనికేట్ చేయడానికి లేదా బ్యాకప్ కార్యకలాపాలకు, స్నాప్షాట్లను సృష్టించడానికి లేదా అదే కంటైనర్లను అమలు చేయడానికి భారీ ఎన్క్యాప్సులేటెడ్ ఫ్రేమ్లుగా ఉంటాయి. డైనమిక్ IP చిరునామాలు కూడా నేను వివరించిన దృష్టాంతంలో WireGuard యొక్క ఆపరేషన్ను ఏ విధంగానూ ప్రభావితం చేయవు.
బాగా ఆడారు. అద్భుతమైన అమలు మరియు చాలా సన్నని, దాదాపు సూచన ప్రోటోకాల్.
కానీ మీరు పూర్తిగా నియంత్రించే డేటా సెంటర్ వెలుపల ఉన్న ప్రపంచంలో ఇది సరిపోదు. మీరు రిస్క్ తీసుకొని WireGuardని ఉపయోగించడం ప్రారంభించినట్లయితే, ఎన్క్రిప్షన్ ప్రోటోకాల్ రూపకల్పన మరియు అమలులో మీరు స్థిరంగా రాజీ పడవలసి ఉంటుంది.
తీర్మానం
WireGuard ఇంకా సిద్ధంగా లేదని నిర్ధారించడం నాకు చాలా సులభం.
ఇది ఇప్పటికే ఉన్న పరిష్కారాలతో అనేక సమస్యలకు తేలికైన మరియు శీఘ్ర పరిష్కారంగా భావించబడింది. దురదృష్టవశాత్తు, ఈ పరిష్కారాల కోసం, అతను చాలా మంది వినియోగదారులకు సంబంధించిన అనేక లక్షణాలను త్యాగం చేశాడు. అందుకే ఇది IPsec లేదా OpenVPNని భర్తీ చేయదు.
WireGuard పోటీగా మారాలంటే, దానికి కనీసం IP చిరునామా సెట్టింగ్ మరియు రూటింగ్ మరియు DNS కాన్ఫిగరేషన్ని జోడించాలి. సహజంగానే, ఎన్క్రిప్టెడ్ ఛానెల్లు దీని కోసమే.
భద్రత నా ప్రధాన ప్రాధాన్యత, మరియు ప్రస్తుతం IKE లేదా TLS ఏదో ఒకవిధంగా రాజీ పడింది లేదా విచ్ఛిన్నమైందని నమ్మడానికి నాకు ఎటువంటి కారణం లేదు. ఆధునిక ఎన్క్రిప్షన్కు రెండింటిలోనూ మద్దతు ఉంది మరియు అవి దశాబ్దాల ఆపరేషన్ ద్వారా నిరూపించబడ్డాయి. ఏదో కొత్తది కాబట్టి అది మంచిదని అర్థం కాదు.
మీరు నియంత్రించని స్టేషన్ల మూడవ పక్షాలతో మీరు కమ్యూనికేట్ చేసినప్పుడు పరస్పర చర్య చాలా ముఖ్యం. IPsec వాస్తవ ప్రమాణం మరియు దాదాపు ప్రతిచోటా మద్దతు ఉంది. మరియు అతను పని చేస్తాడు. మరియు అది ఎలా కనిపించినా, సిద్ధాంతపరంగా, WireGuard భవిష్యత్తులో దాని యొక్క విభిన్న సంస్కరణలతో కూడా అనుకూలంగా ఉండకపోవచ్చు.
ఏదైనా క్రిప్టోగ్రాఫిక్ రక్షణ త్వరగా లేదా తరువాత విచ్ఛిన్నమవుతుంది మరియు తదనుగుణంగా తప్పనిసరిగా భర్తీ చేయబడాలి లేదా నవీకరించబడాలి.
ఈ వాస్తవాలన్నింటినీ తిరస్కరించడం మరియు మీ ఐఫోన్ను మీ హోమ్ వర్క్స్టేషన్కు కనెక్ట్ చేయడానికి WireGuardని గుడ్డిగా ఉపయోగించాలని కోరుకోవడం మీ తలని ఇసుకలో ఉంచడంలో మాస్టర్ క్లాస్ మాత్రమే.
మూలం: www.habr.com