WireGuard حال ہی میں بہت زیادہ توجہ حاصل کر رہا ہے، حقیقت میں یہ VPNs میں نیا ستارہ ہے۔ لیکن کیا وہ اتنا ہی اچھا ہے جتنا وہ لگتا ہے؟ میں کچھ مشاہدات پر تبادلہ خیال کرنا چاہتا ہوں اور WireGuard کے نفاذ کا جائزہ لینا چاہتا ہوں تاکہ یہ سمجھا جا سکے کہ IPsec یا OpenVPN کو تبدیل کرنا حل کیوں نہیں ہے۔
اس مضمون میں، میں کچھ خرافات کو ختم کرنا چاہوں گا [وائر گارڈ کے ارد گرد]۔ جی ہاں، اسے پڑھنے میں بہت وقت لگے گا، لہذا اگر آپ نے خود کو چائے یا کافی کا کپ نہیں بنایا ہے، تو یہ کرنے کا وقت آگیا ہے۔ میں اپنے افراتفری کے خیالات کو درست کرنے کے لئے پیٹر کا شکریہ بھی کہنا چاہوں گا۔
میں اپنے آپ کو WireGuard کے ڈویلپرز کو بدنام کرنے، ان کی کوششوں یا نظریات کی قدر کم کرنے کا مقصد نہیں رکھتا ہوں۔ ان کی پروڈکٹ کام کر رہی ہے، لیکن ذاتی طور پر میں سمجھتا ہوں کہ یہ جو کچھ ہے اس سے بالکل مختلف ہے - اسے IPsec اور OpenVPN کے متبادل کے طور پر پیش کیا گیا ہے، جو حقیقت میں اب موجود نہیں ہے۔
ایک نوٹ کے طور پر، میں یہ شامل کرنا چاہوں گا کہ WireGuard کی اس طرح کی پوزیشننگ کی ذمہ داری میڈیا پر ہے جس نے اس کے بارے میں بات کی، نہ کہ خود پروجیکٹ یا اس کے تخلیق کاروں پر۔
حال ہی میں لینکس کرنل کے بارے میں زیادہ اچھی خبر نہیں آئی ہے۔ لہذا، ہمیں پروسیسر کی خوفناک کمزوریوں کے بارے میں بتایا گیا، جو سافٹ ویئر کے ذریعے برابر کیے گئے تھے، اور لینس ٹوروالڈس نے اس کے بارے میں بہت ہی بے رحمی اور بورنگ سے، ڈویلپر کی مفید زبان میں بات کی۔ شیڈیولر یا زیرو لیول نیٹ ورکنگ اسٹیک بھی چمکدار میگزین کے لیے زیادہ واضح موضوعات نہیں ہیں۔ اور یہاں آتا ہے وائر گارڈ۔
کاغذ پر، یہ سب بہت اچھا لگتا ہے: ایک دلچسپ نئی ٹیکنالوجی۔
لیکن آئیے اسے تھوڑا اور قریب سے دیکھیں۔
وائر گارڈ سفید کاغذ
یہ مضمون پر مبنی ہے۔ جیسن ڈونفیلڈ نے لکھا ہے۔ وہاں وہ لینکس کرنل میں [WireGuard] کے تصور، مقصد اور تکنیکی نفاذ کی وضاحت کرتا ہے۔
پہلا جملہ پڑھتا ہے:
WireGuard […] کا مقصد زیادہ تر استعمال کے معاملات میں IPsec اور دیگر مقبول یوزر اسپیس اور/یا TLS پر مبنی حل جیسے OpenVPN کو تبدیل کرنا ہے جبکہ زیادہ محفوظ، پرفارمنس اور استعمال میں آسان [ٹول]۔
بلاشبہ، تمام نئی ٹیکنالوجیز کا بنیادی فائدہ ان کا ہے۔ سادگی [پیروؤں کے مقابلے]۔ لیکن ایک VPN بھی ہونا چاہئے۔ مؤثر اور محفوظ.
تو، آگے کیا ہے؟
اگر آپ کہتے ہیں کہ یہ وہ چیز نہیں ہے جس کی آپ کو [VPN سے] ضرورت ہے، تو آپ یہاں پڑھنا ختم کر سکتے ہیں۔ تاہم، میں نوٹ کروں گا کہ اس طرح کے کام کسی دوسری ٹنلنگ ٹیکنالوجی کے لیے مقرر کیے گئے ہیں۔
مندرجہ بالا اقتباس میں سے سب سے زیادہ دلچسپ بات "زیادہ تر معاملات میں" کے الفاظ میں ہے، جنہیں یقیناً پریس نے نظر انداز کر دیا تھا۔ اور اس طرح، ہم وہیں ہیں جہاں ہم اس غفلت کی وجہ سے پیدا ہونے والے افراتفری کی وجہ سے ختم ہوئے ہیں - اس مضمون میں۔
کیا WireGuard میرے [IPsec] سائٹ ٹو سائٹ وی پی این کو بدل دے گا؟
نہیں. اس بات کا کوئی امکان نہیں ہے کہ بڑے وینڈرز جیسے سسکو، جونیپر اور دیگر اپنی مصنوعات کے لیے وائر گارڈ خریدیں گے۔ وہ چلتے پھرتے "گزرتی ٹرینوں پر چھلانگ" نہیں لگاتے جب تک کہ ایسا کرنے کی کوئی بڑی ضرورت نہ ہو۔ بعد میں، میں ان وجوہات میں سے کچھ پر غور کروں گا جن کی وجہ سے وہ اپنے WireGuard پروڈکٹس کو بورڈ پر لانے کے قابل نہیں ہوں گے چاہے وہ چاہیں۔
کیا وائر گارڈ میرے روڈ واریر کو میرے لیپ ٹاپ سے ڈیٹا سینٹر لے جائے گا؟
نہیں. ابھی، WireGuard کے پاس اس طرح کچھ کرنے کے قابل ہونے کے لیے لاگو کردہ اہم خصوصیات کی ایک بڑی تعداد نہیں ہے۔ مثال کے طور پر، یہ ٹنل سرور سائیڈ پر متحرک IP ایڈریس استعمال نہیں کر سکتا، اور یہ اکیلے پروڈکٹ کے اس طرح کے استعمال کے پورے منظر نامے کو توڑ دیتا ہے۔
IPFire اکثر سستے انٹرنیٹ لنکس، جیسے DSL یا کیبل کنکشنز کے لیے استعمال ہوتا ہے۔ یہ چھوٹے یا درمیانے درجے کے کاروباروں کے لیے معنی خیز ہے جنہیں تیز فائبر کی ضرورت نہیں ہے۔ [مترجم کی طرف سے نوٹ: یہ مت بھولیں کہ مواصلات کے معاملے میں روس اور کچھ CIS ممالک یورپ اور امریکہ سے بہت آگے ہیں، کیونکہ ہم نے اپنے نیٹ ورکس کو بہت بعد میں بنانا شروع کیا اور ایتھرنیٹ اور فائبر آپٹک نیٹ ورکس کی آمد کے ساتھ۔ معیاری، ہمارے لیے دوبارہ تعمیر کرنا آسان تھا۔ EU یا USA کے انہی ممالک میں، 3-5 Mbps کی رفتار سے xDSL براڈ بینڈ تک رسائی اب بھی عام معمول ہے، اور ایک فائبر آپٹک کنکشن ہمارے معیارات کے مطابق کچھ غیر حقیقی رقم خرچ کرتا ہے۔ لہذا، مضمون کا مصنف ڈی ایس ایل یا کیبل کنکشن کو معمول کے طور پر بولتا ہے، نہ کہ قدیم زمانے میں۔] تاہم، DSL، کیبل، LTE (اور دیگر وائرلیس رسائی کے طریقوں) میں متحرک IP پتے ہیں۔ بے شک، بعض اوقات وہ اکثر تبدیل نہیں ہوتے، لیکن وہ بدل جاتے ہیں۔
نام کا ایک ذیلی پروجیکٹ ہے۔ ، جو اس کمی کو دور کرنے کے لیے یوزر اسپیس ڈیمون کا اضافہ کرتا ہے۔ اوپر بیان کردہ صارف کے منظر نامے کے ساتھ ایک بہت بڑا مسئلہ متحرک IPv6 ایڈریسنگ کا بڑھ جانا ہے۔
ڈسٹریبیوٹر کے نقطہ نظر سے، یہ سب کچھ بہت اچھا نہیں لگ رہا ہے. ڈیزائن کے مقاصد میں سے ایک پروٹوکول کو سادہ اور صاف رکھنا تھا۔
بدقسمتی سے، یہ سب درحقیقت بہت سادہ اور قدیم ہو گیا ہے، تاکہ اس پورے ڈیزائن کو حقیقی استعمال میں قابل عمل بنانے کے لیے ہمیں اضافی سافٹ ویئر استعمال کرنا پڑے۔
کیا WireGuard استعمال کرنا اتنا آسان ہے؟
ابھی تک نہیں. میں یہ نہیں کہہ رہا ہوں کہ WireGuard کبھی بھی دو پوائنٹس کے درمیان ٹنلنگ کے لیے اچھا متبادل نہیں ہو گا، لیکن ابھی کے لیے یہ صرف اس پروڈکٹ کا الفا ورژن ہے جسے سمجھا جاتا ہے۔
لیکن پھر وہ اصل میں کیا کرتا ہے؟ کیا IPsec کو برقرار رکھنا واقعی اتنا مشکل ہے؟
ظاہر ہے نہیں۔ IPsec وینڈر نے اس کے بارے میں سوچا ہے اور اپنی مصنوعات کو ایک انٹرفیس کے ساتھ بھیجتا ہے، جیسے کہ IPFire کے ساتھ۔
IPsec پر ایک VPN سرنگ قائم کرنے کے لیے، آپ کو ڈیٹا کے پانچ سیٹوں کی ضرورت ہوگی جو آپ کو کنفیگریشن میں داخل کرنے کے لیے درکار ہوں گے: آپ کا اپنا عوامی IP ایڈریس، وصول کرنے والی پارٹی کا عوامی IP ایڈریس، وہ سب نیٹس جن کے ذریعے آپ عوامی بنانا چاہتے ہیں۔ یہ VPN کنکشن اور پہلے سے مشترکہ کلید۔ اس طرح، VPN منٹوں میں ترتیب دیا جاتا ہے اور کسی بھی وینڈر کے ساتھ مطابقت رکھتا ہے۔
بدقسمتی سے، اس کہانی میں چند مستثنیات ہیں۔ کوئی بھی جس نے IPsec کو اوپن بی ایس ڈی مشین میں سرنگ کرنے کی کوشش کی ہے وہ جانتا ہے کہ میں کس کے بارے میں بات کر رہا ہوں۔ کچھ اور دردناک مثالیں ہیں، لیکن درحقیقت، IPsec استعمال کرنے کے لیے بہت سے اور بہت اچھے طریقے ہیں۔
پروٹوکول کی پیچیدگی کے بارے میں
آخری صارف کو پروٹوکول کی پیچیدگی کے بارے میں فکر کرنے کی ضرورت نہیں ہے۔
اگر ہم ایسی دنیا میں رہتے جہاں یہ صارف کی اصل تشویش تھی، تو ہم بہت پہلے SIP، H.323، FTP اور دس سال سے زیادہ پہلے بنائے گئے دوسرے پروٹوکول سے چھٹکارا پا چکے ہوتے جو NAT کے ساتھ اچھی طرح سے کام نہیں کرتے۔
IPsec WireGuard سے زیادہ پیچیدہ ہونے کی وجوہات ہیں: یہ بہت زیادہ کام کرتا ہے۔ مثال کے طور پر، لاگ ان / پاس ورڈ یا EAP کے ساتھ سم کارڈ کا استعمال کرتے ہوئے صارف کی تصدیق۔ اس میں نیا شامل کرنے کی وسیع صلاحیت ہے۔ .
اور وائر گارڈ کے پاس وہ نہیں ہے۔
اور اس کا مطلب یہ ہے کہ WireGuard کسی وقت ٹوٹ جائے گا، کیونکہ خفیہ نگاری کے پرائمیٹو میں سے ایک کمزور ہو جائے گا یا مکمل طور پر سمجھوتہ ہو جائے گا۔ تکنیکی دستاویزات کے مصنف یہ کہتے ہیں:
یہ بات قابل غور ہے کہ WireGuard خفیہ طور پر رائے رکھتا ہے۔ اس میں جان بوجھ کر سائفرز اور پروٹوکول کی لچک کا فقدان ہے۔ اگر بنیادی پرائمیٹوز میں سنگین سوراخ پائے جاتے ہیں، تو تمام اینڈ پوائنٹس کو اپ ڈیٹ کرنے کی ضرورت ہوگی۔ جیسا کہ آپ SLL/TLS کمزوریوں کے جاری سلسلے سے دیکھ سکتے ہیں، اب خفیہ کاری کی لچک میں زبردست اضافہ ہوا ہے۔
آخری جملہ بالکل درست ہے۔
کس خفیہ کاری کو استعمال کرنا ہے اس پر اتفاق رائے تک پہنچنا IKE اور TLS جیسے پروٹوکول بناتا ہے۔ مزید پیچیدہ بہت پیچیدہ؟ ہاں، TLS/SSL میں کمزوریاں کافی عام ہیں، اور ان کا کوئی متبادل نہیں ہے۔
حقیقی مسائل کو نظر انداز کرنے پر
تصور کریں کہ آپ کے پاس دنیا بھر میں 200 جنگی کلائنٹس کے ساتھ VPN سرور ہے۔ یہ ایک خوبصورت معیاری استعمال کیس ہے. اگر آپ کو انکرپشن کو تبدیل کرنا ہے، تو آپ کو ان لیپ ٹاپس، اسمارٹ فونز وغیرہ پر WireGuard کی تمام کاپیوں کو اپ ڈیٹ فراہم کرنے کی ضرورت ہے۔ ایک ہی وقت میں پہنچانا یہ لفظی طور پر ناممکن ہے۔ ایسا کرنے کی کوشش کرنے والے منتظمین کو مطلوبہ کنفیگریشنز کو تعینات کرنے میں مہینوں لگیں گے، اور اس طرح کے ایونٹ کو ختم کرنے میں ایک درمیانے درجے کی کمپنی کو لفظی طور پر سال لگیں گے۔
IPsec اور OpenVPN ایک سائفر گفت و شنید کی خصوصیت پیش کرتے ہیں۔ اس لیے کچھ دیر کے لیے جس کے بعد آپ نیا انکرپشن آن کریں گے، پرانا بھی کام کرے گا۔ یہ موجودہ صارفین کو نئے ورژن میں اپ گریڈ کرنے کی اجازت دے گا۔ اپ ڈیٹ کے رول آؤٹ ہونے کے بعد، آپ صرف کمزور انکرپشن کو بند کر دیتے ہیں۔ اور یہ بات ہے! تیار! آپ بہت خوبصورت ہیں! کلائنٹ بھی اس پر توجہ نہیں دیں گے۔
یہ دراصل بڑی تعیناتیوں کے لیے ایک بہت عام معاملہ ہے، اور یہاں تک کہ OpenVPN کو بھی اس میں کچھ دشواری ہوتی ہے۔ پسماندہ مطابقت اہم ہے، اور اگرچہ آپ کمزور خفیہ کاری کا استعمال کرتے ہیں، بہت سے لوگوں کے لیے، یہ کاروبار کو بند کرنے کی وجہ نہیں ہے۔ کیونکہ اس سے سینکڑوں صارفین کا کام مفلوج ہو جائے گا جس کی وجہ سے وہ اپنا کام نہیں کر پا رہے ہیں۔
WireGuard ٹیم نے اپنے پروٹوکول کو آسان بنا دیا ہے، لیکن ان لوگوں کے لیے مکمل طور پر ناقابل استعمال ہے جو اپنے سرنگ میں دونوں ساتھیوں پر مستقل کنٹرول نہیں رکھتے ہیں۔ میرے تجربے میں، یہ سب سے عام منظر ہے.
خفیہ نگاری!
لیکن یہ دلچسپ نیا انکرپشن کیا ہے جو وائر گارڈ استعمال کرتا ہے؟
WireGuard کلیدی تبادلے کے لیے Curve25519، خفیہ کاری کے لیے ChaCha20 اور ڈیٹا کی تصدیق کے لیے Poly1305 استعمال کرتا ہے۔ یہ ہیش کیز کے لیے SipHash اور ہیشنگ کے لیے BLAKE2 کے ساتھ بھی کام کرتا ہے۔
ChaCha20-Poly1305 IPsec اور OpenVPN (TLS سے زیادہ) کے لیے معیاری ہے۔
یہ ظاہر ہے کہ ڈینیل برنسٹین کی ترقی کو اکثر استعمال کیا جاتا ہے. BLAKE2 BLAKE کا جانشین ہے، ایک SHA-3 فائنلسٹ جو SHA-2 سے مماثلت کی وجہ سے نہیں جیت سکا۔ اگر SHA-2 کو توڑنا تھا، تو اس بات کا ایک اچھا موقع تھا کہ BLAKE کے ساتھ بھی سمجھوتہ کیا جائے گا۔
IPsec اور OpenVPN کو ان کے ڈیزائن کی وجہ سے SipHash کی ضرورت نہیں ہے۔ لہذا صرف ایک چیز جو فی الحال ان کے ساتھ استعمال نہیں کی جا سکتی ہے وہ ہے BLAKE2، اور یہ صرف اس وقت تک ہے جب تک کہ یہ معیاری نہ ہو جائے۔ یہ کوئی بڑی خرابی نہیں ہے، کیونکہ VPNs سالمیت پیدا کرنے کے لیے HMAC کا استعمال کرتے ہیں، جسے MD5 کے ساتھ مل کر بھی ایک مضبوط حل سمجھا جاتا ہے۔
تو میں اس نتیجے پر پہنچا کہ کرپٹوگرافک ٹولز کا تقریباً ایک ہی سیٹ تمام VPNs میں استعمال ہوتا ہے۔ لہذا، WireGuard کسی دوسرے موجودہ پروڈکٹ سے زیادہ یا کم محفوظ نہیں ہے جب بات انکرپشن یا منتقل شدہ ڈیٹا کی سالمیت کی ہو۔
لیکن یہاں تک کہ یہ سب سے اہم چیز نہیں ہے، جو اس منصوبے کی سرکاری دستاویزات کے مطابق توجہ دینے کے قابل ہے. سب کے بعد، اہم چیز رفتار ہے.
کیا WireGuard دوسرے VPN حلوں سے تیز ہے؟
مختصر میں: نہیں، تیز نہیں۔
ChaCha20 ایک اسٹریم سائفر ہے جسے سافٹ ویئر میں لاگو کرنا آسان ہے۔ یہ ایک وقت میں ایک بٹ کو خفیہ کرتا ہے۔ بلاک پروٹوکول جیسے AES ایک وقت میں 128 بٹس کو انکرپٹ کرتے ہیں۔ ہارڈویئر سپورٹ کو لاگو کرنے کے لیے بہت زیادہ ٹرانزسٹرز کی ضرورت ہوتی ہے، اس لیے بڑے پروسیسرز AES-NI کے ساتھ آتے ہیں، ایک انسٹرکشن سیٹ ایکسٹینشن جو انکرپشن کے عمل کو تیز کرنے کے لیے کچھ کام انجام دیتی ہے۔
یہ توقع کی جا رہی تھی کہ AES-NI کبھی بھی اسمارٹ فونز میں نہیں آئے گا [لیکن ایسا ہوا - تقریباً۔ فی.] اس کے لیے، ChaCha20 کو ایک ہلکے وزن، بیٹری بچانے والے متبادل کے طور پر تیار کیا گیا تھا۔ لہذا، یہ آپ کے لیے خبر کے طور پر آ سکتا ہے کہ آج آپ جو بھی سمارٹ فون خرید سکتے ہیں اس میں کسی نہ کسی طرح کی AES ایکسلریشن ہے اور اس انکرپشن کے ساتھ ChaCha20 کے مقابلے میں تیز اور کم بجلی کی کھپت کے ساتھ چلتی ہے۔
ظاہر ہے، پچھلے دو سالوں میں خریدے گئے ہر ڈیسک ٹاپ/سرور پروسیسر میں AES-NI ہے۔
لہذا، میں توقع کرتا ہوں کہ AES ہر ایک منظر نامے میں ChaCha20 کو پیچھے چھوڑ دے گا۔ WireGuard کی آفیشل دستاویزات میں بتایا گیا ہے کہ AVX512 کے ساتھ، ChaCha20-Poly1305 AES-NI کو پیچھے چھوڑ دے گا، لیکن یہ انسٹرکشن سیٹ ایکسٹینشن صرف بڑے CPUs پر دستیاب ہوگی، جو چھوٹے اور زیادہ موبائل ہارڈ ویئر کے ساتھ دوبارہ مدد نہیں کرے گی، جو AES کے ساتھ ہمیشہ تیز تر ہوگی۔ --.N.I.
مجھے یقین نہیں ہے کہ WireGuard کی ترقی کے دوران اس کا اندازہ لگایا جا سکتا تھا، لیکن آج حقیقت یہ ہے کہ اسے اکیلے انکرپشن پر کیل لگایا گیا ہے پہلے سے ہی ایک خرابی ہے جو اس کے کام کو بہت اچھی طرح سے متاثر نہیں کرسکتی ہے۔
IPsec آپ کو آزادانہ طور پر انتخاب کرنے کی اجازت دیتا ہے کہ آپ کے کیس کے لیے کون سا خفیہ کاری بہترین ہے۔ اور یقیناً، یہ ضروری ہے اگر، مثال کے طور پر، آپ VPN کنکشن کے ذریعے 10 یا اس سے زیادہ گیگا بائٹس ڈیٹا منتقل کرنا چاہتے ہیں۔
لینکس میں انضمام کے مسائل
اگرچہ WireGuard نے ایک جدید انکرپشن پروٹوکول کا انتخاب کیا ہے، لیکن یہ پہلے سے ہی کافی مسائل کا باعث بنتا ہے۔ اور اس طرح، باکس سے باہر کرنل کے ذریعہ سپورٹ شدہ چیز کو استعمال کرنے کے بجائے، لینکس میں ان پرائمیٹوز کی کمی کی وجہ سے وائر گارڈ کا انضمام برسوں سے تاخیر کا شکار ہے۔
مجھے پوری طرح سے یقین نہیں ہے کہ دوسرے آپریٹنگ سسٹمز پر کیا صورتحال ہے، لیکن یہ شاید لینکس سے زیادہ مختلف نہیں ہے۔
حقیقت کیا نظر آتی ہے؟
بدقسمتی سے، جب بھی کوئی کلائنٹ مجھ سے ان کے لیے VPN کنکشن قائم کرنے کے لیے کہتا ہے، میں اس مسئلے میں چلا جاتا ہوں کہ وہ پرانی اسناد اور خفیہ کاری کا استعمال کر رہے ہیں۔ MD3 کے ساتھ مل کر 5DES اب بھی عام رواج ہے، جیسا کہ AES-256 اور SHA1 ہیں۔ اور اگرچہ مؤخر الذکر قدرے بہتر ہے، لیکن یہ ایسی چیز نہیں ہے جسے 2020 میں استعمال کیا جانا چاہیے۔
کلیدی تبادلے کے لیے ہمیشہ RSA استعمال کیا جاتا ہے - ایک سست لیکن کافی محفوظ ٹول۔
میرے کلائنٹس کسٹم حکام اور دیگر سرکاری اداروں اور اداروں کے ساتھ ساتھ بڑی کارپوریشنز سے وابستہ ہیں جن کے نام پوری دنیا میں مشہور ہیں۔ وہ سب ایک درخواست فارم استعمال کرتے ہیں جو دہائیوں پہلے بنایا گیا تھا، اور SHA-512 استعمال کرنے کی اہلیت کو کبھی شامل نہیں کیا گیا تھا۔ میں یہ نہیں کہہ سکتا کہ یہ کسی نہ کسی طرح تکنیکی ترقی کو واضح طور پر متاثر کرتا ہے، لیکن ظاہر ہے کہ یہ کارپوریٹ عمل کو سست کر دیتا ہے۔
یہ دیکھ کر مجھے تکلیف ہوتی ہے کیونکہ IPsec 2005 سے بیضوی منحنی خطوط کی مدد کر رہا ہے۔ Curve25519 بھی جدید اور استعمال کے لیے دستیاب ہے۔ AES کے متبادل بھی ہیں جیسے Camellia اور ChaCha20، لیکن ظاہر ہے کہ ان سب کو سسکو اور دیگر جیسے بڑے وینڈرز کی حمایت حاصل نہیں ہے۔
اور لوگ اس سے فائدہ اٹھاتے ہیں۔ بہت سی سسکو کٹس ہیں، سسکو کے ساتھ کام کرنے کے لیے بہت سی کٹس ڈیزائن کی گئی ہیں۔ وہ اس سیگمنٹ میں مارکیٹ لیڈر ہیں اور کسی قسم کی اختراع میں زیادہ دلچسپی نہیں رکھتے۔
ہاں، صورتحال [کارپوریٹ طبقہ میں] خوفناک ہے، لیکن وائر گارڈ کی وجہ سے ہمیں کوئی تبدیلی نظر نہیں آئے گی۔ دکانداروں کو شاید کبھی بھی کارکردگی کا کوئی مسئلہ نظر نہیں آئے گا جس کو وہ پہلے سے استعمال کر رہے ہیں ٹولنگ اور انکرپشن کے ساتھ، IKEv2 کے ساتھ کوئی مسئلہ نہیں دیکھیں گے، اور اس لیے وہ متبادل تلاش نہیں کر رہے ہیں۔
عام طور پر، کیا آپ نے کبھی سسکو کو چھوڑنے کے بارے میں سوچا ہے؟
بینچ مارکس
اور اب آئیے WireGuard دستاویزات سے بینچ مارکس کی طرف چلتے ہیں۔ اگرچہ یہ [دستاویزی] کوئی سائنسی مضمون نہیں ہے، پھر بھی میں نے ڈویلپرز سے توقع کی کہ وہ زیادہ سائنسی نقطہ نظر اختیار کریں گے، یا ایک حوالہ کے طور پر سائنسی نقطہ نظر کو استعمال کریں گے۔ کوئی بھی معیار بیکار ہے اگر وہ دوبارہ تیار نہیں کیا جا سکتا ہے، اور اس سے بھی زیادہ بیکار ہے جب وہ لیبارٹری میں حاصل کیے جاتے ہیں.
وائر گارڈ کے لینکس کی تعمیر میں، یہ GSO - Generic Segmentation Offloading کے استعمال سے فائدہ اٹھاتا ہے۔ اس کی بدولت، کلائنٹ 64 کلو بائٹس کا ایک بہت بڑا پیکٹ بناتا ہے اور اسے ایک ہی بار میں انکرپٹ/ڈیکرپٹ کرتا ہے۔ اس طرح، کرپٹوگرافک آپریشنز کو شروع کرنے اور لاگو کرنے کی لاگت کم ہو جاتی ہے۔ اگر آپ اپنے VPN کنکشن کے تھرو پٹ کو زیادہ سے زیادہ کرنا چاہتے ہیں، تو یہ ایک اچھا خیال ہے۔
لیکن، ہمیشہ کی طرح، حقیقت اتنی سادہ نہیں ہے۔ اتنے بڑے پیکٹ کو نیٹ ورک اڈاپٹر پر بھیجنے کے لیے اسے کئی چھوٹے پیکٹوں میں کاٹنا پڑتا ہے۔ عام بھیجنے کا سائز 1500 بائٹس ہے۔ یعنی ہمارے 64 کلو بائٹس کے دیو کو 45 پیکٹوں (1240 بائٹس آف انفارمیشن اور 20 بائٹس آئی پی ہیڈر) میں تقسیم کیا جائے گا۔ پھر، تھوڑی دیر کے لیے، وہ نیٹ ورک اڈاپٹر کے کام کو مکمل طور پر روک دیں گے، کیونکہ انہیں ایک ساتھ اور ایک ساتھ بھیجا جانا چاہیے۔ نتیجے کے طور پر، یہ ترجیحی چھلانگ کی طرف لے جائے گا، اور مثال کے طور پر، VoIP جیسے پیکٹ قطار میں ہوں گے۔
اس طرح، WireGuard بہت دلیری سے دعویٰ کرنے والا اعلی تھرو پٹ دیگر ایپلی کیشنز کے نیٹ ورکنگ کو سست کرنے کی قیمت پر حاصل کیا جاتا ہے۔ اور وائر گارڈ ٹیم پہلے ہی موجود ہے۔ یہ میرا نتیجہ ہے.
لیکن آئیے آگے بڑھتے ہیں۔
تکنیکی دستاویزات میں بینچ مارکس کے مطابق، کنکشن 1011 ایم بی پی ایس کا تھرو پٹ دکھاتا ہے۔
متاثر کن۔
یہ خاص طور پر اس حقیقت کی وجہ سے متاثر کن ہے کہ ایک گیگابٹ ایتھرنیٹ کنکشن کا زیادہ سے زیادہ نظریاتی تھرو پٹ 966 ایم بی پی ایس ہے جس کا پیکٹ سائز 1500 بائٹس مائنس 20 بائٹس IP ہیڈر کے لیے ہے، UDP ہیڈر کے لیے 8 بائٹس اور ہیڈر کے لیے 16 بائٹس وائر گارڈ خود انکیپسلیٹڈ پیکٹ میں ایک اور IP ہیڈر ہے اور 20 بائٹس کے لیے TCP میں دوسرا۔ تو یہ اضافی بینڈوتھ کہاں سے آئی؟
بڑے فریموں اور GSO کے فوائد کے ساتھ جن کے بارے میں ہم نے اوپر بات کی ہے، 9000 بائٹس کے فریم سائز کے لیے نظریاتی زیادہ سے زیادہ 1014 Mbps ہوگی۔ عام طور پر ایسا تھرو پٹ حقیقت میں ناقابل حصول ہوتا ہے، کیونکہ اس کا تعلق بڑی مشکلات سے ہے۔ اس طرح، میں صرف یہ فرض کر سکتا ہوں کہ یہ ٹیسٹ 64 کلو بائٹس کے اس سے بھی زیادہ موٹے بڑے فریموں کا استعمال کرتے ہوئے کیا گیا تھا جس کی نظریاتی زیادہ سے زیادہ 1023 Mbps تھی، جو صرف کچھ نیٹ ورک اڈاپٹرز کے ذریعے سپورٹ کیا جاتا ہے۔ لیکن یہ حقیقی حالات میں بالکل ناقابل اطلاق ہے، یا صرف دو براہ راست جڑے ہوئے اسٹیشنوں کے درمیان استعمال کیا جا سکتا ہے، خصوصی طور پر ٹیسٹ بینچ کے اندر۔
لیکن چونکہ VPN ٹنل کو دو میزبانوں کے درمیان ایک انٹرنیٹ کنکشن کا استعمال کرتے ہوئے آگے بڑھایا جاتا ہے جو جمبو فریم کو بالکل بھی سپورٹ نہیں کرتا، اس لیے بینچ پر حاصل ہونے والے نتیجے کو بینچ مارک کے طور پر نہیں لیا جا سکتا۔ یہ محض ایک غیر حقیقی تجربہ گاہ کی کامیابی ہے جو حقیقی جنگی حالات میں ناممکن اور ناقابل عمل ہے۔
ڈیٹا سینٹر میں بیٹھ کر بھی، میں 9000 بائٹس سے بڑے فریم منتقل نہیں کر سکا۔
حقیقی زندگی میں لاگو ہونے کے معیار کی بالکل خلاف ورزی کی گئی ہے اور، جیسا کہ میرے خیال میں، "پیمائش" کے مصنف نے واضح وجوہات کی بناء پر خود کو سنجیدگی سے بدنام کیا۔
امید کی آخری کرن
WireGuard ویب سائٹ کنٹینرز کے بارے میں بہت کچھ بتاتی ہے اور یہ واضح ہو جاتا ہے کہ اس کا اصل مقصد کیا ہے۔
ایک سادہ اور تیز VPN جس کے لیے کسی ترتیب کی ضرورت نہیں ہے اور اسے ایمیزون جیسے بڑے آرکیسٹریشن ٹولز کے ساتھ تعینات اور ترتیب دیا جا سکتا ہے۔ خاص طور پر، ایمیزون جدید ترین ہارڈ ویئر کی خصوصیات کا استعمال کرتا ہے جن کا میں نے پہلے ذکر کیا ہے، جیسے AVX512۔ یہ کام کو تیز کرنے اور x86 یا کسی دوسرے فن تعمیر سے منسلک نہ ہونے کے لیے کیا جاتا ہے۔
وہ 9000 بائٹس سے بڑے تھرو پٹ اور پیکٹوں کو بہتر بناتے ہیں - یہ کنٹینرز کے لیے ایک دوسرے کے ساتھ بات چیت کرنے کے لیے، یا بیک اپ آپریشنز، سنیپ شاٹس بنانے یا انہی کنٹینرز کو تعینات کرنے کے لیے بہت بڑے انکیپسلیٹڈ فریم ہوں گے۔ یہاں تک کہ متحرک IP پتے بھی WireGuard کے آپریشن کو کسی بھی طرح سے اس منظر نامے کی صورت میں متاثر نہیں کریں گے جو میں نے بیان کیا ہے۔
اچھا کھیلا. شاندار نفاذ اور بہت پتلا، تقریباً حوالہ پروٹوکول۔
لیکن یہ ڈیٹا سینٹر سے باہر کی دنیا میں فٹ نہیں بیٹھتا جس پر آپ مکمل طور پر کنٹرول کرتے ہیں۔ اگر آپ خطرہ مول لیتے ہیں اور WireGuard کا استعمال شروع کرتے ہیں، تو آپ کو انکرپشن پروٹوکول کے ڈیزائن اور نفاذ میں مستقل سمجھوتہ کرنا پڑے گا۔
آؤٹ پٹ
میرے لیے یہ نتیجہ اخذ کرنا آسان ہے کہ WireGuard ابھی تیار نہیں ہے۔
یہ موجودہ حل کے ساتھ متعدد مسائل کے ہلکے اور فوری حل کے طور پر تصور کیا گیا تھا۔ بدقسمتی سے، ان حلوں کی خاطر، اس نے بہت سی خصوصیات کو قربان کر دیا جو زیادہ تر صارفین کے لیے متعلقہ ہوں گی۔ اس لیے یہ IPsec یا OpenVPN کی جگہ نہیں لے سکتا۔
WireGuard کو مسابقتی بننے کے لیے، اسے کم از کم ایک IP ایڈریس سیٹنگ اور ایک روٹنگ اور DNS کنفیگریشن شامل کرنے کی ضرورت ہے۔ ظاہر ہے، یہ وہی ہے جس کے لیے خفیہ کردہ چینلز ہیں۔
سیکورٹی میری اولین ترجیح ہے، اور ابھی میرے پاس یہ یقین کرنے کی کوئی وجہ نہیں ہے کہ IKE یا TLS کسی طرح سے سمجھوتہ یا ٹوٹا ہوا ہے۔ ان دونوں میں جدید خفیہ کاری کی حمایت کی گئی ہے، اور وہ کئی دہائیوں کے آپریشن سے ثابت ہو چکے ہیں۔ صرف اس لیے کہ کچھ نیا ہے اس کا مطلب یہ نہیں ہے کہ یہ بہتر ہے۔
انٹرآپریبلٹی انتہائی اہم ہے جب آپ فریق ثالث کے ساتھ بات چیت کرتے ہیں جن کے اسٹیشن آپ کو کنٹرول نہیں کرتے ہیں۔ IPsec ڈی فیکٹو سٹینڈرڈ ہے اور تقریباً ہر جگہ اس کی حمایت کی جاتی ہے۔ اور وہ کام کرتا ہے۔ اور اس سے کوئی فرق نہیں پڑتا ہے کہ یہ کیسا نظر آتا ہے، نظریہ میں، WireGuard مستقبل میں خود کے مختلف ورژن کے ساتھ بھی مطابقت نہیں رکھتا۔
کوئی بھی کرپٹوگرافک تحفظ جلد یا بدیر ٹوٹ جاتا ہے اور اس کے مطابق اسے تبدیل یا اپ ڈیٹ کرنا ضروری ہے۔
ان تمام حقائق کو جھٹلانا اور اپنے آئی فون کو اپنے ہوم ورک سٹیشن سے جوڑنے کے لیے وائر گارڈ کو آنکھ بند کر کے استعمال کرنا اپنے سر کو ریت میں چپکانے میں صرف ایک ماسٹر کلاس ہے۔
ماخذ: www.habr.com