WireGuard so'nggi paytlarda katta e'tiborni qozonmoqda, aslida u VPN-lar orasida yangi yulduzdir. Ammo u ko'rinadigan darajada yaxshimi? Men IPsec yoki OpenVPN o'rnini bosish uchun nima uchun yechim emasligini tushuntirish uchun ba'zi kuzatishlarni muhokama qilishni va WireGuard-ning joriy etilishini ko'rib chiqmoqchiman.
Ushbu maqolada men [WireGuard atrofidagi] ba'zi afsonalarni yo'q qilmoqchiman. Ha, o'qish uchun ko'p vaqt ketadi, shuning uchun agar siz o'zingizga bir piyola choy yoki qahva tayyorlamagan bo'lsangiz, unda buni qilish vaqti keldi. Xaotik fikrlarimni tuzatgani uchun Piterga ham rahmat aytmoqchiman.
Men WireGuard ishlab chiquvchilarini obro'sizlantirish, ularning sa'y-harakatlari yoki g'oyalarini qadrsizlantirishni o'z oldimga maqsad qilib qo'ymayman. Ularning mahsuloti ishlamoqda, lekin shaxsan menimcha, u aslida nimadan butunlay boshqacha tarzda taqdim etilgan - u IPsec va OpenVPN o'rnini bosuvchi sifatida taqdim etilgan, aslida u hozir mavjud emas.
Eslatma sifatida shuni qo'shimcha qilmoqchimanki, WireGuard-ning bunday joylashuvi uchun mas'uliyat loyihaning o'zi yoki uni yaratuvchilari emas, balki u haqida gapirgan ommaviy axborot vositalarida.
So'nggi paytlarda Linux yadrosi haqida ko'p yaxshi xabarlar bo'lmadi. Shunday qilib, bizga dasturiy ta'minot tomonidan tekislangan protsessorning dahshatli zaifliklari haqida gapirishdi va Linus Torvalds bu haqda ishlab chiquvchining utilitar tilida juda qo'pol va zerikarli gapirdi. Rejalashtiruvchi yoki nol darajali tarmoq to'plami ham porloq jurnallar uchun unchalik aniq mavzular emas. Va bu erda WireGuard keladi.
Qog'ozda hammasi ajoyib ko'rinadi: hayajonli yangi texnologiya.
Ammo keling, buni biroz yaqinroq ko'rib chiqaylik.
WireGuard oq qog'ozi
Ushbu maqolaga asoslanadi Jeyson Donenfeld tomonidan yozilgan. U erda u Linux yadrosida [WireGuard] tushunchasi, maqsadi va texnik amalga oshirilishini tushuntiradi.
Birinchi jumla o'qiydi:
WireGuard […] koʻp hollarda IPsec-ni va boshqa mashhur foydalanuvchi makonini va/yoki OpenVPN kabi TLS-ga asoslangan yechimlarni xavfsizroq, samaraliroq va ishlatish uchun qulayroq [asbob] bilan almashtirishga qaratilgan.
Albatta, barcha yangi texnologiyalarning asosiy afzalligi ularning oddiylik [oldingilarga nisbatan]. Ammo VPN ham bo'lishi kerak samarali va xavfsiz.
Va undan keyin nima?
Agar bu sizga [VPN-dan] kerak emas deb aytsangiz, o'qishni shu yerda tugatishingiz mumkin. Biroq, shuni ta'kidlaymanki, bunday vazifalar har qanday boshqa tunnel texnologiyasi uchun o'rnatiladi.
Yuqoridagi iqtibosning eng qiziqarlisi "ko'p hollarda" so'zlari, albatta, matbuot tomonidan e'tiborga olinmagan. Shunday qilib, biz ushbu beparvolik tufayli yuzaga kelgan tartibsizlik tufayli qayerga keldik - ushbu maqolada.
WireGuard mening [IPsec] saytdan saytga VPN-ni almashtiradimi?
Yo'q. Cisco, Juniper va boshqalar kabi yirik sotuvchilar WireGuard-ni o'z mahsulotlari uchun sotib olishlari uchun shunchaki imkoniyat yo'q. Ular harakatda “o‘tayotgan poyezdlarga sakrashmaydi”, agar bunga katta ehtiyoj bo‘lmasa. Keyinchalik, men ular hohlasalar ham WireGuard mahsulotlarini bortga ololmasligining ba'zi sabablarini ko'rib chiqaman.
WireGuard mening RoadWarrior-ni noutbukimdan ma'lumotlar markaziga olib boradimi?
Yo'q. Hozirda WireGuard-da bunday ishni bajarish uchun amalga oshirilgan juda ko'p muhim funktsiyalar mavjud emas. Masalan, u tunnel server tomonida dinamik IP manzillardan foydalana olmaydi va buning o'zi mahsulotdan bunday foydalanishning butun stsenariysini buzadi.
IPFire ko'pincha DSL yoki kabel ulanishlari kabi arzon Internet havolalari uchun ishlatiladi. Bu tez tolaga muhtoj bo'lmagan kichik yoki o'rta biznes uchun mantiqiy. [Tarjimondan eslatma: Rossiya va baʼzi MDH davlatlari aloqa sohasida Yevropa va AQShdan ancha oldinda ekanligini unutmang, chunki biz oʻz tarmoqlarimizni ancha kechroq va Ethernet va optik tolali tarmoqlar paydo boʻlishi bilan qurishni boshladik. standart, biz uchun qayta qurish osonroq edi. Evropa Ittifoqi yoki AQShning bir xil mamlakatlarida 3-5 Mbit / s tezlikda xDSL keng polosali ulanish hali ham umumiy norma bo'lib qolmoqda va optik tolali ulanish bizning standartlarimiz bo'yicha bir oz noreal pul talab qiladi. Shuning uchun, maqola muallifi DSL yoki kabel ulanishi haqida qadimgi davrlarda emas, balki norma sifatida gapiradi.] Biroq, DSL, kabel, LTE (va boshqa simsiz kirish usullari) dinamik IP manzillariga ega. Albatta, ba'zida ular tez-tez o'zgarmaydi, lekin ular o'zgaradi.
deb nomlangan kichik loyiha mavjud , bu kamchilikni bartaraf etish uchun foydalanuvchilar maydoni demonini qo'shadi. Yuqorida tavsiflangan foydalanuvchi stsenariysi bilan bog'liq katta muammo bu dinamik IPv6 manzillashning kuchayishi.
Distribyutor nuqtai nazaridan, bularning barchasi juda yaxshi ko'rinmaydi. Dizayn maqsadlaridan biri protokolni sodda va toza saqlash edi.
Afsuski, bularning barchasi juda oddiy va ibtidoiy bo'lib qoldi, shuning uchun biz ushbu dizayn haqiqiy foydalanishda yaroqli bo'lishi uchun qo'shimcha dasturiy ta'minotdan foydalanishimiz kerak.
WireGuard-dan foydalanish juda osonmi?
Hali emas. Men WireGuard hech qachon ikkita nuqta o'rtasida tunnel o'tkazish uchun yaxshi alternativ bo'la olmaydi, deb aytmayapman, ammo hozircha bu mahsulotning alfa versiyasi bo'lishi kerak.
Ammo keyin u aslida nima qiladi? IPsec-ni saqlash haqiqatan ham qiyinroqmi?
Shubhasiz. IPsec sotuvchisi bu haqda o'yladi va o'z mahsulotlarini IPFire kabi interfeys bilan birga jo'natadi.
IPsec orqali VPN tunnelini o'rnatish uchun sizga konfiguratsiyaga kiritishingiz kerak bo'lgan beshta ma'lumotlar to'plami kerak bo'ladi: o'zingizning umumiy IP-manzilingiz, qabul qiluvchi tomonning umumiy IP-manzili, siz ommaga oshkor qilmoqchi bo'lgan quyi tarmoqlar. ushbu VPN ulanishi va oldindan ulashilgan kalit. Shunday qilib, VPN bir necha daqiqada o'rnatiladi va har qanday sotuvchiga mos keladi.
Afsuski, bu hikoyada bir nechta istisnolar mavjud. IPsec orqali OpenBSD mashinasiga tunnel qilishga uringan har bir kishi nima haqida gapirayotganimni biladi. Yana bir nechta og'riqli misollar bor, lekin aslida IPsec-dan foydalanish uchun ko'plab yaxshi amaliyotlar mavjud.
Protokolning murakkabligi haqida
Yakuniy foydalanuvchi protokolning murakkabligi haqida qayg'urishi shart emas.
Agar biz bu foydalanuvchini haqiqiy tashvishga soladigan dunyoda yashagan bo'lsak, biz SIP, H.323, FTP va NAT bilan yaxshi ishlamaydigan o'n yildan ko'proq vaqt oldin yaratilgan boshqa protokollardan ancha oldin qutulgan bo'lardik.
IPsec WireGuard-ga qaraganda murakkabroq bo'lishining sabablari bor: u ko'p narsalarni qiladi. Masalan, login/parol yoki EAP bilan SIM-karta yordamida foydalanuvchi autentifikatsiyasi. U yangisini qo'shish uchun kengaytirilgan qobiliyatga ega .
Va WireGuard'da bunday yo'q.
Va bu WireGuard bir nuqtada buziladi, degan ma'noni anglatadi, chunki kriptografik primitivlardan biri zaiflashadi yoki butunlay buziladi. Texnik hujjatlar muallifi buni aytadi:
Shuni ta'kidlash kerakki, WireGuard kriptografik fikrga ega. U ataylab shifrlar va protokollarning moslashuvchanligiga ega emas. Agar asosiy ibtidoiylarda jiddiy teshiklar topilsa, barcha so'nggi nuqtalarni yangilash kerak bo'ladi. SLL/TLS zaifliklarining davom etayotgan oqimidan ko'rinib turibdiki, shifrlashning moslashuvchanligi hozirda juda oshdi.
Oxirgi jumla mutlaqo to'g'ri.
Qanday shifrlashdan foydalanish bo'yicha konsensusga erishish IKE va TLS kabi protokollarni yaratadi ko'proq murakkab. Juda murakkabmi? Ha, TLS/SSL-da zaifliklar juda keng tarqalgan va ularga alternativa yo'q.
Haqiqiy muammolarni e'tiborsiz qoldirish haqida
Tasavvur qiling-a, sizda butun dunyo bo'ylab 200 ta jangovar mijozlarga ega VPN serveringiz bor. Bu juda standart foydalanish holati. Agar siz shifrlashni o'zgartirishingiz kerak bo'lsa, yangilanishni ushbu noutbuklar, smartfonlar va boshqalardagi WireGuard-ning barcha nusxalariga etkazishingiz kerak. Bir vaqtning o'zida yetkazib berish. Bu tom ma'noda imkonsiz. Buni amalga oshirishga urinayotgan ma'murlar kerakli konfiguratsiyalarni o'rnatish uchun bir necha oy vaqt oladi va bunday hodisani bartaraf etish uchun o'rta kompaniya yillari kerak bo'ladi.
IPsec va OpenVPN shifrlash bo'yicha muzokaralar xususiyatini taklif qiladi. Shuning uchun, bir muncha vaqt o'tgach, siz yangi shifrlashni yoqsangiz, eskisi ham ishlaydi. Bu joriy mijozlarga yangi versiyaga yangilash imkonini beradi. Yangilanish chiqarilgandan so'ng, siz shunchaki zaif shifrlashni o'chirib qo'yasiz. Va tamom! Tayyor! Siz ajoyibsiz! Mijozlar buni sezmaydilar ham.
Bu aslida katta joylashtirishlar uchun juda keng tarqalgan holat va hatto OpenVPN ham bu bilan biroz qiyinchiliklarga duch keladi. Orqaga qarab muvofiqlik muhim va siz zaifroq shifrlashdan foydalansangiz ham, ko'pchilik uchun bu biznesni yopish uchun sabab emas. Chunki u o‘z ishini bajara olmaslik tufayli yuzlab mijozlarning ishini falaj qiladi.
WireGuard jamoasi o'z protokollarini soddalashtirdi, ammo tunneldagi ikkala tengdosh ustidan doimiy nazoratga ega bo'lmagan odamlar uchun mutlaqo yaroqsiz. Mening tajribamga ko'ra, bu eng keng tarqalgan stsenariy.
Kriptografiya!
Ammo WireGuard foydalanadigan bu qiziqarli yangi shifrlash nima?
WireGuard kalit almashinuvi uchun Curve25519, shifrlash uchun ChaCha20 va ma'lumotlarni autentifikatsiya qilish uchun Poly1305 dan foydalanadi. Shuningdek, u xesh kalitlari uchun SipHash va xeshlash uchun BLAKE2 bilan ishlaydi.
ChaCha20-Poly1305 IPsec va OpenVPN (TLS orqali) uchun standartlashtirilgan.
Ko'rinib turibdiki, Daniel Bernshteynning rivojlanishi juda tez-tez ishlatiladi. BLAKE2 - SHA-3 ga o'xshashligi tufayli g'olib chiqmagan SHA-2 finalchisi BLAKEning vorisi. Agar SHA-2 buzilgan bo'lsa, BLEKE ham xavf ostida bo'lishi uchun yaxshi imkoniyat bor edi.
IPsec va OpenVPN dizayni tufayli SipHashga muhtoj emas. Shunday qilib, hozirda ular bilan ishlatib bo'lmaydigan yagona narsa bu BLAKE2 va bu faqat standartlashtirilgunga qadar. Bu katta kamchilik emas, chunki VPNlar yaxlitlikni yaratish uchun HMAC-dan foydalanadilar, bu hatto MD5 bilan birgalikda kuchli yechim hisoblanadi.
Shunday qilib, men barcha VPN-larda deyarli bir xil kriptografik vositalar to'plamidan foydalaniladi degan xulosaga keldim. Shu sababli, WireGuard shifrlash yoki uzatilgan ma'lumotlarning yaxlitligi haqida gap ketganda, boshqa joriy mahsulotlarga qaraganda ko'proq yoki kamroq xavfsiz emas.
Ammo bu ham loyihaning rasmiy hujjatlariga ko'ra e'tibor berishga arziydigan eng muhim narsa emas. Axir, asosiy narsa - tezlik.
WireGuard boshqa VPN yechimlariga qaraganda tezroqmi?
Qisqasi: yo'q, tezroq emas.
ChaCha20 - bu dasturiy ta'minotda amalga oshirish osonroq bo'lgan oqim shifridir. U bir vaqtning o'zida bitta bitni shifrlaydi. AES kabi bloklash protokollari blokni bir vaqtning o'zida 128 bit shifrlaydi. Uskunani qo'llab-quvvatlash uchun ko'proq tranzistorlar talab qilinadi, shuning uchun kattaroq protsessorlar shifrlash jarayonini tezlashtirish uchun ba'zi vazifalarni bajaradigan ko'rsatmalar to'plami kengaytmasi AES-NI bilan birga keladi.
AES-NI hech qachon smartfonlarga kirmasligi kutilgan edi [lekin shunday bo'ldi - taxminan. boshiga]. Buning uchun ChaCha20 engil, batareyani tejaydigan alternativ sifatida ishlab chiqilgan. Shu sababli, bugungi kunda siz sotib olishingiz mumkin bo'lgan har bir smartfon qandaydir AES tezlashuviga ega bo'lishi va ChaCha20-ga qaraganda ushbu shifrlash bilan tezroq va kamroq quvvat sarfi bilan ishlashi sizga yangilik bo'lishi mumkin.
Shubhasiz, so'nggi ikki yil ichida sotib olingan deyarli har bir ish stoli/server protsessorida AES-NI mavjud.
Shuning uchun, men AES har bir stsenariyda ChaCha20 dan ustun bo'lishini kutaman. WireGuard rasmiy hujjatlarida aytilishicha, AVX512 bilan ChaCha20-Poly1305 AES-NI-dan ustun bo'ladi, ammo bu ko'rsatmalar to'plami kengaytmasi faqat kattaroq protsessorlarda mavjud bo'ladi, bu esa AES bilan har doim tezroq bo'ladigan kichikroq va mobil qurilmalarga yordam bermaydi. - N.I.
Men buni WireGuard-ni ishlab chiqishda oldindan aytish mumkinmi yoki yo'qmi, amin emasman, lekin bugungi kunda uning faqat shifrlash uchun mixlanganligi allaqachon kamchilik bo'lib, uning ishlashiga unchalik ta'sir qilmasligi mumkin.
IPsec sizning ishingiz uchun qaysi shifrlash eng mos kelishini erkin tanlash imkonini beradi. Va, albatta, bu, masalan, VPN ulanishi orqali 10 yoki undan ortiq gigabaytlik ma'lumotlarni uzatishni istasangiz kerak.
Linuxda integratsiya muammolari
WireGuard zamonaviy shifrlash protokolini tanlagan bo'lsa-da, bu allaqachon ko'p muammolarni keltirib chiqarmoqda. Shunday qilib, yadro tomonidan qo'llab-quvvatlanadigan narsalarni ishlatish o'rniga, WireGuard integratsiyasi Linuxda ushbu primitivlarning yo'qligi sababli yillar davomida kechiktirildi.
Boshqa operatsion tizimlarda vaziyat qanday ekanligiga to'liq ishonchim komil emas, lekin u Linuxdan unchalik farq qilmasa kerak.
Haqiqat nimaga o'xshaydi?
Afsuski, har safar mijoz mendan VPN ulanishini o‘rnatishimni so‘raganda, men ular eskirgan hisob ma’lumotlari va shifrlashdan foydalanayotgani haqida muammoga duch kelaman. MD3 bilan birgalikda 5DES, AES-256 va SHA1 kabi hali ham keng tarqalgan amaliyotdir. Va ikkinchisi biroz yaxshiroq bo'lsa-da, bu 2020 yilda ishlatilishi kerak bo'lgan narsa emas.
Kalit almashinuvi uchun har doim RSA ishlatiladi - sekin, lekin juda xavfsiz vosita.
Mening mijozlarim bojxona organlari va boshqa davlat tashkilotlari va muassasalari, shuningdek, nomlari butun dunyoga mashhur yirik korporatsiyalar bilan bog'langan. Ularning barchasi bir necha o'n yillar oldin yaratilgan so'rov shaklidan foydalanadi va SHA-512 dan foydalanish qobiliyati hech qachon qo'shilmagan. Bu qandaydir tarzda texnologik taraqqiyotga aniq ta'sir qiladi, deb ayta olmayman, lekin bu korporativ jarayonni sekinlashtiradi.
Buni ko'rish meni qiynayapti, chunki IPsec 2005 yildan beri elliptik egri chiziqlarni qo'llab-quvvatlab kelmoqda. Curve25519 ham yangiroq va foydalanish uchun mavjud. Camellia va ChaCha20 kabi AES-ga alternativalar ham mavjud, ammo ularning hammasi ham Cisco va boshqalar kabi yirik sotuvchilar tomonidan qo'llab-quvvatlanmaydi.
Va odamlar bundan foydalanadilar. Ko'p Cisco to'plamlari mavjud, Cisco bilan ishlash uchun mo'ljallangan ko'plab to'plamlar mavjud. Ular ushbu segmentdagi bozor yetakchilari va har qanday innovatsiyaga unchalik qiziqmaydilar.
Ha, [korporativ segmentdagi] vaziyat dahshatli, ammo WireGuard tufayli biz hech qanday o'zgarishlarni ko'rmaymiz. Sotuvchilar, ehtimol, hech qachon foydalanayotgan asboblar va shifrlashda ishlash muammolarini ko'rmaydilar, IKEv2 bilan hech qanday muammolarni ko'rmaydilar va shuning uchun ular muqobil variantlarni qidirmaydilar.
Umuman olganda, Cisco-dan voz kechish haqida hech o'ylab ko'rganmisiz?
Benchmarks
Va endi WireGuard hujjatlaridagi ko'rsatkichlarga o'tamiz. Garchi bu [hujjat] ilmiy maqola bo'lmasa-da, men ishlab chiquvchilardan ko'proq ilmiy yondashuvni yoki ma'lumotnoma sifatida ilmiy yondashuvdan foydalanishini kutganman. Har qanday benchmarklar, agar ularni qayta ishlab chiqarish imkoni bo'lmasa, foydasiz va laboratoriyada olinganida ham foydasiz bo'ladi.
WireGuard-ning Linux konstruktsiyasida u GSO - Umumiy Segmentatsiyani tushirishdan foydalanishning afzalliklaridan foydalanadi. Unga rahmat, mijoz 64 kilobaytlik ulkan paketni yaratadi va uni bir vaqtning o'zida shifrlaydi / parolini hal qiladi. Shunday qilib, kriptografik operatsiyalarni chaqirish va amalga oshirish xarajatlari kamayadi. Agar siz VPN ulanishingizni maksimal darajada oshirishni istasangiz, bu yaxshi fikr.
Ammo, odatdagidek, haqiqat juda oddiy emas. Bunday katta paketni tarmoq adapteriga yuborish uni ko'plab kichikroq paketlarga bo'lishni talab qiladi. Oddiy yuborish hajmi 1500 bayt. Ya'ni, 64 kilobaytlik gigantimiz 45 paketga bo'linadi (1240 bayt ma'lumot va 20 bayt IP sarlavhasi). Keyin, bir muncha vaqt uchun ular tarmoq adapterining ishini butunlay blokirovka qiladi, chunki ular birgalikda va bir vaqtning o'zida yuborilishi kerak. Natijada, bu ustuvor sakrashga olib keladi va masalan, VoIP kabi paketlar navbatga qo'yiladi.
Shunday qilib, WireGuard jasorat bilan da'vo qiladigan yuqori o'tkazuvchanlikka boshqa ilovalarning tarmoqqa ulanishini sekinlashtirish hisobiga erishiladi. Va WireGuard jamoasi allaqachon bu mening xulosam.
Ammo davom etaylik.
Texnik hujjatlardagi mezonlarga ko'ra, ulanish 1011 Mbit / s o'tkazish qobiliyatini ko'rsatadi.
Ta'sirli.
Bu, ayniqsa, bitta Gigabit Ethernet ulanishining maksimal nazariy o'tkazuvchanligi 966 Mbit / s, paket hajmi 1500 bayt, IP sarlavhasi uchun minus 20 bayt, UDP sarlavhasi uchun 8 bayt va sarlavhasi uchun 16 bayt bo'lganligi sababli juda ta'sirli. WireGuard o'zi. Inkapsullangan paketda yana bitta IP sarlavhasi va 20 bayt uchun TCP da boshqasi mavjud. Xo'sh, bu qo'shimcha tarmoqli kengligi qaerdan paydo bo'ldi?
Katta kadrlar va biz yuqorida aytib o'tgan GSO afzalliklari bilan 9000 baytlik kadr hajmi uchun nazariy maksimal 1014 Mbit / s bo'ladi. Odatda bunday o'tkazuvchanlik haqiqatda erishib bo'lmaydi, chunki bu katta qiyinchiliklar bilan bog'liq. Shunday qilib, sinov faqat ba'zi tarmoq adapterlari tomonidan qo'llab-quvvatlanadigan nazariy maksimal 64 Mbit / s bo'lgan 1023 kilobaytlik yanada katta hajmli ramkalar yordamida amalga oshirilgan deb taxmin qilishim mumkin. Ammo bu real sharoitlarda mutlaqo qo'llanilmaydi yoki faqat ikkita to'g'ridan-to'g'ri ulangan stantsiyalar o'rtasida, faqat sinov stendida foydalanish mumkin.
Ammo VPN tunneli ikkita xost o'rtasida jumbo ramkalarni umuman qo'llab-quvvatlamaydigan Internet ulanishi yordamida uzatilganligi sababli, skameykada erishilgan natijani benchmark sifatida qabul qilib bo'lmaydi. Bu shunchaki haqiqiy bo'lmagan laboratoriya yutug'i bo'lib, uni haqiqiy jangovar sharoitlarda qo'llash mumkin emas.
Hatto ma'lumotlar markazida o'tirgan bo'lsam ham, men 9000 baytdan katta kadrlarni uzata olmadim.
Haqiqiy hayotda qo'llash mezoni mutlaqo buzilgan va menimcha, o'tkazilgan "o'lchov" muallifi aniq sabablarga ko'ra o'zini jiddiy ravishda obro'sizlantiradi.
Umidning so'nggi chirog'i
WireGuard veb-sayti konteynerlar haqida ko'p gapiradi va u aslida nima uchun mo'ljallanganligi aniq bo'ladi.
Hech qanday konfiguratsiyani talab qilmaydigan oddiy va tezkor VPN va Amazon bulutida mavjud bo'lgan katta orkestrlash vositalari bilan sozlanishi va sozlanishi. Xususan, Amazon yuqorida aytib o'tgan AVX512 kabi so'nggi apparat xususiyatlaridan foydalanadi. Bu ishni tezlashtirish va x86 yoki boshqa arxitekturaga bog'lanmaslik uchun amalga oshiriladi.
Ular o'tkazish qobiliyatini va 9000 baytdan katta paketlarni optimallashtiradi - bu konteynerlar bir-biri bilan aloqa qilish yoki zaxira operatsiyalari, oniy tasvirlarni yaratish yoki bir xil konteynerlarni joylashtirish uchun katta inkapsullangan ramkalar bo'ladi. Hatto dinamik IP-manzillar ham men tasvirlab bergan stsenariyda WireGuard ishiga hech qanday ta'sir ko'rsatmaydi.
Zo'r o'yin bo'ldi. Ajoyib amalga oshirish va juda nozik, deyarli mos yozuvlar protokoli.
Lekin u siz toʻliq nazorat qiladigan maʼlumotlar markazidan tashqaridagi dunyoga toʻgʻri kelmaydi. Agar siz xavf-xatarni qabul qilsangiz va WireGuard-dan foydalanishni boshlasangiz, shifrlash protokolini loyihalash va amalga oshirishda doimiy murosaga kelishingiz kerak bo'ladi.
xulosa
Men uchun WireGuard hali tayyor emas degan xulosaga kelish oson.
Bu mavjud echimlar bilan bir qator muammolarni engil va tezkor hal qilish sifatida ishlab chiqilgan. Afsuski, ushbu echimlar uchun u ko'pchilik foydalanuvchilar uchun tegishli bo'lgan ko'plab xususiyatlarni qurbon qildi. Shuning uchun u IPsec yoki OpenVPN o'rnini bosa olmaydi.
WireGuard raqobatbardosh bo'lishi uchun u hech bo'lmaganda IP-manzil sozlamalari, marshrutlash va DNS konfiguratsiyasini qo'shishi kerak. Shubhasiz, bu shifrlangan kanallar uchun.
Xavfsizlik mening ustuvor vazifamdir va hozirda IKE yoki TLS qandaydir tarzda buzilgan yoki buzilgan deb ishonish uchun hech qanday sabab yo'q. Zamonaviy shifrlash ularning ikkalasida ham qo'llab-quvvatlanadi va ular o'nlab yillar davomida amalda isbotlangan. Biror narsa yangiroq bo'lsa, u yaxshiroq degani emas.
Stantsiyalari siz nazorat qilmaydigan uchinchi shaxslar bilan aloqada bo'lganingizda, o'zaro ishlash juda muhimdir. IPsec de-fakto standart bo'lib, deyarli hamma joyda qo'llab-quvvatlanadi. Va u ishlaydi. Va u qanday ko'rinishidan qat'iy nazar, nazariy jihatdan, kelajakda WireGuard hatto o'zining turli versiyalari bilan ham mos kelmasligi mumkin.
Har qanday kriptografik himoya ertami-kechmi buziladi va shunga mos ravishda almashtirilishi yoki yangilanishi kerak.
Bu faktlarning barchasini inkor etish va iPhone-ni uy ish stantsiyasiga ulash uchun WireGuard-dan foydalanishni ko'r-ko'rona xohlash - bu boshingizni qumga solish bo'yicha master-klass.
Manba: www.habr.com
