
Mi is az a WireGuard? A WireGuard felülvizsgálata
A WireGuard egy kommunikációs protokoll és egy ingyenes és nyílt forráskódú szoftver, amely titkosított virtuális magánhálózatokat, vagyis VPN-t valósít meg. Ezek tervezésekor a könnyű használat, a nagy sebességű teljesítmény és az alacsony támadási felület volt a cél. Célja a jobb teljesítmény és az energiatakarékosság, mint az IPsec és az OpenVPN alagútépítő protokolloké. A WireGuard protokoll UDP-n keresztül továbbítja a forgalmat.
2020 márciusában a szoftver Linux-verziója elérte a stabil gyártási kiadást és beépült a Linux 5.6 kernelbe, valamint néhány Linux-disztribúcióban a korábbi Linux-kernelekbe visszaportolták. A Linux kernel komponensei a GNU General Public License (GPL) 2. verziója alatt állnak. Más implementációk a GPLv2 vagy más szabad/nyílt forráskódú licencek alatt állnak.
WireGuard – Választható, előre-megosztott szimmetrikus kulcs mód
A WireGuard támogatja az előre megosztott szimmetrikus kulcs módot, amely egy további szimmetrikus titkosítási réteget biztosít a kvantumszámítástechnika jövőbeni fejlődésének mérséklése érdekében. A kockázat az, hogy a forgalom addig tárolódik, amíg a kvantumszámítógépek nem képesek feltörni a Curve25519-et. Ekkor a forgalom visszafejthető.
Az előre megosztott kulcsok “általában problémásak a kulcskezelés szempontjából és nagyobb valószínűséggel lopják el őket”, de rövidebb távon, ha a szimmetrikus kulcs kompromittálódik, a Curve25519 kulcsok még mindig több mint elegendő védelmet nyújtanak.
Hálózatépítés
A WireGuard csak UDP-t használ. Ez ellentétben az olyan alternatívákkal, mint az OpenVPN, mivel a TCP számos hátránya van a TCP-rel szemben. Az UDP mint egyetlen szállítási mód nem megfelelő a szállodák, konferenciaközpontok vagy más nyilvános hálózatok számára, amelyek a kommunikációt a közös HTTP és HTTPS protokollokra korlátozzák.
A WireGuard teljes mértékben támogatja az IPv6-ot, mind az alagúton belül, mind azon kívül. Csak a 3. réteget támogatja mind az IPv4, mind az IPv6 esetében és képes a v4-et a v6-ba kapszulázni és fordítva. A WireGuard több topológiát is támogat:
- Point-to-point
- Star (kiszolgáló/ügyfél)
- Az ügyfél végpontját nem kell meghatározni, mielőtt az ügyfél elkezdené az adatátvitelt.
- Az ügyfél végpontok statikusan előre meghatározhatók.
- Mesh
Mivel a pont-pont kapcsolat támogatott, más topológiák is létrehozhatók, de nem ugyanazon az alagúton.
A WireGuard a következőket használja:
- Curve25519 a kulcscseréhez
- ChaCha20 szimmetrikus titkosításhoz
- Poly1305 az üzenethitelesítési kódokhoz
- SipHash a hashtable kulcsokhoz
- BLAKE2s a kriptográfiai hash függvényhez
- Csak UDP-alapú
2019 májusában az INRIA kutatói közzétették a WireGuard gépi ellenőrzésű bizonyítékát, amelyet a CryptoVerif bizonyítási asszisztens segítségével állítottak elő.
Bővíthetőség
A WireGuardot úgy tervezték, hogy harmadik féltől származó programokkal és szkriptekkel bővíthető legyen. Ennek segítségével a WireGuard különböző funkciókkal bővült, beleértve a felhasználóbarátabb kezelőfelületeket, beleértve a kulcsok könnyebb beállítását, a naplózást, a dinamikus tűzfalfrissítéseket és az LDAP integrációt. Az ilyen összetett funkciók kizárása a minimális mag kódbázisból javítja a stabilitást és a biztonságot.
A biztonság garantálása érdekében a WireGurard korlátozza a kriptográfiai vezérlések megvalósításának lehetőségeit, korlátozza a kulcscsere-folyamatok választási lehetőségeit és a modern kriptográfia egy kis részhalmazára korlátozza az algoritmusokat. Ha valamelyik primitívben hibát találnak, akkor egy új verzió adható ki, amely megoldja a problémát.
Emellett a teljes alkalmazás biztonságát befolyásoló konfigurációt a felhasználók nem módosíthatják.
A WireGuard célja…
… hogy egyszerű és hatékony virtuális magánhálózati megvalósítást biztosítson. Az Ars Technica 2018-as áttekintésében megjegyezte, hogy a népszerű VPN-technológiák, például az OpenVPN és az IPsec gyakran bonyolultan állíthatók be. Könnyen megszakad a kapcsolat további konfiguráció hiányában, jelentős időt vesz igénybe az újrakapcsolódások megtárgyalása, elavult kódokat használhatnak és viszonylag hatalmas, több mint 400 000, illetve 600 000 kódsorral rendelkező kódbázisuk van, ami akadályozza a hibakeresést.
A WireGuard tervezése ezeket a problémákat igyekszik csökkenteni és arra törekszik, hogy az alagutat alapértelmezés szerint biztonságosabbá és könnyebben kezelhetővé tegye. A kriptográfiai csomagok verziószámozásának alkalmazásával a jelenlegi legbiztonságosabbnak tartott titkosítási módszerek közé tartozó kódokra összpontosít.
Illetve az Ars Technica felülvizsgálatának idején körülbelül 4000 sornyi kernelkóddal rendelkezett, ami az OpenVPN vagy az IPsec kód 1%-ának felel meg, ami megkönnyíti a biztonsági auditokat. A WireGuardot a Linux kernel megalkotója, Linus Torvalds dicsérte, aki az OpenVPN-hez és az IPsec-hez képest “műalkotásként” emlegette.
Az Ars Technica arról számolt be, hogy a tesztelés során a WireGuarddal az alternatívákhoz képest könnyen sikerült stabil alagutakat létrehozni és megjegyezte, hogy “nehéz lenne visszatérni” a hosszú újrakapcsolási késleltetésekhez, szemben a WireGuard “nonszensz” azonnali újrakapcsolásaival. Ron Wyden oregoni szenátor azt javasolta a Nemzeti Szabványügyi és Technológiai Intézetnek (NIST), hogy értékelje a WireGuardot a meglévő technológiák, például az IPsec és az OpenVPN helyettesítésére.
EZ IS ÉRDEKELHET MÉG:
- Mi az a VPN és mit csinál pontosan? A VPN jelentése és még több magyarázat
- A NordVPN részletei és felülvizsgálata
- Az ingyenes Hola VPN felülvizsgálata
- Az Avast VPN szolgáltatásának előnyei és hátrányai
- A TunnelBear VPN felülvizsgálata: Előnyök és hátrányok
- FortiClient – Egységesíti a végponti funkciókat
- A legjobb VPN Chrome bővítmények részletei
- Az Opera VPN vizsgálata: Álcázott adatgyűjtő eszköz?
- Cisco AnyConnect felülvizsgálata és részletei
- Melyik a legjobb VPN Android rendszerre?
- A VPN Firefox felülvizsgálata és VPN Firefox bővítmények
- DNSLeakTest: Mi az a DNS-szivárgás és hogyan védekezhetsz?
Ezeket is érdemes megnézni

Mi az a VPN tunnel és hogyan működik?
2021.04.06.
DNSLeakTest: Mi az a DNS-szivárgás és hogyan védekezhetsz?
2021.05.04.