WireGuard: VPN rápida y segura en el kernel de Linux

Higo. 1. OpenVPN vs WireGuard, pruebe Ars Technica

WireGuard : redes privadas virtuales de protocolo abierto y gratuitas, destinadas a reemplazar el IPsec y OpenVPN. En enero de 2020, después de un año y medio de refinamiento del código, tuvo lugar el tan esperado evento: Linus Torvalds aceptó VPN WireGuard en la rama principal de Linux 5.6 .

Muy pronto, esta VPN se convertirá en parte del kernel de Linux, el corazón de un sistema operativo de código abierto que ejecuta todo el mundo, desde servidores web hasta teléfonos y automóviles Android. Este es un evento realmente importante, porque WireGuard es mucho más simple y lógico que las VPN anteriores. En junio de 2019, se recibió evidencia criptográfica automatizada protocolo matemático

VPN es una herramienta importante para la seguridad y la privacidad. De hecho, es un canal de comunicación encriptado entre dos o más dispositivos que permite enrutar los datos a través de un "túnel" seguro. Las empresas usan una VPN para acceder de forma remota a los empleados a la red corporativa, y los servicios de VPN comerciales ofrecen a los usuarios protección contra la intercepción de tráfico al dirigirla a través de servidores remotos. Esto significa que su proveedor, las agencias de inteligencia del gobierno o cualquier persona no autorizada no pueden ver lo que está haciendo en Internet. Enrutar el tráfico a través de un servidor remoto también puede crear la impresión de que está accediendo a Internet desde otro lugar. Esto permite a las personas en algunos países acceder a sitios que están bloqueados por algún motivo.

Pero las conexiones VPN son tan seguras como el software en sí. Los profesionales de seguridad han sido tradicionalmente críticos con el software VPN. Una razón para esto es que la mayoría del software VPN es increíblemente complejo. Cuanto más complejo es el software, más difícil es auditar por problemas de seguridad.

Los antiguos programas de VPN son "demasiado grandes y complicados, y en principio es imposible navegar y verificar si son seguros o no", dice Jan Jonsson, CEO del proveedor de VPN de Mullvad, según el cual funciona el servicio de VPN incorporado en el navegador. Firefox

El autor de WireGuard es el hacker y pentester Jason A. Donenfeld. Logró escribir un código mucho más simple y conciso que en la mayoría de los otros programas VPN. La primera versión de WireGuard contenía menos de 4000 líneas de código, en comparación con decenas de miles de líneas en otros programas VPN. Esto no hace que WireGuard sea más seguro, pero hace que la solución de problemas sea mucho más fácil. Los mecanismos clave del protocolo de cifrado se muestran en la Fig. 2. Fig. 2: (a) protocolo WireGuard; (b) computación criptográfica; (c) Mecanismo de cookies WireGuard para proteger al host de ataques DoS




Los clientes WireGuard ya están disponibles para Android, iOS, MacOS, Linux y Windows. Cloudflare lanzó el servicio Warp VPN basado en el protocolo WireGuard, y varios proveedores de VPN comerciales también permiten a los usuarios usar el protocolo WireGuard, incluidos TorGuard, IVPN y Mullvad.

La implementación de WireGuard directamente en el núcleo, que interactúa directamente con el hardware, debería acelerar aún más el trabajo del programa. WireGuard podrá cifrar y descifrar datos directamente desde una tarjeta de red, sin la necesidad de transferir tráfico a través del núcleo y el software a un nivel superior.

El lanzamiento oficial de Linux 5.6 tendrá lugar en unas pocas semanas. Después de eso, se puede esperar que el protocolo WireGuard se use más ampliamente en varios servicios VPN, incluso para proteger las conexiones entre dispositivos IoT, muchos de los cuales funcionan en Linux.

El autor del programa, Jason Donenfield, se ganaba la vida ingresando a los sistemas informáticos (pruebas de penetración bajo un contrato oficial para servicios de consultoría). Originalmente desarrolló WireGuard como una herramienta de exfiltración de datos para capturar de forma encubierta los datos de la computadora de la víctima.

En 2012, Jason se mudó a Francia y, como muchos usuarios de VPN, quería conectarse desde un sitio estadounidense. Pero no confiaba en el software VPN existente. Al final, se dio cuenta de que podía usar su herramienta de exfiltración para enrutar el tráfico a través de la computadora de sus padres en los Estados Unidos: "Me di cuenta de que muchos métodos de pirateo de sistemas (seguridad ofensiva) son realmente útiles para la protección " , dijo en una entrevista con la revista. Cableado

Donenfeld cambió el enfoque tradicional que las VPN y el software criptográfico han utilizado durante décadas. Por ejemplo, otros sistemas VPN permiten a los usuarios seleccionar uno de varios algoritmos de cifrado. Pero la compatibilidad con múltiples esquemas de cifrado hace que el software sea más complejo y ofrece más oportunidades para errores. WireGuard se toma la libertad de tomar algunas decisiones para el usuario. Esto hace que el programa no sea tan flexible como IPsec y OpenVPN, pero WireGuard es un orden de magnitud más simple que, según los proponentes, reduce la probabilidad de errores tanto de los desarrolladores como de los usuarios de WireGuard.

Una auditoría de código simple no es la única razón por la que WireGuard ha atraído tanta atención. La mayor ventaja de WireGuard es que "es bueno usarlo, -dice Thomas Ptacek, un investigador de seguridad. "No es más difícil de configurar que cualquiera de las herramientas de red que los desarrolladores ya están utilizando".

WireGuard está a la par con el Signal Messenger seguro: son parte de un amplio movimiento para crear un software mejor y más conveniente basado en métodos criptográficos modernos.

En 2019, expertos del Instituto Francés de Investigación y Automatización Informática evaluaron la criptografía WireGuard. Obtuvieron la prueba criptográfica automatizada de los métodos matemáticos subyacentes a WireGuard, aunque aún podría haber problemas de seguridad en el código mismo. Ahora los desarrolladores de Linux lo están probando y Donenfeld ha solucionado varios problemas en previsión del lanzamiento del nuevo kernel de Linux 5.6 y WireGuard 1.0.

---

Soluciones PKI para pequeñas y medianas empresas de la Autoridad de Certificación GlobalSign Para más detalles, contacte a los gerentes +7 (499) 678 2210, sales-ru@globalsign.com.