WireGuard - VPN rápida e segura no kernel do Linux

FIG. 1. OpenVPN vs WireGuard, teste o Ars Technica

WireGuard - redes privadas virtuais de protocolo livre e aberto, destinadas a substituir o IPsec e o OpenVPN. Em janeiro de 2020, após um ano e meio de aprimoramento de código, o tão esperado evento ocorreu - Linus Torvalds aceitou o VPN WireGuard na principal filial do Linux 5.6 .

Muito em breve, essa VPN se tornará parte do kernel do Linux - o coração de um sistema operacional de código aberto que roda o mundo inteiro, desde servidores da web a telefones e carros Android. Este é um evento realmente importante, porque o WireGuard é muito mais simples e mais lógico do que as VPNs anteriores. Em junho de 2019, foram recebidas evidências criptográficas automatizadas protocolo de matemática.

A VPN é uma ferramenta importante para segurança e privacidade. De fato, é um canal de comunicação criptografado entre dois ou mais dispositivos que permite que os dados sejam roteados através de um "túnel" seguro. As empresas usam VPNs para acessar funcionários remotamente à rede corporativa, e os serviços comerciais VPN oferecem aos usuários proteção contra interceptação de tráfego, direcionando-a através de servidores remotos. Isso significa que seu provedor, agências de inteligência do governo ou qualquer pessoa não autorizada não pode ver o que você está fazendo na Internet. O roteamento de tráfego através de um servidor remoto também pode criar a impressão de que você está acessando a Internet a partir de outro local. Isso permite que pessoas em alguns países acessem sites bloqueados por algum motivo.

Mas as conexões VPN são tão seguras quanto o próprio software. Tradicionalmente, os profissionais de segurança criticam o software VPN. Uma razão para isso é que a maioria dos softwares VPN é incrivelmente complexa. Quanto mais complexo o software, mais difícil é auditar problemas de segurança.

As VPNs antigas são "muito grandes e complexas e, em princípio, é impossível procurar e verificar se são seguras ou não", diz Jan Jonsson, CEO do Mullvad VPN Provider, que executa o serviço de VPN embutido no navegador. Raposa de fogo

O autor do WireGuard é o hacker e atacante Jason A. Donenfeld. Ele conseguiu escrever um código muito mais simples e conciso do que na maioria dos outros programas VPN. A primeira versão do WireGuard continha menos de 4000 linhas de código - em comparação com dezenas de milhares de linhas em outros programas VPN. Isso não torna o WireGuard mais seguro, mas facilita muito a solução de problemas. Os principais mecanismos do protocolo de criptografia são mostrados na Fig. 2. Fig. 2: (a) protocolo WireGuard; (b) computação criptográfica; (c) Mecanismo de cookie WireGuard para proteger o host de ataques DoS




Os clientes WireGuard já foram lançados para Android, iOS, MacOS, Linux e Windows. A Cloudflare lançou o serviço Warp VPN com base no protocolo WireGuard, e vários fornecedores comerciais de VPN também permitem que os usuários usem o protocolo WireGuard, incluindo TorGuard, IVPN e Mullvad.

A implementação do WireGuard diretamente no kernel, que interage diretamente com o hardware, deve acelerar ainda mais o trabalho do programa. O WireGuard poderá criptografar e descriptografar dados diretamente de uma placa de rede, sem a necessidade de transferir tráfego através do kernel e do software em um nível superior.

O lançamento oficial do Linux 5.6 ocorrerá em algumas semanas. Depois disso, pode-se esperar que o protocolo WireGuard seja mais amplamente usado em vários serviços VPN, inclusive para proteger conexões entre dispositivos IoT, muitos dos quais funcionam no Linux.

O autor do programa, Jason Donenfield, ganhava a vida invadindo sistemas de computadores (testes de penetração sob um contrato oficial de serviços de consultoria). Ele originalmente desenvolveu o WireGuard como uma ferramenta de exfiltração de dados para capturar secretamente dados do computador da vítima.

Em 2012, Jason se mudou para a França e, como muitos usuários de VPN, queria entrar on-line em um site americano. Mas ele não confiava no software VPN existente. No final, ele percebeu que poderia usar sua ferramenta de exfiltração para direcionar o tráfego através do computador de seus pais nos EUA: "Eu percebi que muitos métodos de sistemas de hackers (segurança ofensiva) são realmente úteis para proteção " , disse ele em entrevista à revista Com fio.

Donenfeld mudou a abordagem tradicional que a VPN e o software criptográfico usam há décadas. Por exemplo, outros sistemas VPN permitem que os usuários selecionem um dos vários algoritmos de criptografia. Mas o suporte a vários esquemas de criptografia torna o software mais complexo e oferece mais oportunidades de erros. O WireGuard tem a liberdade de tomar algumas decisões para o usuário. Isso torna o programa não tão flexível quanto o IPsec e o OpenVPN, mas o WireGuard é uma ordem de magnitude mais simples, o que, de acordo com os proponentes, reduz a probabilidade de erros de desenvolvedores e usuários do WireGuard.

Uma simples auditoria de código não é a única razão pela qual o WireGuard atraiu tanta atenção. A maior vantagem do WireGuard é que "é bom usá-lo, -diz Thomas Ptacek, pesquisador de segurança. "Não é mais difícil de configurar do que qualquer uma das ferramentas de rede que os desenvolvedores já estão usando".

O WireGuard está em pé de igualdade com o mensageiro de sinal seguro - eles fazem parte de um amplo movimento para criar software melhor e mais conveniente, com base em métodos criptográficos modernos.

Em 2019, especialistas do Instituto Francês de Pesquisa e Automação de Computadores avaliaram a criptografia WireGuard. Eles receberam a prova criptográfica automatizada dos métodos matemáticos subjacentes ao WireGuard, embora ainda possa haver problemas de segurança no próprio código. Agora está sendo testado pelos desenvolvedores do Linux, e Donenfeld corrigiu vários problemas em antecipação ao lançamento do novo kernel do Linux 5.6 e do WireGuard 1.0.

---

Soluções PKI para empresas de pequeno e médio porte da Autoridade de Certificação GlobalSign Para obter detalhes, entre em contato com os gerentes +7 (499) 678 2210, sales-ru@globalsign.com.