WireGuard VPN簡介:你需要了解的WireGuard VPN現狀

WireGuard(官網)是一種新的VPN協議,有可能為VPN行業帶來重大變革。與現有的VPN協議(如OpenVPN和IPSec)相比,WireGuard可以通過新的和改進的加密標準提供更快的速度和更好的可靠性。

雖然它確實在簡單性,速度和加密方面提供了一些有領先的功能,但WireGuard也有一些值得注意的缺點,我們將在下面的幾部分討論WireGuard VPN的各項現狀:

  • 什麼是WireGuard
  • WireGuard優點
  • WireGuard缺點(為什麼還沒有大範圍應用)
  • 哪些VPN提供商目前支持WireGuard
  • WireGuard的前景

什麼是WireGuard VPN?

WireGuard是一種新的實驗性VPN協議,旨在為VPN隧道提供比現有VPN協議更簡單,更快速,更安全的解決方案。與OpenVPN和IPSec相比,WireGuard有一些主要差異,例如代碼大小(低於4,000行!),速度和加密標準。WireGuard背後的開發人員是Edge Security的創始人Jason Donenfeld 。(術語“WireGuard”也是Donenfeld的註冊商標。)在我看過的一次採訪中,Donenfeld表示WireGuard的想法來自於他居住在海外並需要Netflix的VPN。

為什麼圍繞WireGuard有如此多的討論?答案很簡單:它提供了許多優於現有VPN協議的優勢,我們將在下面向您展示。它甚至引起了Linux背後的開發人員Linus Torvalds的注意,他在Linux內核郵件列表中有這樣的說法:我可以再一次表達我對[WireGuard]的熱愛並希望它能很快合併嗎?也許代碼並不完美,但我已經撇去了它,與OpenVPN和IPSec的恐怖相比,它是一件藝術品。

WireGuard VPN的優點

1.先進的加密

正如在各種採訪中所解釋的那樣,Jason Donenfeld希望通過OpenVPN和IPSec升級他認為是“過時”的協議。WireGuard使用以下協議和原語,如其網站上所述

您可以在其網站或白皮書中了解有關WireGuard現代加密技術的更多信息。

2.簡單和最小的代碼庫

WireGuard在代碼庫方面非常突出,目前大約有3,800行。這與OpenVPN和OpenSSL形成鮮明對比,OpenVPN和OpenSSL共有大約600,000行。與XFRM和StrongSwan一起,IPSec在大約400,000總線上也很龐大。

較小代碼庫的優點是什麼?

  • 審計要容易得多。OpenVPN將需要一個大型團隊進行多日審核。一個人可以在幾個小時內閱讀WireGuard的代碼庫。
  • 更容易審核=更容易發現漏洞,這有助於保持WireGuard的安全
  • 與OpenVPN和IPSec相比,攻擊面小得多
  • 更好的性能

雖然較小的代碼庫確實是一個優勢,但它也反映了一些限制,我們將在下面討論。

3.性能改進

於許多不同的原因,速度可能是VPN的限制因素。WireGuard 旨在顯着改善性能領域:

極高速加密原語的組合以及WireGuard在Linux內核中存在的事實意味着安全網絡可以非常高速。它適用於智能手機和滿載骨幹路由器等小型嵌入式設備。

從理論上講,WireGuard應該以下列方式提供改進的性能:

  • 更快的速度
  • 手機/平板電腦可延長電池續航時間
  • 更好的漫遊支持(移動設備)
  • 更可靠
  • 更快地建立連接/重新連接(更快的握手)

WireGuard應該對移動VPN用戶真正有益。使用WireGuard,如果您的移動設備更改了網絡接口,例如從WiFi切換到移動/單元數據,只要VPN客戶端繼續將經過身份驗證的數據發送到VPN服務器,連接就會保持不變。

4.跨平台易用性

雖然尚未準備好迎接黃金時段,但WireGuard應該可以在不同平台上很好地工作。WireGuard支持Mac OS,Android,iOS和Linux,Windows支持仍處於開發階段。

WireGuard的另一個有趣功能是它使用公鑰進行識別和加密,而OpenVPN使用證書。這確實會在VPN客戶端中使用WireGuard產生一些問題,例如密鑰生成和管理。

WireGuard VPN的缺點

儘管WireGuard提供了許多令人興奮的優勢,但它目前還存在一些值得注意的缺點。

1.仍處於初期研發階段,未經審計

儘管WireGuard仍然處於“重大開發”狀態並且還沒有為一般用途做好準備,但仍有許多人希望立即將其用作主要的VPN協議。您可以在reddit和各種論壇上找到許多WireGuard促銷活動 – 即追逐最新的VPN趨勢。

必須指出WireGuard不完整,它沒有通過安全審計,開發人員明確警告信任當前代碼:

WireGuard尚未完成。你不應該依賴這個代碼。它尚未經過適當程度的安全審核,協議仍有可能發生變化。我們正在努力推出一個穩定的1.0版本,但那個時候還沒有到來。

儘管如此,還是有一些VPN正在準備或現在提供WireGuard支持。但是,此時,您應該僅將WireGuard 用於測試目的。

2.WireGuard VPN隱私問題和日誌

雖然WireGuard可以在性能和安全性方面提供優勢,但通過設計它不利於隱私。許多VPN提供商都表達了對WireGuard無日誌使用能力的擔憂,以及這可能會如何影響用戶隱私。

AzireVPN是最早實施WireGuard的VPN之一,去年曾說過:

在AzireVPN,我們關心我們的無日誌策略,這就是為什麼我們所有的服務器都在無盤硬件上運行,所有日誌文件都通過管道傳輸到/ dev/null。但是當涉及到WireGuard時,默認行為是在服務器界面中顯示端點和allowed-ip,這與我們的隱私策略無關。我們不應該知道您的源IP,也不能接受在我們的服務器上看到它。

AzireVPN 試圖通過聘請Jason Donenfeld“編寫類似rootkit的模塊來消除普通系統管理員查詢有關WireGuard對等端的端點或allow-ip信息以及禁用運行tcpdump的能力”來解決這些問題(請參閱此處)。

Perfect Privacy認為WireGuard在他們博客上的一篇有趣帖子中“不能沒有日誌”:

WireGuard沒有動態地址管理,客戶端地址是固定的。這意味着我們必須註冊客戶的每個活動設備,並在每個VPN服務器上分配靜態IP地址。此外,我們必須存儲每個設備的最後登錄時間戳,以便回收未使用的IP地址。我們的用戶幾周後就無法連接您的設備,因為地址已被重新分配。對我們來說特別重要的是我們根本不創建或存儲任何連接日誌。因此,我們無法存儲當前WireGuard運行所需的上述註冊和登錄數據。

VPN.ac不是無日誌VPN提供商。因此,WireGuard的日誌記錄和隱私問題可能不是問題。儘管如此,他們仍然提出了擔憂:

隱私考慮:根據設計,WireGuard不適用於無/有限的日誌記錄策略。具體而言,用戶的最後公共IP將保存在用於連接的服務器上,並且根據我們當前的隱私政策,它不能在一天內刪除。稍後我們可能會對源代碼進行一些調整,以清理或刪除上次使用的公共IP。

ExpressVPN在他們的博客上對WireGuard及其對隱私的影響提出了類似的擔憂:

WireGuard面臨的挑戰之一是確保VPN的匿名性。在公共網絡和虛擬網絡上都不應該靜態地為單個用戶分配單個IP地址。用戶的內部IP地址可能會被攻擊者(例如通過WebRTC)發現,然後他們可以將其與從VPN提供商處獲取的記錄(通過盜竊,銷售或合法查封)進行匹配。一個好的VPN必須無法將這樣的標識符與單個用戶匹配。目前,使用WireGuard無法輕鬆實現此設置。正如我們過去使用OpenVPN所做的那樣,ExpressVPN將支持審查和審核WireGuard代碼的工作。我們將儘可能地提供代碼並報告錯誤,並直接向開發團隊提出安全和隱私問題。

AirVPN是另一項VPN服務,它對WireGuard對匿名的影響表示擔憂,正如他們在論壇中所解釋的那樣:

在當前狀態下,Wireguard不僅具有危險性,因為它缺乏基本功能並且是一種實驗性軟件,但它也會危害匿名層。我們的服務旨在提供一些匿名層,因此我們無法深入考慮削弱它的東西。我們很樂意在它達到穩定版本時考慮到Wireguard,並提供至少15年前OpenVPN能夠提供的最基本選項。基礎設施可以調整,我們的任務不能。

在他們的論壇中,AirVPN進一步解釋了為什麼WireGuard根本不符合他們的要求:

  • Wireguard缺乏動態IP地址管理。客戶端需要事先分配一個預定義的VPN IP地址,該IP地址唯一地鏈接到每個VPN服務器上的密鑰。對匿名層的影響是災難性的;
  • Wireguard客戶端不驗證服務器身份(這一功能非常重要,以至於當Wireguard不再是實驗性軟件時,它肯定會實現); 這個漏洞對安全的影響非常大;
  • 缺少TCP支持(正如您所建議的那樣,使用TCP作為隧道協議需要第三方或任何其他代碼,與OpenVPN相比,這是一個可怕的回歸);
  • 不支持使用各種身份驗證方法通過某些代理將Wireguard連接到VPN服務器。

儘管存在這些問題,許多VPN服務仍在關注該項目,並且在對WireGuard進行全面審核和改進後,有興趣實施該項目。然而,與此同時,正如AirVPN在其論壇中所述:“我們不會將客戶作為測試人員使用。”

3.新產品的有太多未經測試的問題

當然,OpenVPN存在問題,但它也有很長的記錄,是經過驗證的VPN協議,具有廣泛的審計功能。雖然Donenfeld可能會在各種採訪中將OpenVPN稱為“過時”,但其他人可能會認為它已被證實且值得信賴 – 這是WireGuard目前所缺乏的品質。

OpenVPN 最初於2001年發布,歷史悠久。OpenVPN還受益於龐大的用戶群和定期更新的主動開發。2017年5月,它進行了開源技術改進基金OSTIF的重大審計。

在這一點上,WireGuard似乎更像是一個利基項目 – 但是對於該行業來說具有巨大潛力的項目。這是一個非常新的,尚未走出“重大發展”階段,儘管它已經過正式驗證。即使在WireGuard正式發布之後,用戶也應謹慎行事。

4.有限的運用(目前)

正如我們上面所述,在整個行業範圍內採用WireGuard存在一些重大障礙:

  • 密鑰管理和分發的問題(而不是使用證書)。
  • WireGuard需要自己的基礎設施,與現有的OpenVPN服務器分開。
  • 與現有操作的兼容性。對於已經圍繞OpenVPN構建其服務和功能的提供商,WireGuard可能不會很快出現在卡中。

Perfect Privacy 還解釋說,WireGuard與其現有的服務器端功能不兼容,例如多跳VPN級聯,TrackStop和NeuroRouting。儘管如此,我還是向Perfect Privacy伸出援助之手,他們證實,當時機成熟時,他們可能會支持WireGuard作為獨立選項。

同樣,AirVPN還表示WireGuard在其基礎設施中“完全無法使用”:

前它在我們的基礎設施中完全無法使用, 因為它缺乏TCP支持,缺乏動態VPN IP分配,並且(至少我們看到的構建)缺乏嚴格必要的安全功能(驗證服務器提供的CA證書,因此客戶端不能確定另一方面某些惡意實體不冒充VPN服務器)。

哪些VPN服務支持WireGuard VPN?

以下是目前支持WireGuard或已確認他們正在測試WireGuard的VPN,目的是在協議準備就緒時支持該協議:

  • AzireVPN
  • VPN.ac
  • Mullvad
  • IVPN
  • NordVPN(仍在測試中)
  • Private Internet Access(仍在測試中)

現在我們將詳細介紹下面的每個WireGuard VPN服務。

1.AzireVPN – WireGuard服務器直播

最好的电线保护vpn

AzireVPN是一種基於瑞典的VPN服務,主要關注隱私和安全性。它自2012年開始運營,為那些想要測試WireGuard的人提供了出色的支持。

AzireVPN是WireGuard最早的採用者之一,並在其網站上有一個WireGuard部分。

我們已經開發了一個用於密鑰分發的API,並且正在考慮將WireGuard添加到我們的客戶端。目前,該協議可用於Windows,Linux,macOS,Android和運行OpenWRT的路由器,但對Windows的支持即將推出。只需註冊即可連接我們所有位置的WireGuard服務器。

注意:AzireVPN目前通過第三方TunSafe VPN客戶端支持Windows用戶。但是,目前沒有官方的WireGuard支持Windows,開發人員建議不要使用第三方客戶端:

Windows客戶端即將推出。與此同時,強烈建議您遠離未從本網站發布的Windows客戶端,因為儘管進行了營銷工作,但它們可能會使用起來很危險。

AzireVPN擁有較小的服務器網絡,但它完全由在信譽良好的數據中心運行的專用自有服務器組成。他們在邁阿密(美國),多倫多(加拿大),瑞典,西班牙和英國設有服務器。所有這些服務器位置目前都支持WireGuard,以及完整的IPv6連接。

2.VPN.ac – WireGuard服務器正常運行

vpn服务电线保护

VPN.ac是一種安全可靠的服務,位於羅馬尼亞,由網絡安全公司運營。正如我在對VPN.ac的評論中所討論的那樣,它是一個出色的全方位提供商,唯一值得注意的缺點是連接日誌(但它們每天被刪除)。

VPN.ac在他們的博客上宣布,在內部測試了WireGuard後,他們決定支持該協議。正如他們在他們的網站 (博客)上所解釋的:

最初它將在測試版中提供。由於WireGuard的設計不能使其適合我們的開箱即用基礎設施,因此實施起來有點挑戰性。我們希望實現從頭開始儘可能簡單和完整,並且完全自動化。這需要在後端方面做一些工作:API,服務器同步密鑰等等。不像啟動另一台服務器那麼容易,但絕對可行。

VPN.ac已經完成了將WireGuard完全集成到其服務中的三個階段:

  • 第1階段:設計和部署後端API
  • 第2階段:用於手動設置/第三方客戶端軟件的配置生成器的前端可用性
  • 第3階段:實施到我們的VPN客戶端應用程序

VPN.ac還提供折扣測試帳戶(請參閱常見問題解答頁面),它為您提供為期一周的完整試用訂閱,價格為2美元。

3.Mullvad – WireGuard服務器正常運行

最好用于电线保护的vpn

與AzireVPN一樣,Mullvad也位於瑞典,是一家以隱私為中心的服務。Mullvad目前支持Linux,Mac OS,Android和一些路由器上的WireGuard。除了281個OpenVPN服務器外,它們還擁有一個大型有源WireGuard服務器網絡(共49個)。

4.IVPN – WireGuard服務器現場直播

ivpn wireguard

IVPN是一種基於直布羅陀的VPN服務,具有一些出色的高級功能。看起來IVPN是第一個將WireGuard構建到自己的VPN客戶端的提供商,IVPN目前有10個WireGuard服務器位置。正如他們在他們的網站上解釋的那樣:

WireGuard可在我們的macOS,iOS和Android客戶端上使用。您還可以使用大多數Linux發行版進行連接。目前Windows不支持WireGuard。

5.其他WireGuard VPN提供商

還有一些不同的VPN服務公開聲明他們打算添加WireGuard,但尚未準備好實施。

  • NordVPN

NordVPN目前不支持WireGuard,但他們正在積極測試並準備好發布。

  • Private Internet Access

Private Internet Access是WireGuard的大力支持者,甚至捐贈給了這一事業。儘管如此,由於當前狀態和缺乏審計,它還沒有準備好觸發並向其用戶提供WireGuard,正如他們在reddit上所解釋的那樣:

WireGuard很棒,但它正在積極開發中。這意味着存在等待發現的安全漏洞,並且可能對早期採用者的VPN提供商造成嚴重後果。安全或隱私泄露是我們作為一個組織無法承擔的風險。

肯定有其他提供商正在觀看該項目並權衡將其添加到其服務中的利弊。當狀態發生變化時,我會與其他提供商更新本指南。

WireGuard的前景

考慮到WireGuard的當前狀態,隱私影響以及未經審核的事實,不建議將WireGuard用於常規使用。鑒於我們對隱私和在線匿名的關注,WireGuard固有的隱私問題是一個主要缺點。這不太可能改善,它迫使VPN服務創建某種獨特的開箱即用解決方案,使其能夠與無日誌策略一起工作,正如我們在上面看到的AzireVPN。OpenVPN不是這種情況。

儘管如此,WireGuard可能是各種用戶的理想選擇,具體取決於他們的威脅模型和特定需求。但是,目前,使用OpenVPN或IPSec進行常規使用是明智之舉。那麼WireGuard VPN的未來是什麼?

一旦WireGuard完全發布,經過審核並被清除以供常規使用,它可能會繼續受歡迎 – 假設它受到VPN用戶群的好評。隨着人氣和需求的不斷增加,您可以確信更多VPN服務將WireGuard整合到他們的基礎架構中 – 即使這會帶來一些成長的痛苦。

WireGuard很可能成為未來幾年的首選VPN協議,特別是對於厭倦了連接問題和使用現有協議加速瓶頸的移動用戶。

如果您想嘗試這種新的VPN協議,可以使用上面的一個WireGuard VPN服務測試它或者參考在Linode的Ubuntu安裝WireGuard VPN。考慮到項目的當前狀態,請務必考慮隱私和安全隱患。然而,在完全發布和審核WireGuard之前,最好堅持使用OpenVPN或IPSec進行常規使用。