Специалисты исследовательского подразделения BI.ZONE, научные сотрудники НПО «Криптониа» и сотрудник Positive Technologies разработали проект протокола Ru-WireGuard и его эталонную реализацию на Go. По сути, это вариант WireGuard, дополненный отечественными криптоалгоритмами. В частности, используется алгоритм шифрования «Кузнечик» (ГОСТ Р 34.12–2015). Все данные и исходники проекта доступны на GitHub.

WireGuard представляет собой открытое ПО для создания виртуальных частных сетей и зашифрованных тоннелей. Оно может быть альтернативой IPsec и OpenVPN. WireGuard отличается малым размером исходного кода, простотой, наличием встроенных механизмов защиты и хорошей производительностью.

«В зарубежной практике в области защищенных сетевых технологий активно внедряются реализации протокола WireGuard, поэтому мы решили разработать его отечественную версию — Ru-WireGuard, использующую российские криптографические алгоритмы», — заявил Денис Колегов, руководитель группы Security R&D BI.ZONE.

«Наша задача — создавать и внедрять как можно больше современных криптографических методов с использованием отечественных алгоритмов, поэтому мы рады итогам совместной работы с компанией BI.ZONE», – отметил генеральный директор научно-производственной компании «Криптонит» Вартан Хачатуров.

Следом за OpenBSD популярная версия VPN WireGuard появилась и во FreeBSD. Таким образом, список операционных систем с поддержкой этого протокола расширился. Финальная версия должна появиться в FreeBSD 13.

Помимо вышеназванных ОС, новинка есть также в составе Oracle Unbreakable Enterprise Kernel, свежих ядрах Linux и Windows. Также её внедрение ожидается в Android 12.

Отметим, что WireGuard позиционируется в качестве альтернативы OpenVPN и подобным решениям. В числе особенностей протокола отметим высокую производительность по сравнению с другими, простоту настройки, использование современных методов криптографии, а также качественный и быстрый код. Многие уже называют систему лучшим решением для виртуальных частных сетей.

Напомним, что ранее поддержка WireGuard появилась в бета-версии MikroTik RouterOS 7.1. А в нашей статье вы можете прочитать, как можно настроить систему для использования этого VPN c роутерами Keenetic.

В последней бета-версии RouterOS 7.1b2, которая вышла вчера, разработчики MikroTik добавили долгожданную поддержку Wireguard. Использована эталонная реализация 1.0.0 из ядра Linux 5.6. Для настройки пока можно использовать только CLI, так как в Winbox доступны не все параметры.

Wireguard, напомним, является современной, созданной с нуля реализацией VPN, которая отличается простотой настройки и высоким уровнем защиты. Вместе с тем она достаточно легковесна и имеет высокую производительность, что позволяет использовать её в относительно маломощных системах, включая SOHO и SMB-маршрутизаторы.

Например, есть официальные сборки для OpenWRT и Ubiquiti EdgeOS. А в роутерах Keenetic с прошивкой 3.3 и старше есть встроенная поддержка Wireguard — ранее мы уже рассматривали процесс настройки роутера и клиентов, а также создание собственного VPN-сервера в облаке.

Intel представила релиз сетевого конфигуратора ConnMan под номером 1.38. В этой версии появилась поддержка WireGuard VPN, что согласуется с его появлением в ядре Linux 5.6, и улучшена работа фирменного беспроводного Wi-Fi демона Intel IWD, который должен стать альтернативой wpa_supplicant. Помимо этого, были исправлены некоторые проблемы, касающиеся поддержки VPN/OpenVPN. 

Сферой применения ConnMan называют встраиваемые и легковесные Linux-системы, где критичным являются малые накладные расходы и нагрузка на систему. 

pixabay.com

ConnMan является полностью модульной системой, функциональность которой гибко расширяется с помощью плагинов. Поддерживаются технологии Ethernet, Wi-Fi, Bluetooth, 2G/3G/4G, ряд VPN и другие привычные сетевые решения. 

Система базируется на наработках Intel и Nokia — первоначально конфигуратор создавали для ОС MeeGo. Затем его использовали для платформ Tizen, Jolla/Sailfish и других. ConnMan может использоваться в качестве альтернативы NetworkManager и применяется вместо него в ряде дистрибутивов, в том числе десктопных, по умолчанию. 

Новинку уже можно скачать на официальном сайте Kernel.org.

Модуль VPN WireGuard будет по умолчанию доступен в составе ядра Linux 5.6. Исходный код уже добавлен в net-next, а для более ранних версий ядра доступен новый выпуск модуля out-of-tree.

На данный момент актуальная версия WireGuard имеет номер 0.0.20191219, однако после выхода ядра Linux 5.6 нумерация изменится на схему v1.0.X. при этом обещана обратная совместимость с текущими версиями и старыми ядрами, начиная с Linux 3.10.

arstechnica.com

Всё это позволит обеспечивать безопасность без подключения дополнительных модулей и установки сторонних приложений. WireGuard, отметим, выбран за малый размер и высокую скорость, а также прекрасный уровень безопасности. Правда, при наличии уязвимости в Unix-системах, защита собственно канала не спасёт. 

Отметим, что по данным ресурса ArsTechnica, WireGuard может появиться уже в Ubuntu 20.04 LTS, хотя это пока лишь слухи. Впрочем, при наличии поддержки старых ядер, это выглядит довольно-таки вероятным событием. Напомним, что сервис для запуска VPN доступен под все актуальные настольные и мобильные платформы.