Login
Newsletter
Werbung

Thema: Torvalds für baldige Aufnahme von WireGuard in den Kernel

18 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von schmidicom am Di, 7. August 2018 um 14:36 #

Mit IPSec hatte ich bis jetzt noch nicht wirklich zu tun aber dafür mit OpenVPN. Was habe ich geflucht bis der OpenVPN-Server für meinen Arbeitgeber endlich zufriedenstellen lief... :down:

Von daher wundert es mich nicht das eine Alternative recht schnell anklang findet und irgendwann werde ich sie gerne auch mal testen aber im Moment bleibt mal alles bei OpenVPN.

1
Von BGP neighbor am Mi, 8. August 2018 um 00:12 #

Wireguard wurde vermutlich u.A. deswegen in den Kernel aufgenommen weil es so simpel ist ~4000 Zeilen Code. Das ist minimal verglichen mit OpenSWAN oder OpenVPN. Der Vergleich zwischen beiden passt nicht ganz.

Der generelle Unterschied zwischen OpenVPN/OpenSWAN und WireGuard ist, dass WireGuard eine Art Point-to-Point Netzwerk darstellt. Erinnert ein Wenig an BGP, was nicht explizit definiert ist, wird nicht ausgeführt. Man definiert lokal eine liste von Peers (Nachbarn), tausch Schlüssel aus für die Point-to-point Verbindung. Jedes IP Packet wird lokal verschlüsselt, über das Segment geschoben. Am anderen Ende wird es entschlüsselt, geprüft ob von legitimer Quelle, dann weitergeleitet. Wenn nicht näher definiert wird das Packet gedroppt. Punkt ist jeder partizipierender Knoten muss seinem Nachbarn vertrauen. Und jeder Knoten, Peer, hat ein lokales Routing für ausgehende IP Packete, und eine ACL für ankommende IP Packete.

Alle weitern Aufgaben sollen von "anderen" Schichten gelöst werden. D.h. sollte man wireguard mit z.B. Quagga koppeln, könnte man mit ein Wenig Aufwand und Liebe zum Skripten einen Ersatz für OpenVPN oder OpenSWAN realisieren mit dynamischen IP Routing.

Weniger ist oft mehr. Und wo weniger Code ist, gibt es auch tendenziell weniger Platz für Bugs.

Gemäß RFC1925:
...
(12) In protocol design, perfection has been reached not when there
is nothing left to add, but when there is nothing left to take
away.

1
Von jpsh am Mi, 8. August 2018 um 11:53 #

... weil sie nämlich auch viel mehr können als WireGuard, welcher "nur" Layer 3-Pakete lokal ver- und auf Basis einer ACL entschlüsselt; mit Schlüsseln, bei deren vorherigem Austausch alle beteiligten Nodes bekannt sein müssen.

Das ist soviel anders als die Intentionen hinter im Titel genannter Technologien, so dass man eigentlich gar nicht miteinander vergleichen dürfte. Die einzige Schnittmenge ist wohl lediglich die bei allen diesen Technologien verschlüsselte Point-to-Point-Verbindung, wobei dies bei WireGuard das einzige Feature ist, OpenVPN, IPSec, OpenSWAN und co. jedoch noch vieeeel mehr mitbringen (Layer 2 / Bridging, IPX / WOL, Authentifizierung via Clientzertifikat und Authorisierung mit allen gängigen Authprovidern, alternativ static key usage (PSK), die dynamische Hierarchie gemäß HMAC, Explicit IV und einem Encrypted Envelope - hier ist WireGuard ja völlig statisch, plus sehe ich noch nicht, wo WireGuard eine reliability layer oder ein vergleichbares Konzept führt).

Somit ist WireGuard vermutlich für die "typische" Nutzung von VPNs sicherlich ideal weil schneller, schlanker und einfacher zu konfigurieren (was bei Krypto ja sowieso das A und O ist - die richtige Anwendung im Sinne von Integration und Konfiguration), aber sobald man im Enterprise-Bereich unterwegs ist und (sogenannte) "besonders schützenswerte Daten" kommunizieren will - möglicherweise sogar über gesetzlich stark unterschiedlich beschnittene Strecken - wird man mit WireGuard wohl schnell an technische (Skalierung) und ethische (Krypto) Grenzen gelangen.

Vermute ich zumindest alles gemäß https://git.zx2c4.com/WireGuard/tree/src/ mal.

Und ich bin mir tatsächlich nicht sicher ob ich WireGuard mit angeflanschtem Mesh, PKI und co. haben will oder ob ich eine Softwarekomponente einsetze, die das alles im Gesamten "aus einem Guss" abdeckt.

Dieser Beitrag wurde 2 mal editiert. Zuletzt am 08. Aug 2018 um 11:58.
Pro-Linux
Traut euch!
Neue Nachrichten
Werbung