it-swarm.com.de

WireGuard VPN: Wie sicher ist es für die Produktion im aktuellen Zustand?

In unserem Projekt mussten wir ein VPN erstellen, um zu Computern zu gelangen, die sich hinter NAT befinden. Ich habe es noch nie gemacht. Auf der Suche nach geeigneter Software bin ich auf WireGuard gestoßen, das angeblich sehr einfach ist.

Nach einigem Lesen konnte ich tatsächlich einen Server mit 8 Zeilen langer Konfigurationsdatei und einen Client (der hinter NAT war) mit 9 Zeilen langer Konfiguration einrichten.

Die Verbindung funktionierte perfekt in beide Richtungen. Danach möchte ich aus offensichtlichen Gründen keine Alternativen mehr ansprechen. WG ist auf dem Weg zum Mainstream-Linux-Kernel, aber noch nicht da.

Das Protokoll war formal verifiziert und technisches Whitepaper existiert ebenfalls. Allerdings sollte man sich nicht auf das Website behauptet WireGuard "verlassen".

Wie riskant ist es aus Sicht der Informationssicherheit, WG im aktuellen Zustand in der Produktion einzusetzen? Was sind mögliche Probleme?

10
user1876484

Nun, ich freue mich auch sehr über WireGuard. Es gibt bereits Android , macOS , Windows (Drittanbieter - Closed Source) und OpenBSD Clients, die zeigen, dass die Projekt haben eine solide Zukunft vor sich. Enge Integration mit ip-link scheint auch ein Bonus zu sein und die Konfiguration ist ein Kinderspiel.

Wenn Sie sich jedoch die Homepage ansehen, insbesondere den Abschnitt " About Project ", wird eine Warnung zur Verwendung in der Produktion angezeigt:

Über das Projekt

In Arbeit

WireGuard ist noch nicht vollständig. Sie sollten sich nicht auf diesen Code verlassen. Es wurden keine angemessenen Sicherheitsüberprüfungen durchgeführt, und das Protokoll kann sich noch ändern. Wir arbeiten an einer stabilen Version 1.0, aber diese Zeit ist noch nicht gekommen. Es gibt experimentelle Snapshots mit dem Tag "0.0.YYYYMMDD", diese sollten jedoch nicht als echte Releases betrachtet werden und enthalten möglicherweise Sicherheitslücken (die für CVEs nicht geeignet wären, da es sich um eine Snapshot-Software vor der Veröffentlichung handelt). Wenn Sie WireGuard verpacken, müssen Sie sich über die Schnappschüsse auf dem Laufenden halten.

Wenn Sie jedoch daran interessiert sind, mitzuhelfen, können wir Ihre Hilfe wirklich gebrauchen und freuen uns über jede Form von Feedback und Überprüfung. Derzeit gibt es eine Menge Arbeit an der Projekt-ToDo-Liste, und je mehr Leute dies testen, desto besser.

Grundsätzlich könnte dieses Projekt CVEs haben und es befindet sich in einer starken Entwicklung und einem ständigen Wandel. Vielleicht ist es nicht für Ihre Organisation geeignet. Außerdem gibt es keinen OpenSource-Windows-Client und einen Client, der auf Tun/Tap-Geräten basiert.

2
user28177

Der Text auf der Website hat sich seitdem geändert und WireGuard gilt jetzt als weitgehend stabil:

In Arbeit

Einige Teile von WireGuard arbeiten an einer stabilen Version 1.0, während andere bereits vorhanden sind. Aktuelle Snapshots haben im Allgemeinen die Version "0.0.YYYYMMDD" oder "0.0.V". Diese sollten jedoch nicht als echte Releases betrachtet werden und können Sicherheitsmängel enthalten (die für CVEs nicht geeignet wären, da es sich um eine Snapshot-Software vor der Veröffentlichung handelt). Aktuelle Versionen haben in der Regel die Version "1.x.YYYYMMDD".

2
Sedat Kapanoglu