WireGuard VPN: quanto è sicuro per la produzione nel suo stato attuale?

6

Nel nostro progetto abbiamo dovuto creare una VPN per passare ai computer che risiedono dietro NAT. Non l'ho mai fatto prima. Durante la ricerca di un software adatto mi sono imbattuto in WireGuard che ha affermato di essere molto semplice.

Dopo qualche lettura sono stato in grado di impostare un server con un file di configurazione lungo 8 righe e un client (che era dietro NAT) con 9 righe di configurazione lunga.

Il collegamento funzionava perfettamente in entrambe le direzioni. Dopodiché, per ovvi motivi, non voglio toccare nessuna alternativa. WG sta per arrivare al kernel Linux mainstream, ma non è ancora lì.

Il protocollo era Esiste anche una verifica formale e whitepaper tecnico . Tuttavia, le rivendicazioni del sito web WireGuard non devono essere "invocate".

Quanto è rischioso, dal punto di vista della sicurezza delle informazioni, utilizzare WG in produzione nel suo stato attuale? Quali sono i potenziali problemi?

    
posta user1876484 07.04.2018 - 23:13
fonte

1 risposta

2

Bene, sono davvero entusiasta di WireGuard. Esistono già Android , macOS , Windows (terza parte - fonte chiusa) e i OpenBSD dei clienti, a dimostrazione del fatto che il progetto ha un futuro solido. Anche la stretta integrazione con ip-link sembra un bonus e la configurazione è un gioco da ragazzi.

Ma se dai un'occhiata alla pagina iniziale, in particolare alla sezione " Informazioni sul progetto ", vedere un avvertimento sull'utilizzo in produzione:

About The Project

Work in Progress

WireGuard is not yet complete. You should not rely on this code. It has not undergone proper degrees of security auditing and the protocol is still subject to change. We're working toward a stable 1.0 release, but that time has not yet come. There are experimental snapshots tagged with "0.0.YYYYMMDD", but these should not be considered real releases and they may contain security vulnerabilities (which would not be eligible for CVEs, since this is pre-release snapshot software). If you are packaging WireGuard, you must keep up to date with the snapshots.

However, if you're interested in helping out, we could really use your help and we readily welcome any form of feedback and review. There's currently quite a bit of work to do on the project todo list, and the more folks testing this out, the better.

Fondamentalmente questo progetto potrebbe avere CVE ed è in pesante sviluppo e costante cambiamento. Forse non è adatto alla tua organizzazione. Inoltre, nessun client Windows opensource e un client che si affida a tun / tap device kludge.

    
risposta data 28.05.2018 - 22:56
fonte

Leggi altre domande sui tag