在我们的项目中,我们必须构建一个 VPN 来连接位于 NAT 后面的计算机。我以前从来没有这样做过。在寻找合适的软件时,我遇到了声称非常简单的WireGuard 。
经过一番阅读,我确实能够设置一个具有 8 行长配置文件的服务器和一个具有 9 行长配置的客户端(位于 NAT 后面)。
该链接在两个方向上都完美运行。在那之后,出于明显的原因,我不想触及任何替代方案。WG 正在走向主流 Linux 内核,但还没有。
该协议已经过正式验证,并且还存在技术白皮书。然而,该网站声称不应“依赖”WireGuard。
从信息安全的角度来看,在当前状态下在生产中使用 WG 有多大风险?什么是潜在的麻烦?
更新:截至 2020 年,WireGuard 位于主流 Linux 内核中,因此已做好生产准备。
好吧,我实际上也对 WireGuard 感到兴奋。已经有Android、macOS、Windows(第三方 - 封闭源代码)和OpenBSD客户端,表明该项目有一个坚实的未来。紧密集成ip-link也似乎是一个好处,配置是不费吹灰之力的。
但是如果你看一下主页,特别是“关于项目”部分,你会看到一个关于在生产中使用它的警告:
关于该项目
工作正在进行中
WireGuard 尚未完成。您不应依赖此代码。它没有经过适当程度的安全审计,协议仍有可能发生变化。我们正在努力发布一个稳定的 1.0 版本,但那个时候还没有到来。有标记为“0.0.YYYYMMDD”的实验性快照,但这些不应被视为真实版本,它们可能包含安全漏洞(不符合 CVE 的条件,因为这是预发布的快照软件)。如果要打包 WireGuard,则必须及时更新快照。
但是,如果您有兴趣提供帮助,我们真的可以使用您的帮助,我们随时欢迎任何形式的反馈和审查。目前在项目待办事项列表上有相当多的工作要做,而且测试的人越多越好。
基本上,这个项目可能有 CVE,并且正在大力开发和不断变化。也许它不适合您的组织。此外,没有开源 Windows 客户端,以及依赖于 tun/tap 设备的客户端。
此后,网站上的文字发生了变化,WireGuard 现在被认为基本稳定:
工作正在进行中
WireGuard 的某些部分正致力于稳定的 1.0 版本,而其他部分已经存在。当前快照的版本通常为“0.0.YYYYMMDD”或“0.0.V”,但这些不应被视为真正的版本,并且它们可能包含安全怪癖(不符合 CVE 的条件,因为这是预发布的快照软件)。当前版本的版本通常为“1.x.YYYYMMDD”。