WireGuard VPN: ¿qué tan seguro es para la producción en su estado actual?

Navega tus respuestas
6

En nuestro proyecto tuvimos que construir una VPN para llegar a las computadoras que residen detrás de NAT. Nunca lo hice antes. Mientras buscaba el software adecuado, me topé con WireGuard que decía ser muy simple.

Después de leer , de hecho, pude configurar un servidor con un archivo de configuración de 8 líneas y un cliente (que estaba detrás de NAT) con una configuración de 9 líneas.

El enlace funcionó perfectamente en ambas direcciones. Después de eso, por razones obvias, no quiero tocar ninguna alternativa. WG está en camino hacia el núcleo de Linux, pero aún no está allí.

El protocolo era También se ha verificado formalmente y documento técnico técnico . Sin embargo, las reclamaciones del sitio web WireGuard no deben "confiarse en".

¿Qué tan arriesgado es, desde el punto de vista de la seguridad de la información, usar WG en producción en su estado actual? ¿Qué son los problemas potenciales?

    
pregunta user1876484 07.04.2018 - 23:13
fuente

1 respuesta

2

Bueno, en realidad estoy entusiasmado con WireGuard también. Ya hay Android , macOS , Windows (tercero, fuente cerrada) y OpenBSD clientes, lo que demuestra que el proyecto tiene un futuro sólido por delante. La estrecha integración con ip-link también parece ser una ventaja, y la configuración es sencilla.

Pero si echa un vistazo a la página de inicio, especialmente la sección " Acerca del Proyecto ", lo hará vea una advertencia sobre su uso en producción:

  

Acerca del proyecto

     

Trabajo en curso

     

WireGuard aún no está completo. No debes confiar en este código. Eso   no ha sido sometido a los grados adecuados de auditoría de seguridad y el protocolo   Todavía está sujeto a cambios. Estamos trabajando hacia una versión estable de 1.0,   Pero ese momento aún no ha llegado. Hay instantáneas experimentales.   etiquetado con "0.0.YYYYMMDD", pero estos no deben considerarse reales   versiones y pueden contener vulnerabilidades de seguridad (lo que   no ser elegible para CVE, ya que esta es una instantánea previa al lanzamiento   software). Si está enviando WireGuard, debe mantenerse al día.   con las instantáneas.

     

Sin embargo, si está interesado en ayudar, realmente podríamos usar su   Ayuda y damos la bienvenida a cualquier forma de retroalimentación y revisión. Hay   Actualmente hay bastante trabajo por hacer en la lista de tareas pendientes del proyecto, y   Más gente probando esto, mejor.

Básicamente, este proyecto podría tener CVE y se encuentra en un gran desarrollo y cambio constante. Tal vez no sea adecuado para su organización. Además, no hay un cliente de Windows de código abierto, y un cliente que se basa en los dispositivos tun / tap kludge.

    
respondido por el nwildner 28.05.2018 - 22:56
fuente

Lea otras preguntas en las etiquetas

¿Telegram depende de una clave raíz de CA? ¿Es noreferrer suficiente para asegurar los enlaces?