CHƯƠNG 2: GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD
2.2. Đặc điểm của giao thức mạng riêng ảo WireGuard
2.2.1. Mô hình của giao thức mạng riêng ảo WireGuard
Hình 2. 2: Các dạng kết nối chính
Hình 2. 3: Mô hình kết nối cơ bản sử dụng Wireguard
Mô hình tổng quan của VPN Wireguard bao gồm: – VPS Ubuntu 16.04 (x64) làm máy chủ VPN (Cổng).
– Giao diện kết nối Internet trên máy chủ là eth0. – Máy tính Ubuntu 16.04 (x64) làm máy khách.
– Địa chỉ 10.200.200.1/24 làm IP giao diện cho máy chủ VPN. – Địa chỉ 10.200.200.2/24 làm IP giao diện cho máy khách VPN.
Trình phân giải DNS không liên kết để tăng cường bảo mật
2.2.2. Tính bảo mật của mạng riêng ảo dựa trên WireGuard
WireGuard có lợi thế là dễ dàng cấu hình và triển khai như SSH. Kết nối VPN được thực hiện đơn giản bằng cách trao đổi các khóa công khai rất đơn giản ‒ giống hệt như trao đổi khóa SSH ‒ và tất cả phần còn lại được WireGuard xử lý minh bạch. Nó thậm chí có khả năng chuyển vùng giữa các địa chỉ IP, giống như Mosh. Không cần phải quản lý các kết nối, quan tâm đến trạng thái, quản lý daemon hoặc lo lắng về những gì đang ẩn. WireGuard có một giao diện rất cơ bản nhưng mạnh mẽ.
WireGuard sử dụng mật mã hiện đại, như các thuật toán: Noise, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF và bảo mật các cấu trúc đáng tin cậy. Nó đưa ra những lựa chọn thận trọng và hợp lý và đã được các nhà mật mã học xem xét.
WireGuard đã được thiết kế với mục đích dễ thực hiện và đơn giản. Điều đó có nghĩa là dễ dàng thực hiện trong rất ít dòng mã và dễ dàng kiểm tra các lỗ hổng bảo mật. So với những người khổng lồ như * Swan/IPsec hoặc OpenVPN/ OpenSSL, trong đó việc kiểm tra các cơ sở mã khổng lồ là một nhiệm vụ quá sức ngay cả đối với các nhóm chuyên gia bảo mật lớn, WireGuard giúp cho một cá nhân có thể xem xét một cách toàn diện.
2.2.3. Khả năng mở rộng của giao thức
VPN WireGuard là một phần mềm để tạo một mạng riêng ảo (VPN) cấu hình đơn giản , rất nhanh (nhanh hơn IPsec và OpenVPN) và sử dụng các thuật toán mật mã hiện đại theo mặc định, không cần phải chọn giữa các thuật toán mã hóa đối xứng, không đối xứng và băm khác nhau. Mục tiêu của WireGuard VPN là trở thành một tiêu chuẩn và để nhiều người dùng và doanh nghiệp có thể sử
dụng nó, thay vì sử dụng IPsec hoặc OpenVPN khó cấu hình và chậm hơn. Phần mềm này được thiết kế để được sử dụng bởi tất cả các đối tượng, cho cả người dùng gia đình và siêu máy tính.
Với VPN WireGuard, không cần thiết phải quản lý các kết nối, lo lắng về trạng thái của mạng riêng ảo, quản lý các quy trình hoặc biết những gì bên dưới phần mềm để làm cho nó hoạt động. Một điểm mạnh khác của nó là cấu hình cực kỳ cơ bản, nhưng rất mạnh mẽ.
VPN mới này lần đầu tiên được phát hành cho Linux Kernel, nhưng nó là nền tảng, vì tương thích với Windows, Linux, MacOS, FreeBSD, Android và các hệ điều hành iOS. Một trong những điểm mạnh của phần mềm này là cấu hình máy khách và máy chủ hoàn toàn giống nhau trong các hệ điều hành khác nhau, sử dụng cùng một cú pháp, do đó người dùng có thể định cấu hình máy chủ và máy khách trong Linux, sau đó chuyển qua cấu hình cho các thiết bị khác với hệ điều hành khác bên trong.
Với các giao thức IPsec và OpenVPN, cả hai máy khách và máy chủ thỏa thuận các giao thức mã hóa được sử dụng, cả trong giai đoạn một và giai đoạn hai (của IPsec) và trong kênh điều khiển và dữ liệu (của OpenVPN ), nếu không, kết nối sẽ không được thiết lập chính xác. Nếu tại một thời điểm, một trong các giao thức mã hóa được sử dụng bởi VPN này được coi là không an toàn, thì việc khởi chạy phiên bản thứ hai của WireGuard với một giao thức mới không có lỗ hổng bảo mật và giữa máy khách và máy chủ sẽ dễ dàng chỉ ra rằng sử dụng phiên bản 2 XNUMX, là hoàn toàn minh bạch.
Một chi tiết rất quan trọng khác là VPN này sử dụng một mã nguồn rất nhỏ. Có rất ít dòng mã so với StrongSwan hoặc OpenVPN, vì vậy việc kiểm toán có thể được thực hiện trong một thời gian rất ngắn, cũng sẽ dễ dàng tìm thấy các lỗ hổng bảo mật hơn. Với ít dòng mã hơn, số lượng cuộc tấn công có thể xảy ra đối với lập trình VPN cũng nhỏ hơn.