CHƯƠNG 2: GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD
2.1. Giới thiệu chung về giao thức mạng riêng ảo WireGuard
VPN (Virtual Private Network - mạng riêng ảo) cho phép người dùng tạo một đường hầm (tunnel) để kết nối với một mạng khác trên Internet. VPN rất thích hợp khi các người dùng muốn sử dụng Internet với mục đích riêng tư, ngăn chặn việc kiểm tra truy cập của ISP - nhà cung cấp dịch vụ mạng, hay là người dùng truy cập Wifi trong quán cafe mà vẫn muốn riêng tư, hay với một điều khác là người dùng ngồi tại công ty nhưng muốn lấy dữ liệu từ ổ cứng ở nhà người dùng.
Tuy nhiên, trong gần hai năm trở lại đây, ngoài cái tên OpenVPN, IPSec thì một cái tên mới khác đã xuất hiện đó là Wireguard được đánh giá nhanh, mạnh hơn và cách lựa chọn mật mã của nó cũng an toàn hơn.
Sau đây ta sẽ tìm hiểu về giao thức VPN khá mới mẻ này.
2.1.1. Định nghĩa
WireGuard là một VPN đơn giản và hiện đại với các thuật toán mật mã hiện đại. Nó nhanh hơn, dễ cấu hình hơn và hiệu suất cao hơn các giải pháp tương tự khác, chẳng hạn như IPsec và OpenVPN .
WireGuard là nền tảng chéo và có thể chạy trên hầu hết mọi hệ điều hành, bao gồm cả Linux, Windows, Android và macOS. Wireguard là một VPN ngang hàng; nó không dựa trên mô hình máy khách‒máy chủ. Tùy thuộc vào cấu hình của Wireguard, một máy ngang hàng có thể hoạt động như một máy chủ hoặc máy khách truyền thống.
WireGuard hoạt động bằng cách tạo giao diện mạng trên mỗi thiết bị ngang hàng hoạt động như một đường hầm. Các bên tham gia sẽ xác thực lẫn
nhau bằng cách trao đổi và xác thực các khóa công khai, tương tự mô hình SSH. Các khóa công khai được ánh xạ với một danh sách các địa chỉ IP được phép trong đường hầm. Lưu lượng VPN được gói gọn trong UDP.
Wireguard sử dụng thuật toán ChaCha20 để mã hóa. Một cuộc kiểm toán dành cho Wireguard vào tháng 6 năm 2019 cho thấy không có lỗi bảo mật nghiêm trọng nào. Tuy nhiên, các kiểm toán viên đã chỉ ra rằng giao thức bảo mật này đã cho thấy sự cải thiện. Điều này chắc chắn là một trong những lý do khiến các nhà phát triển giao thức chưa đưa ra một bản phát hành ổn định. Tuy nhiên, rất quan trọng để nhấn mạnh rằng Wireguard vẫn đang được phát triển rất nhiều cho đến nay, và do đó nó nên được coi là một giao thức thử nghiệm.
Hình 2. 1: Biểu tượng Wireguard
2.1.2. Lịch sử hình thành và phát triển
Những hình ảnh đầu tiên về giao thức Wireguard được xuất hiện từ ngày 30 tháng 6 năm 2016. Bốn đơn vị đầu tiên chấp nhận WireGuard là các nhà cung cấp dịch vụ VPN Mullvad, AzireVPN, IVPN và cryptostorm. WireGuard đã nhận được sự đóng góp từ Mullvad, Private Internet Access, IVPN, NLnet Foundation và bây giờ cũng từ OVPN.
Từ tháng 6 năm 2018, các nhà phát triển của WireGuard khuyên nên coi giao thức này là thử nghiệm và lưu ý rằng họ chưa đạt được bản phát hành ổn định tương thích với việc theo dõi CVE của bất kỳ lỗ hổng bảo mật nào có thể được phát hiện.
Ngày 9 tháng 12 năm 2019, David Miller ‒ người bảo trì chính Linux ‒ đã chấp nhận các bản vá của WireGuard vào khung bảo trì "net‒next", để đưa vào hạt nhân sắp tới.
Ngày 28 tháng 1 năm 2020, Linus Torvalds đã hợp nhất khung bảo trì "net‒ next" của David Miller và WireGuard để đưa vào khung nhân Linux dòng chính.
Ngày 20 tháng 3 năm 2020, các nhà phát triển Debian đã kích hoạt các tùy chọn xây dựng mô‒đun cho WireGuard trong cấu hình hạt nhân của họ cho phiên bản Debian 11 (đang thử nghiệm).
Ngày 29 tháng 3 năm 2020, WireGuard đã được hợp nhất vào khung phát hành Linux 5.6. Phiên bản Windows của phần mềm vẫn ở giai đoạn thử nghiệm. Ngày 30 tháng 3 năm 2020, các nhà phát triển Android đã thêm hỗ trợ hạt nhân gốc cho WireGuard trong hạt nhân chung của họ.
Ngày 22 tháng 4 năm 2020, nhà phát triển NetworkManager Beniamino Galvani đã hợp nhất hỗ trợ GUI cho WireGuard.
Ngày 12 tháng 5 năm 2020, Matt Dunwoodie đề xuất các bản vá để hỗ trợ hạt nhân gốc của WireGuard trong OpenBSD.
Ngày 22 tháng 6 năm 2020, sau công việc của Matt Dunwoodie và Jason A. Donenfeld, OpenBSD đã bổ sung thêm WireGuard.
Ngày 23 tháng 11 năm 2020, Jason A. Donenfeld đã phát hành bản cập nhật gói Windows cải thiện cài đặt, ổn định, hỗ trợ ARM và các tính năng dành cho doanh nghiệp.
Ngày 29 tháng 11 năm 2020, WireGuard đã được nhập vào hạt nhân FreeBSD 13.
Ngày 19 tháng 1 năm 2021, WireGuard đã được thêm vào để xem trước trong ảnh chụp nhanh phát triển pfSense Community Edition (CE) 2.5.0.
Vào tháng 3 năm 2021, hỗ trợ WireGuard ở chế độ hạt nhân đã bị xóa khỏi FreeBSD 13.0, vẫn đang trong quá trình thử nghiệm, sau khi quá trình dọn dẹp mã khẩn cấp trong FreeBSD WireGuard không thể hoàn thành nhanh chóng. Phiên bản cộng đồng pfSense (CE) 2.5.0 và pfSense Plus 21.02 dựa trên FreeBSD cũng đã loại bỏ WireGuard dựa trên hạt nhân.
2.1.3. Mục đích sử dụng giao thức mạng riêng ảo WireGuard
Ngoài việc là một nền tảng chéo, một trong những điểm cộng lớn nhất của WireGuard là dễ triển khai. Việc cấu hình và triển khai WireGuard dễ dàng như cấu hình và sử dụng SSH.
WireGuard ra đời nhằm mục đích cung cấp triển khai mạng riêng ảo đơn giản và hiệu quả. Một đánh giá năm 2018 của Ars Technica đã cho thấy rằng các công nghệ VPN phổ biến như OpenVPN và IPsec thường phức tạp trong thiết lập, ngắt kết nối dễ dàng (trong trường hợp không có cấu hình thêm), mất nhiều thời gian để thương lượng kết nối lại, có thể sử dụng mật mã lỗi thời và tương đối lớn cơ sở mã của hơn 400.000 và 600.000 dòng mã, tương ứng, cản trở việc gỡ lỗi.
Thiết kế của WireGuard tìm cách giảm thiểu những vấn đề này, nhằm mục đích làm cho đường hầm an toàn hơn và dễ quản lý hơn theo mặc định. Bằng cách sử dụng phiên bản của các gói mật mã, nó tập trung vào các thuật toán mật mã được cho là một trong những phương pháp mã hóa an toàn nhất hiện tại và tại thời điểm đánh giá của Ars Technica, có cơ sở mã khoảng 4000 dòng mã hạt nhân, khoảng 1% của OpenVPN hoặc IPsec, giúp kiểm tra bảo mật dễ dàng hơn. WireGuard được người sáng tạo nhân Linux Linus Torvalds ca ngợi , người đã so sánh nó với OpenVPN và IPsec như một "tác phẩm nghệ thuật". Ars
Technica báo cáo rằng trong quá trình thử nghiệm, WireGuard dễ dàng tạo các
đường hầm ổn định được so với các sản phẩm thay thế khác và nhận xét rằng sẽ "khó quay lại" vì độ trễ kết nối lại quá lâu so với các kết nối lại tức thì của WireGuard.
Thượng nghị sĩ Ron Wyden của Oregon đã khuyến nghị với Viện tiêu chuẩn và công nghệ quốc gia (NIST) rằng họ đánh giá WireGuard như một sự thay thế cho các công nghệ hiện có như IPsec và OpenVPN .