WireGuard VPN:現在の状態での生産に対してどれくらい安全ですか?
私たちのプロジェクトでは、NATの背後にあるコンピューターにアクセスするためのVPNを構築する必要がありました。今までやったことはありません。適切なソフトウェアを探しているときに、私は偶然に遭遇しました WireGuard これは非常に単純であると主張しました。
reading の後、8行の構成ファイルでサーバーを設定し、9行の構成でクライアント(NATの背後にある)を設定することができました。
リンクは両方向に完全に機能しました。その後、明らかな理由により、私は他の選択肢に触れたくありません。 WGは主流のLinuxカーネルに向かっていますが、まだありません。
プロトコル は 正式に検証済み で、 テクニカルホワイトペーパー も存在していました。ただし、 ウェブサイトの主張 WireGuardを「信頼する」べきではありません。
情報セキュリティの観点から、WGを現在の状態で本番環境で使用することはどのくらいリスクがありますか?潜在的な問題は何ですか?
さて、私は実際にWireGuardにも興奮しています。 Android 、 macOS 、 Windows (サードパーティ-クローズドソース)および OpenBSD クライアントがすでに存在し、プロジェクトには確かな未来があります。 ip-linkとの緊密な統合もおまけのようで、設定は簡単です。
しかし、ホームページ、特に " About Project "セクションを見ると、本番環境での使用に関する警告が表示されます。
プロジェクトについて
進行中の作業
WireGuardはまだ完全ではありません。このコードに依存しないでください。適切な程度のセキュリティ監査を受けておらず、プロトコルは変更される可能性があります。安定した1.0リリースに向けて取り組んでいますが、その時はまだ来ていません。 「0.0.YYYYMMDD」のタグが付いた実験的なスナップショットがありますが、これらは実際のリリースとは見なされず、セキュリティの脆弱性が含まれている可能性があります(これはプレリリースのスナップショットソフトウェアであるため、CVEの対象にはなりません)。 WireGuardをパッケージ化している場合は、スナップショットを最新の状態に保つ必要があります。
しかし、あなたが手助けに興味があるなら、私たちは本当にあなたの助けを使うことができ、どんな形のフィードバックやレビューもすぐに歓迎します。現在、プロジェクトのToDoリストについてはかなりの作業が必要であり、これをテストする人が多いほど良い結果が得られます。
基本的に、このプロジェクトにはCVEが含まれる可能性があり、大幅な開発と常に変更が加えられています。多分それはあなたの組織に適していません。また、オープンソースのWindowsクライアントはなく、tun/tapデバイスに依存するクライアントは手間がかかります。
その後、ウェブサイトのテキストは変更され、WireGuardはほぼ安定したものと見なされます。
進行中の作業
WireGuardの一部は、安定した1.0リリースに向けて取り組んでいますが、他の一部はすでにそこにあります。現在のスナップショットのバージョンは通常「0.0.YYYYMMDD」または「0.0.V」ですが、これらは実際のリリースとは見なされず、セキュリティの癖が含まれている可能性があります(これはプレリリースのスナップショットソフトウェアであるため、CVEの対象にはなりません)。現在のリリースのバージョンは通常「1.x.YYYYMMDD」です。