WireGuard VPN: est-il sûr pour la production dans son état actuel?
Dans notre projet, nous avons dû créer un VPN pour accéder aux ordinateurs résidant derrière NAT. Je ne l'ai jamais fait auparavant. En cherchant un logiciel approprié, je suis tombé sur WireGuard qui prétendait être très simple.
Après quelques lecture j'ai en effet pu installer un serveur avec un fichier de configuration de 8 lignes et un client (qui était derrière NAT) avec une configuration de 9 lignes.
Le lien fonctionnait parfaitement dans les deux sens. Après cela, pour des raisons évidentes, je ne veux toucher à aucune alternative. WG est en route vers le noyau Linux traditionnel, mais il n'est pas encore là.
Le protocole était officiellement vérifié et livre blanc technique existe également. Cependant, le revendications du site Web WireGuard ne doit pas être "invoqué".
Dans quelle mesure est-il risqué, du point de vue de la sécurité de l'information, d'utiliser le GT en production dans son état actuel? Quels sont les problèmes potentiels?
Eh bien, je suis aussi très excité à propos de WireGuard. Il existe déjà Android , macOS , Windows (tiers - source fermée) et OpenBSD clients, montrant que le projet ont un avenir solide à venir. Intégration étroite avec ip-link semble également un bonus et la configuration est une évidence.
Mais si vous jetez un œil à la page d'accueil, en particulier à la section " À propos du projet ", vous verrez un avertissement concernant son utilisation en production:
À propos du projet
Travail en cours
WireGuard n'est pas encore terminé. Vous ne devez pas vous fier à ce code. Il n'a pas subi les degrés appropriés d'audits de sécurité et le protocole est toujours sujet à changement. Nous travaillons vers une version 1.0 stable, mais ce moment n'est pas encore venu. Il existe des instantanés expérimentaux marqués avec "0.0.YYYYMMDD", mais ceux-ci ne doivent pas être considérés comme de véritables versions et ils peuvent contenir des failles de sécurité (qui ne seraient pas éligibles pour les CVE, car il s'agit d'un logiciel d'instantanés de pré-version). Si vous conditionnez WireGuard, vous devez vous tenir à jour avec les instantanés.
Cependant, si vous êtes intéressé à aider, nous pourrions vraiment utiliser votre aide et nous accueillons volontiers toute forme de rétroaction et d'examen. Il y a actuellement pas mal de travail à faire sur la liste des tâches du projet, et plus il y a de gens qui testent cela, mieux c'est.
Fondamentalement, ce projet pourrait avoir des CVE et il est en plein développement et en constante évolution. Peut-être que cela ne convient pas à votre organisation. En outre, aucun client Windows open source et un client qui repose sur les appareils tun/tap kludge.
Le texte sur le site Web a depuis changé et WireGuard est désormais considéré comme essentiellement stable:
Travail en cours
Certaines parties de WireGuard travaillent vers une version 1.0 stable, tandis que d'autres sont déjà là. Les instantanés actuels sont généralement versionnés "0.0.YYYYMMDD" ou "0.0.V", mais ceux-ci ne doivent pas être considérés comme de véritables versions et ils peuvent contenir des bizarreries de sécurité (qui ne seraient pas éligibles pour les CVE, car il s'agit d'un logiciel d'instantanés de pré-version). Les versions actuelles sont généralement versionnées "1.x.YYYYMMDD".