- PVSM.RU - https://www.pvsm.ru -

Новый открытый VPN-протокол — на что обратить внимание

Большинство VPN-провайдеров для построения сервисов использует стандартные решения вроде OpenVPN и IKEv2. Однако малая их часть выбирает другой путь и разрабатывает собственные протоколы — одним из них стал Lightway. В статье обсуждаем его возможности, достоинства, недостатки и безопасность.

Unsplash / Dayne Topkin
Unsplash / Dayne Topkin

Что «под капотом»

Lightway разработал VPN-провайдер ExpressVPN, который в начале августа передал [1] исходники в open source под лицензией GPLv2 [2]. По словам авторов, они хотели сделать легкий и производительный протокол, поэтому использовали язык программирования C и реализовали только необходимые функции безопасности — объем кодовой базы составил примерно [3] две тысячи строк. Lightway совместим с Linux, Windows, macOS, мобильными платформами и маршрутизаторами (Netgear, Linksys).

В основе нового протокола лежит криптографическая библиотека wolfSSL [4]. Она соответствует стандарту компьютерной безопасности FIPS 140-2 [5], который разрабатывает институт NIST [6] в США, и уже нашла применение в «боевых» криптографических задачах. Например, её используют разработчики IoT-систем [7] и производители GPRS-терминалов [8]. Первые шифруют данные в устройствах умного дома, а вторые — реализуют интерфейсы типа machine-to-machine (M2M [9]).

При передаче данных Lightway использует UDP, а для установления защищенного канала связи — DTLS [10]. В то же время протокол может работать поверх TCP и TLS 1.3. Для обмена ключами разработчики использовали [11] механизм Диффи-Хеллмана на эллиптических кривых (ECDH [12]). Обмен происходит каждые 15 минут или при переключении сети. Если по какой-то причине использовать ECDH невозможно, система обращается к классическому протоколу Диффи — Хеллмана (DH [13]).

Lightway не привязывает [14] ключи к внутренним IP-адресам (как это делают некоторые VPN-протоколы), и пользователи получают новый адрес при каждом переподключении — в теории такой подход повышает приватность.

Перспективы и критика

Протокол обладает высокой производительностью, и по оценкам разработчиков, в 2,5 раза быстрее [15] конкурентов — OpenVPN, IKEv2, PPTP и SSTP. Но справедливости ради стоит отметить, что авторы не раскрыли критерии и условия тестирования. В связи с этим к указанному показателю стоит относиться с долей скептицизма.

В то же время разработчики говорят, что кодовая база протокола меньше, чем у других популярных решений, и её проще проверять на ошибки. Хотя один из резидентов Hacker News в тематическом треде отметил [16] некоторые непостоянства в структурировании кода, что немного мешает оценить его качество.

Однако в начале лета код прошел [1] независимый аудит безопасности — его провели специалисты из Cure53, оценившие реализацию NTP-протокола NTPsec [17] и свободный IMAP-сервер Dovecot [18]. Проект получил высокий балл, хотя эксперты обнаружили уязвимости (стр.3 [19]), открывающие возможности для DoS [их сразу устранили]. Ряд недостатков связали со сторонними библиотеками и компонентами — например, была уязвимость CVE-2020-3336 [20] в WolfSSL, позволяющая злоумышленникам проводить MITM-атаки [в середине июня разработчики выпустили [4] для неё патч].

Unsplash / Jon Moore
Unsplash / Jon Moore

Ряд ИБ-специалистов среди потенциальных недостатков также выделяет отсутствие обфускации. Так, интернет-провайдер, в сети которого работает Lightway, может понять, что клиент использует VPN-подключение. В любом случае это довольно молодой протокол, поэтому может пройти еще какое-то время, прежде чем недостатки устранят. Разработчики приглашают поучаствовать всех желающих — свои предложения и «пул-реквесты» можно оставлять [21] на GitHub.

Кто еще

К относительно новым VPN-протоколам можно отнести WireGuard. Это — VPN-туннель, разработка которого идет с 2016 года. Он использует [22] алгоритмы ChaCha20 и Poly1305, а его пропускная способность в четыре раза выше [23], чем у OpenVPN.

В начале прошлого года его даже включили [24] в ядро Linux. Однако авторы отмечают [25], что WireGuard — экспериментальный протокол и работа с ним несет определенные риски. Например, он сохраняет подключённые IP-адреса на сервере, что отрицательно влияет на приватность. Потенциальным проблемам, связанным с ним, даже была посвящена отдельная большая статья на Хабре [26].

Хотя сегодня многие VPN-провайдеры нашли способы [27] борьбы с этими недостатками и постепенно внедряют WireGuard в свои сервисы. Возможно, в будущем он и Lightway найдут более широкое применение, если на их развитии не отразится желание регуляторов ввести [28] ограничения на работу с end-to-end шифрованием.

Почитать о протоколах:

И работе интернет-провайдеров:

Автор: VAS Experts

Источник [35]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/vpn/367428

Ссылки в тексте:

[1] передал: https://www.expressvpn.com/blog/lightway-open-source-security-audit/

[2] GPLv2: https://www.gnu.org/licenses/old-licenses/gpl-2.0.html

[3] примерно: https://www.techadvisor.com/news/vpn/expressvpn-lightway-3807320/

[4] wolfSSL: https://www.wolfssl.com/docs/wolfssl-changelog/

[5] FIPS 140-2: https://ru.wikipedia.org/wiki/FIPS_140-2

[6] NIST: https://en.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology

[7] разработчики IoT-систем: https://www.wolfssl.com/files/casestudy/casestudy_wolfssl_insteon.pdf

[8] производители GPRS-терминалов: https://www.wolfssl.com/files/casestudy/casestudy_yassl_cinterion.pdf

[9] M2M: https://en.wikipedia.org/wiki/Machine_to_machine

[10] DTLS: https://ru.wikipedia.org/wiki/DTLS

[11] использовали: https://blog.flashrouters.com/2021/03/02/meet-lightway-the-newest-vpn-protocol-from-expressvpn/

[12] ECDH: https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%25E2%2580%2593Hellman

[13] DH: https://en.wikipedia.org/wiki/Diffie%25E2%2580%2593Hellman_key_exchange

[14] не привязывает: https://news.ycombinator.com/item?id=28139303

[15] в 2,5 раза быстрее: https://www.expressvpn.com/blog/lightway-protocol-beta/

[16] отметил: https://news.ycombinator.com/item?id=28141005

[17] NTPsec: https://www.ntpsec.org/

[18] Dovecot: https://www.dovecot.org/

[19] стр.3: https://cure53.de/pentest-report_lightway.pdf

[20] CVE-2020-3336: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3336

[21] можно оставлять: https://github.com/expressvpn/lightway-core/blob/main/CONTRIBUTING.adoc

[22] использует: https://www.wireguard.com/protocol/

[23] в четыре раза выше: https://www.wireguard.com/performance/

[24] включили: https://lists.zx2c4.com/pipermail/wireguard/2020-January/004906.html

[25] отмечают: https://www.vpnmentor.com/blog/is-wireguard-the-future-of-vpn-protocols-safety-update/

[26] большая статья на Хабре: https://habr.com/ru/company/dcmiran/blog/492888/

[27] нашли способы: https://restoreprivacy.com/vpn/wireguard/

[28] ввести: https://habr.com/ru/company/vasexperts/blog/552798/

[29] Протокол IPFS — будущее интернета или еще одна «проходная» технология: https://habr.com/ru/company/vasexperts/blog/570170/

[30] Почему шифрование DNS не всегда эффективно — обсуждаем мнения: https://habr.com/ru/company/vasexperts/blog/555966/

[31] «Одной канарейки мало»: у VPN-сервисов все чаще запрашивают ПД: https://habr.com/ru/company/vasexperts/blog/529326/

[32] Как детектировать Brute Force в сети оператора: https://vasexperts.ru/blog/bezopasnost/kak-detektirovat-brute-force-v-seti-operatora/

[33] CG-NAT — зачем нужен и как начать пользоваться: https://vasexperts.ru/blog/cg-nat/cg-nat-zachem-i-kak/

[34] 5 причин, почему переход на IPv6 происходит так долго: https://vasexperts.ru/blog/telekom/5-prichin-pochemu-perexod-na-ipv6-proisxodit-tak-dolgo/

[35] Источник: https://habr.com/ru/post/575104/?utm_source=habrahabr&utm_medium=rss&utm_campaign=575104