WireGuard ist eine kostenlose Software , mit der Sie ein virtuelles privates Netzwerk (VPN) einrichten können. Mit Hilfe eines VPN wird ein virtueller Tunnel zwischen zwei Internetcomputern geöffnet, über den die Netzwerkverbindung verläuft, als wäre es ein Netzwerkkabel zwischen den Geräten. VPNs werden häufig von großen Organisationen wie Forschungsinstituten, öffentlichen Stellen und Unternehmen verwendet. Dank ihnen kann der Zugriff auf bestimmte Netzwerkressourcen geregelt und die Übertragung von Benutzerdaten von außen geschützt werden.

Es gibt bereits eine ganze Reihe etablierter Protokolle wie IPsec, OpenVPN, L2TP und PPTP. Anbieter von VPN-Lösungen verlassen sich auf diese Protokolle, um ihren Benutzern die Möglichkeit zu geben, ihren eigenen Internetverkehr über das VPN zu leiten. WireGuard bietet mehrere Vorteile und immer mehr VPN-Anbieter integrieren dieses Protokoll in ihre Dienste.

1. Was ist WireGuard?
   1. Welche Funktionen hat WireGuard?
   2. Was sind die Vorteile von WireGuard?
2. Wie funktioniert WireGuard VPN?
3. Beginnen Sie mit WireGuard
   1. Installieren Sie WireGuard auf Ihrem eigenen System
   2. Generieren Sie WireGuard-Schlüssel
   3. Legen Sie die Netzwerkeinstellungen für WireGuard fest

WireGuard ist eine Anwendung sowie ein Netzwerkprotokoll zum Erstellen verschlüsselter VPN-Tunnel . Das Programm ist unter der GPLv2 als freie Software lizenziert und plattformübergreifend. WireGuard ist in den Sprachen C und Go geschrieben und mit Windows, MacOS, BSD, iOS und Android kompatibel.

Mit WireGuard wird ein verschlüsselter Tunnel erstellt, durch den Datenströme übertragen werden, um sie vor unbefugtem Zugriff zu schützen. Neben der hohen Verschlüsselung bietet WireGuard auch Optimierungen für mobile Systeme und für Geräte des sogenannten Internet der Dinge (IoT, Abkürzung für Englisch).

WireGuard ist bereits seit Anfang 2020 direkt in den Linux- Kernel integriert . Da es sich um ein Standardbetriebssystem handelt, das von Milliarden von Geräten weltweit verwendet wird, kann WireGuard fast überall verwendet werden. Diese weit verbreitete Verwendung ist auch auf die Tatsache zurückzuführen, dass die Software relativ leicht ist und keine hochspezialisierte Hardware erfordert .

Das Hauptmerkmal des WireGuard-Protokolls ist das sogenannte Cryptokey-Routing , dh ein Cryptographic-Key-Routing, das aus einem Prozess besteht, der die im Tunnel zulässigen IP-Adressbereiche dem öffentlichen Schlüssel des Gesprächspartners in der Verbindung zuweist. Eingehende Pakete vom anderen verbundenen Gerät werden mit dem öffentlichen Schlüssel entschlüsselt. Nach der Entschlüsselung wird ein eingehendes Paket nur zugestellt, wenn es von einer IP-Adresse stammt, die dem Schlüssel entspricht. Andernfalls wird es verworfen.

Im Gegensatz zu den gängigen Protokollstapeln VPN IPsec und OpenVPN ist WireGuard kein agiles Protokoll, sondern verhandelt die kryptografische Basis, die während der Phase des Handshakes oder Handshakes verwendet wird. WireGuard ist auf wenige beschränkt Optionen. Die verwendeten kryptografischen Funktionen werden in zusammenfassender Form versioniert . Für den Fall, dass eine der kryptografischen Basen in Zukunft kompromittiert wird, wird eine neue, sicherere Version des WireGuard-Protokolls veröffentlicht. Wenn beide Kommunikationspartner diese neue Version implementieren, wird der Datenstrom geschützt.

Zum Zeitpunkt des Schreibens dieses Artikels werden die folgenden Verschlüsselungsprotokolle und -methoden verwendet :

• Noise Protocol Framework
• Kurve25519
• ChaCha20
• Poly1305
• BLAKE2
• SipHash24
• HKDF

Einer der größten Vorteile von WireGuard ist seine kurze Codebasis: Der gesamte Kernel- Code ist nicht länger als 4000 Zeilen . Zum Vergleich: Die Codegröße einer OpenVPN- oder IPsec-Implementierung liegt normalerweise zwischen 100.000 und 600.000 Zeilen. Per Definition ist eine kürzere Codebasis auch sicherer, da darin Fehler leichter erkannt werden und das Angriffsfeld reduziert wird.

Selbst Linus Torvalds , Schöpfer des Linux- Kernels und bekannt für seine vernichtenden Worte und gelegentlichen Wutausbrüche, konnte nicht anders, als die Codebasis von WireGuard bei der Inspektion zu loben:

Neben der erhöhten Sicherheit begünstigt die Einfachheit der Software auch eine höhere Leistung. In Benchmarks wird gezeigt, dass WireGuard eine höhere Übertragungsgeschwindigkeit und eine geringere Latenz als seine Konkurrenten erzielt . Außerdem ist WireGuard kein sehr lautes Protokoll mit wenigen Nüssen (? Es ist kein gesprächiges Protokoll?): Wenn der Benutzer keine Daten durch den Tunnel sendet, bleibt WireGuard im Standby-Modus . Dies spart Energie und verlängert die Batterielebensdauer.

Energieeffizienz ist besonders wichtig für mobile Geräte. In dieser Hinsicht bietet WireGuard mehrere Vorteile. Eine davon ist, dass es Roaming ermöglicht, dh den automatischen Wechsel von einem WLAN zu einem Mobilfunknetz und umgekehrt. Sollte die Verbindung trotzdem unterbrochen werden, ist die Wiederherstellung mit WireGuard häufig schneller als mit Konkurrenzprotokollen.

WireGuard ist aufgrund seiner Struktur ein dezentrales Peer-to-Peer- VPN-Protokoll (Peer). Anstatt einen Server zu benötigen, kann WireGuard direkt zwischen zwei Computern tunneln. Was wir als WireGuard- Server betrachten könnten, ist einfach ein Gerät, in dem Verbindungskonfigurationen für mehrere Peers vorgenommen wurden .

Das Herstellen der Verbindung mit WireGuard funktioniert ähnlich wie bei Secure Shell (SSH): Benutzer ( Peers ) generieren mit WireGuard öffentliche Schlüssel und tauschen sie untereinander aus. Dank ihnen können sie sich gegenseitig identifizieren und die Datenpakete für ihren entsprechenden Empfänger verschlüsseln.

Zusätzlich zur Generierung von kryptografischen Schlüsseln müssen auf jeder Peer- Seite verschiedene Netzwerkelemente konfiguriert werden (weitere Informationen hierzu finden Sie in unserem Handbuch zur Konfiguration von WireGuard). Um Daten auszutauschen, werden in den Peers die Bereiche der zulässigen IP-Adressen mit den öffentlichen Schlüsseln verknüpft . Pakete, die nicht aus den zulässigen Adressbereichen stammen, werden verworfen. Das Senden von Daten mit WireGuard erfolgt über das User Datagram Protocol (UDP).

Die Konfiguration erfolgt auf dem Computer eines Peers mit dem WireGuard-Befehlszeilentool und anderen Anwendungen, die standardmäßig unter Linux verfügbar sind. Das Software- Setup ist wahrscheinlich relativ einfach, aber WireGuard dient nur als Grundlage: Um die Schritte zum Einrichten und Herstellen der Verbindung fortzusetzen, kann sich der Benutzer an eine protokollbasierte App wenden, um Hilfe zu erhalten. Somit können Benutzer kommerzieller VPN-Dienste auch das moderne VPN-Protokoll nutzen, ohne dass eine Befehlszeilenschnittstelle erforderlich ist.

Grundsätzlich erfordert die Installation und Konfiguration von WireGuard auf Linux-Systemen keinen großen Aufwand. Als Benutzer können Sie beispielsweise mit Raspberry Pi einen eigenen VPN-Server erstellen. Der tatsächliche Prozess hängt jedoch vom Zweck, dem verwendeten Betriebssystem und der verfügbaren Netzwerkumgebung ab. Daher können wir nur die ungefähren Schritte angeben, die Sie ausführen müssen. Bitte verwenden Sie sie nur zum Testen.

Führen Sie die folgenden Befehle über die Befehlszeilenschnittstelle aus, um WireGuard auf Ihrem Linux-System zu installieren:

Ähnlich wie bei SSH und PGP bilden kryptografische Schlüssel die Grundlage für den Betrieb von WireGuard . Wie üblich gibt es einen privaten Schlüssel, der immer vertraulich behandelt werden muss, und andererseits auch einen öffentlichen Schlüssel, der aus dem privaten Schlüssel generiert wird und mit Kollegen geteilt wird . Damit können die Peers Daten verschlüsseln und senden, während sie mit dem privaten Schlüssel die verschlüsselten Daten entschlüsseln können.

Führen Sie die folgenden Befehle über die Befehlszeile aus, um einen privaten und einen öffentlichen WireGuard-Schlüssel zu generieren :

Sowohl die WireGuard-Installation als auch die Schlüsselgenerierung sind grundlegende Vorbereitungen, die auf allen Systemen mehr oder weniger identisch durchgeführt werden. Die WireGuard-Konfiguration hängt dagegen von der vorhandenen lokalen Netzwerkkonfiguration ab . Daher können wir in diesem Artikel nur einen allgemeinen Überblick geben und die Kurzanleitung für das WireGuard-Projekt empfehlen, um weitere Informationen zu erhalten.

Der allgemeine Prozess zum Herstellen einer Netzwerkverbindung mit WireGuard hat folgende Struktur: