0d083 – Wireguard is AWESOME

In der heutigen Episode versucht Stefan einmal Sven zu erklären was es mit Wireguard auf sich hat und warum es unter Umständen eine gute Alternative zu klassischen VPN-Lösungen sein kann. Nach dem eigentlichen Thema geht es noch einmal in der eigentlich für kurze Späße bekannten Rubrik “Fun & other Thinks” noch einmal richtig los mit einem Quasi zweiten Thema.

Hausmeisterei

Datenverluste 

News

Thema: Wireguard

Next Generation Kernel Network Tunnel (PDF), Wireguard Homepage, Wireguard (Wikipedia), Wireguard (Thomas Krenn Wiki), Wireguard (experte.de), WireGuard · GitHub, 0d004 – Hinterm VPN gleich links 

Fun and other Thinks

Rezo’s Video’s nur echt mit Deppen-” ’ ”

Zerstörung Teil 1: Inkompetenz

Zerstörung Teil 2: Klima-Katastrophe

Aufgenommen am: 07.09.2021
Veröffentlicht am: 07.09.2021
Intro & Outro Chiptune  CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson 

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

8 Gedanken zu „0d083 – Wireguard is AWESOME

  1. Stefan

    Liebe Hörer,

    mir ist da ein kleiner Fehler unterlaufen bezüglich des Logging von Wireguard.
    Wireguard logged nicht mit, was zu der Problematik führt, das im Unternehmenskontext die Software unter beachtung von Informationssicherheits-Aspekten nicht eingesetzt werden kann.
    Soweit zumindest mein Kenntnisstand.
    Sollte jemand andere Informationen oder Ergänzungen haben, bitte ich darum mir diese zukommen zu lassen.

    Antworten
    1. oinkboink8000_42

      auf welchen informationen hattest du die ursprüngliche information das alles gelogt werden kann weitergegeben?
      hattest du für diesen podcast einen testaufbau? oder andere quellen warum du diese aussage getroffen hast?

      Antworten
      1. Stefan

        Ich habe genau 2 aufbauten unabhängig vom Podcast gemacht.
        Ein Wireguard steht bei mir zu Hause.
        Der zweite Wireguard ist bei einem Kunden von mir implementiert.
        Leider ist beim Kunden der Infrastruktur-Aufbau mitlerweile ein wenig oversized was das logging angeht, weshalb auch Wireguard zumindest was den Verbindungsaufbau und -abbau mit geloggt wird.
        Bei OPENVPN kann man das Logging über die Configs ziemlich gut einstellen. Zusätzlich kann man am Netzwerkport mitschreiben, wenn man es denn möchte.

        Antworten
  2. dustin

    Hi Stefan,

    schau mal hier:

    https://www.procustodibus.com/blog/2021/03/wireguard-logs/

    Alles nicht so wirklich schön aber besser als nix.

    Zum Thema always on VPN unter Android: Ich hab das seit Ewigkeiten mit OpenVPN genutzt und bin jetzt auch zu Wireguard gewechselt. Wireguard frisst meiner Meinung nach weniger Akku als OpenVPN. Ich hab keine Probleme damit mit einer Akkuladung über den Tag zu kommen. Nutze dafür den Client von Mullvad der nochdazu ein netten Killswitch integriert hat, so dass kein Traffic außerhalb des Tunnels leaken kann.

    Antworten
  3. dustin

    Ergänzung: Auch schönes Feature ist deren DNS der, optional, Tracking und Werbemüll rausfiltert. Finde das gerade am Telefon ein Segen wo man generell weniger Möglichkeiten hat sich gegen den Quatsch zu wehren als am Rechner.

    Antworten
    1. Stefan

      naja, einen DNS-Based-Ad-Filter würde ich mit Wireguard eher über ein Pi-Hole realisieren.
      In Wireguard einfach den Pi-Hole als DNS eintragen und dem Pi-Hole noch die internen Routen zu den Home-Servern verraten.

      Aber das funktioniert nur, wenn man den Wireguard im Hause stehen hat und nicht ins Internet hängt. (Auf einem root-server zum beispiel)

      Antworten
  4. oinkboink8000_42

    ab1:50 oder vorher ist es nur noch lalalalaa…. im ernst… ab 1:55 welche valide Antwort gibt es auf dieses Gerede?
    Der Algo Wechsel ist nicht wie bei OpenVPn… ??? wie bitte? wieso?der client der aktualisiert ist oder wird kann die algos die der server kann der ebenfalls upgedatet wird… ????

    Antworten
    1. Stefan

      Das ist so nicht ganz zutreffend.
      Die Problematik ist, dass ich bei OpenVPN einfach eine reihe „starker“ Algorithmen definiere die Zulässig sind. Der Server akzeptiert dann nur diese. Soweit Overkill. Wenn nun aber einer der Algorithmen aus dem Pool der zulässigen gebrochen wird oder einen schwerwiegenden Fehler aufweist (md5crypt) dann kann ich diesen, ohne die Clients anfassen zu müssen, einfach entfernen aus der Liste.
      Bei Wireguard sieht das etwas anders aus. Das Protokoll selber basiert auf den Algorithmen. Wenn nun einer der verwendeten Algorithmen bricht, dann ist das gesamte Protokoll gleich mit kaputt.
      Da wir hier unter anderem von einer Implementierung im Kernel reden, ist dort ein einfaches Update nicht so ohne weiteres machbar.
      Man müsste den gesamten Kernel neu bauen, nachdem man einen Fix, oder im schlimmsten Fall das Protokoll neu implementiert hat. Dieser muss dann ausgeliefert werden. (Easy as PI)
      Aber nur weil eine Kernel-Version als „fertig“ markiert ist, heißt es nicht, dass die ganzen Linux-Distros diesen auch nutzen. einfach mal bei Ubuntu rein schauen, welche Kernel-Version verwendet wird und dann mal auf https://kernel.org nachschauen, welches der aktuelle ist.
      (Zum Zeitpunkt dieser Antwort:
      Mainline: 5.15.-RC3
      Stable: 5.14.9
      Longterm: 5.10.70)
      Mein aktuelles Manjaro, gerade heute frisch aufgesetzt benutzt übrigens 5.13.19
      Allein daran sieht man die Problematik die sich auf eine geringe Basis von Algorithmen bezieht.
      Natürlich macht gerade diese geringe Basis Wireguard auch so schlank aber eben auch anfällig für Brüche des gesamten Protokolls.

      Antworten

Schreibe einen Kommentar zu dustin Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert