На этой неделе состоялась два крупных анонса для дистрибутива pfSense. Во-первых, система получила поддержку WireGuard VPN. Во-вторых, Netgate, компания, разрабатывающая pfSense, представила pfSense Plus. Поговорим об этом подробнее.

Расширение поддержки WireGuard означает, что всё больше ОС получают возможность работать с ним. Этот протокол уже есть во многих дистрибутивах Linux, а также в Windows. Разработчики из Netgate внедрили её в pfSense 2.5. При этом поддержка работает как в варианте pfSense Community Edition, так и в новом pfSense Plus.

Новый «Плюс» представляет собой своего рода ребрендинг pfSense Factory Edition (FE). Это напоминает ситуацию с переходом от FreeNAS к TrueNAS Core. Разработка pfSense CE (Community Edition) будет продолжаться, но для pfSense Plus будут выходить все самые новые «фишки». Напомним, что pfSense обеспечивает функциональность межсетевого экрана, маршрутизатора и VPN для дома, предприятий, образовательных и государственных учреждений.

С 2021 года pfSense CE и pfSense Plus начнут расходиться друг с другом как в дизайне программной платформы, так и в наборе функций. Первая версия будет работать, как и ранее. Вторая же станет стандартом де-факто для всех устройств Netgate. pfSense Plus получит постоянно обновляемый набор функций безопасности, улучшения производительности и управляемости, которых нет в pfSense CE. Хотя в начале они будут достаточно близки, со временем ожидается, что функциональность обеих версий всё сильнее будет отличаться.

В компании заявили, что появление Plus-версии необходимо для поддержки продукта в актуальном состоянии. Многие функции старой версии, разработка которой началась ещё в 2004 году, нуждаются в замене или обновлении, что может нарушить работу кода. В числе новых функций обещана поддержка точек доступа 802.11ac и 802.11ax, другая информационная панель и дизайн системы в целом, улучшенная производительность фильтра пакетов.

Первая версия pfSense появится в феврале 2021 года. Сборка получит наименована Release 21.02, так что будет задействована система нумерации «год.месяц». Что касается pfSense CE, то сборка останется на GitHub под лицензией Apache. Netgate продолжит её сопровождение, предоставляя обновления — в первую очердь, патчи против уязвимостей и апдейты для FreeBSD. А вот о внедрении новых функциях пока не сообщается.

Как отмечается, выпуски pfSense Plus будут выходить более регулярно — в январе, мае и сентябре. При этом пока есть только версии для устройств Netgate и облачных платформ AWS и Azure. В будущем ожидается расширение аппаратного парка и поддержка ряда гипервизоров. pfSense Plus 21.02 будет бесплатной для домашнего и лабораторного использования, но для коммерческого использования нужна будет платная лицензия.

При этом отмечено, что Netgate продолжает придерживаться принципов работы open source, так что не стоит бояться, что система может стать закрытой. В частности, компания продолжит спонсировать разработку новых возможностей, которые в итоге попадают во FreeBSD. Именно при её непосредственном участии появилась поддержка WireGuard, ускорение криптографических функций за счёт использования Intel QAT и EIP-97, некоторые драйверы и так далее. Кроме того, в штате компании или по контракту с ней работают разработчики FreeBSD и других открытых проектов.

Специалисты исследовательского подразделения BI.ZONE, научные сотрудники НПО «Криптониа» и сотрудник Positive Technologies разработали проект протокола Ru-WireGuard и его эталонную реализацию на Go. По сути, это вариант WireGuard, дополненный отечественными криптоалгоритмами. В частности, используется алгоритм шифрования «Кузнечик» (ГОСТ Р 34.12–2015). Все данные и исходники проекта доступны на GitHub.

WireGuard представляет собой открытое ПО для создания виртуальных частных сетей и зашифрованных тоннелей. Оно может быть альтернативой IPsec и OpenVPN. WireGuard отличается малым размером исходного кода, простотой, наличием встроенных механизмов защиты и хорошей производительностью.

«В зарубежной практике в области защищенных сетевых технологий активно внедряются реализации протокола WireGuard, поэтому мы решили разработать его отечественную версию — Ru-WireGuard, использующую российские криптографические алгоритмы», — заявил Денис Колегов, руководитель группы Security R&D BI.ZONE.

«Наша задача — создавать и внедрять как можно больше современных криптографических методов с использованием отечественных алгоритмов, поэтому мы рады итогам совместной работы с компанией BI.ZONE», – отметил генеральный директор научно-производственной компании «Криптонит» Вартан Хачатуров.

Следом за OpenBSD популярная версия VPN WireGuard появилась и во FreeBSD. Таким образом, список операционных систем с поддержкой этого протокола расширился. Финальная версия должна появиться в FreeBSD 13.

Помимо вышеназванных ОС, новинка есть также в составе Oracle Unbreakable Enterprise Kernel, свежих ядрах Linux и Windows. Также её внедрение ожидается в Android 12.

Отметим, что WireGuard позиционируется в качестве альтернативы OpenVPN и подобным решениям. В числе особенностей протокола отметим высокую производительность по сравнению с другими, простоту настройки, использование современных методов криптографии, а также качественный и быстрый код. Многие уже называют систему лучшим решением для виртуальных частных сетей.

Напомним, что ранее поддержка WireGuard появилась в бета-версии MikroTik RouterOS 7.1. А в нашей статье вы можете прочитать, как можно настроить систему для использования этого VPN c роутерами Keenetic.

В последней бета-версии RouterOS 7.1b2, которая вышла вчера, разработчики MikroTik добавили долгожданную поддержку Wireguard. Использована эталонная реализация 1.0.0 из ядра Linux 5.6. Для настройки пока можно использовать только CLI, так как в Winbox доступны не все параметры.

Wireguard, напомним, является современной, созданной с нуля реализацией VPN, которая отличается простотой настройки и высоким уровнем защиты. Вместе с тем она достаточно легковесна и имеет высокую производительность, что позволяет использовать её в относительно маломощных системах, включая SOHO и SMB-маршрутизаторы.

Например, есть официальные сборки для OpenWRT и Ubiquiti EdgeOS. А в роутерах Keenetic с прошивкой 3.3 и старше есть встроенная поддержка Wireguard — ранее мы уже рассматривали процесс настройки роутера и клиентов, а также создание собственного VPN-сервера в облаке.

Intel представила релиз сетевого конфигуратора ConnMan под номером 1.38. В этой версии появилась поддержка WireGuard VPN, что согласуется с его появлением в ядре Linux 5.6, и улучшена работа фирменного беспроводного Wi-Fi демона Intel IWD, который должен стать альтернативой wpa_supplicant. Помимо этого, были исправлены некоторые проблемы, касающиеся поддержки VPN/OpenVPN. 

Сферой применения ConnMan называют встраиваемые и легковесные Linux-системы, где критичным являются малые накладные расходы и нагрузка на систему. 

pixabay.com

ConnMan является полностью модульной системой, функциональность которой гибко расширяется с помощью плагинов. Поддерживаются технологии Ethernet, Wi-Fi, Bluetooth, 2G/3G/4G, ряд VPN и другие привычные сетевые решения. 

Система базируется на наработках Intel и Nokia — первоначально конфигуратор создавали для ОС MeeGo. Затем его использовали для платформ Tizen, Jolla/Sailfish и других. ConnMan может использоваться в качестве альтернативы NetworkManager и применяется вместо него в ряде дистрибутивов, в том числе десктопных, по умолчанию. 

Новинку уже можно скачать на официальном сайте Kernel.org.

Модуль VPN WireGuard будет по умолчанию доступен в составе ядра Linux 5.6. Исходный код уже добавлен в net-next, а для более ранних версий ядра доступен новый выпуск модуля out-of-tree.

На данный момент актуальная версия WireGuard имеет номер 0.0.20191219, однако после выхода ядра Linux 5.6 нумерация изменится на схему v1.0.X. при этом обещана обратная совместимость с текущими версиями и старыми ядрами, начиная с Linux 3.10.

arstechnica.com

Всё это позволит обеспечивать безопасность без подключения дополнительных модулей и установки сторонних приложений. WireGuard, отметим, выбран за малый размер и высокую скорость, а также прекрасный уровень безопасности. Правда, при наличии уязвимости в Unix-системах, защита собственно канала не спасёт. 

Отметим, что по данным ресурса ArsTechnica, WireGuard может появиться уже в Ubuntu 20.04 LTS, хотя это пока лишь слухи. Впрочем, при наличии поддержки старых ядер, это выглядит довольно-таки вероятным событием. Напомним, что сервис для запуска VPN доступен под все актуальные настольные и мобильные платформы.