9,99 €
Mehr erfahren.
- Herausgeber: BookRix
- Kategorie: Fachliteratur
- Sprache: Deutsch
VPN-Tunnel sind überall. Sie verlaufen zwischen Firmenstandorten, ermöglichen Fernzugriff auf den heimischen DSL-Router und die meisten Laptops haben einen VPN-Client vorinstalliert. Die Grundlagen von VPN sind nicht neu: Der Klassiker IPsec entstand vor mehr als zwei Jahrzehnten und beschützt seitdem die Kommunikation seiner Teilnehmer.
WireGuard ist ein neuer Spieler im VPN-Stadion und will schnell, einfach, modern und sicher sein. Wie erreicht WireGuard diesen hohen Anspruch?
"WireGuard im Einsatz" beginnt ohne Vorkenntnisse und installiert die Software unter Windows, Linux und auf Smartphones. Anschließend entstehen die ersten VPN-Tunnel und das Cryptokey-Routing beginnt.
Die praktischen Beispiele im Buch zeigen WireGuard im Einsatz auf Firewalls, Routern und in vielen Szenarien mit IPv4, IPv6, Adressumsetzung, Paketfiltern, Pre-shared Keys und unter hoher Last.
Dieses Buch möchte dem Leser den Einstieg erleichtern, die Unterschiede zu anderen VPN-Techniken beschreiben und praktisches Wissen vermitteln. Die Kapitel fokussieren auf den täglichen Einsatz und erklären kurz die verwendete Kryptografie. Denn WireGuard ist ein zuverlässiger Begleiter, auch wenn elliptische Kurven und ChaCha20 Fremdwörter sind.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Veröffentlichungsjahr: 2025
Ähnliche
WireGuard im Einsatz
Markus Stubbig
WireGuard im Einsatz
Text: Markus Stubbig Verlag: BookRix GmbH & Co. KG 4. Auflage 2025 Git Hash: 8cd01d7ff45282a3deabeb79fe0634cc447b3a7a Date: 2025/05/23 Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung. Die automatisierte Analyse des Werkes, um daraus Informationen insbesondere über Muster, Trends und Korrelationen gemäß §44b UrhG (“Text und Data Mining”) zu gewinnen, ist untersagt. Auf die gleichzeitige Verwendung männlicher, weiblicher und diverser Sprachformen (m/w/d) wird aus Gründen der besseren Lesbarkeit verzichtet. Alle Personenbezeichnungen und personenbezogenen Hauptwörter gelten gleichermaßen für alle Geschlechter. Dieses Buch ist frei von KI-generierten Inhalten.
Vorwort
WireGuard ist jetzt seit etwa fünf Jahren in Linux-Distributionen anzutreffen und fester Bestandteil der VPN-Welt. Das Vertrauen in die Technik hinter WireGuard brachte viele Anbieter von VPN-Lösungen dazu, ihr Portfolio um WireGuard zu erweitern. Gleichzeitig kamen neue Anbieter auf den Markt, die ihre Produkte vollständig auf WireGuard ausrichten, wie beispielsweise Firezone. Bei Netmaker, einer Plattform für virtuelle Netze, ähnlich einem VPN-Mesh, nutzt die Software unter der Haube ebenfalls WireGuard-Tunnel. Selbst im heimischen Umfeld klopft WireGuard an die Tür: In den neueren Modellen von Fritzbox und Speedport ist WireGuard an Bord. Und auch bei Google Trends geht die Linie kontinuierlich nach oben. Der Erfolg kommt nicht von ungefähr. Der Entwickler hat sein VPN-Konzept entworfen, implementiert und nicht – im Gegensatz zu IPsec und OpenVPN – nachträglich um Schnickschnack erweitert. Aus diesem Grund zeigt die vorliegende Auflage dieses Buchs im WireGuard-Kern wenig Neues, sondern lediglich Verbesserungen im Ökosystem rund um die VPN-Software. Da WireGuard mittlerweile direkt im Linux-Kernel sitzt, war der Einstieg nie einfacher. Erneut wünsche ich viel Spaß beim Ausprobieren und Staunen.
Vorwort der zweiten Auflage (Mai 2020)
Es ist so weit: WireGuard zieht in den Linux-Kernel ein! Damit ist WireGuard kein exotisches Modul mehr, was der Paketmanager einer Distribution nachinstallieren muss. Allerdings hat es bis Kernelversion 5.6 gedauert, die im März 2020 erschien. Damit hat WireGuard eine ungewöhnlich lange Entwicklungszeit und eine noch längere Testphase hinter sich. Für eine Security-Software ist das positiv, denn so bleibt genug Zeit, um peinliche Bugs und kritische Löcher zu stopfen. Der Sprung in den Linux-Kernel dürfte die Popularität von WireGuard weiter stärken. Damit ist nicht nur die Fangemeinde gemeint, sondern auch kommerzielle Anbieter von Firewalls und VPN-Diensten. Diese haben jetzt eine Entscheidungsgrundlage und können darauf vertrauen, dass WireGuard nicht morgen von der Bildfläche verschwindet. WireGuard ist leichter einzurichten als IPsec oder OpenVPN. Daher geht es in diesem Buch nicht ausschließlich um die Einrichtung, sondern auch um den Einsatz von WireGuard auf anderen Betriebssystemen, das Zusammenspiel mit weiteren Netzwerkfeatures, Tipps und einen kleinen Exkurs in die Kryptografie. Viel Spaß beim Ausprobieren, Staunen und Fluchen.
Vorwort der ersten Auflage (August 2019)
VPN-Tunnel sind überall. Sie verlaufen zwischen Firmenstandorten, ermöglichen Fernzugriff auf den heimischen DSL-Router und die meisten Laptops haben einen VPN-Client vorinstalliert. Die Grundlagen von VPN sind nicht neu: Der Klassiker IPsec entstand vor mehr als zwei Jahrzehnten und beschützt seitdem die Kommunikation seiner Teilnehmer. Andere kluge Köpfe und Hersteller haben es sich nicht nehmen lassen und ihre eigene VPN-Technik erschaffen: Die Palette reicht von PPTP, L2TP, GRE, OpenVPN bis zu vielen proprietären VPN-Anwendungen, die sich in TLS hüllen. Im weiteren Sinne lässt sich auch SSH, VXLAN und sogar DNS als Tunnel betreiben. Die Liste der Implementierungen ist lang. Warum gibt es zusätzlich WireGuard und auch noch ein Buch darüber? WireGuard hat eigentlich dieselben Ziele wie OpenVPN: Einfach und offen, wobei OpenVPN diese Ziele im Laufe der Jahre und Releases scheinbar aus den Augen verloren hat. WireGuard deckt die meisten VPN-Szenarien ab und ist erstaunlich schnell bei der Einwahl. Dagegen gibt es Einsatzbereiche, die WireGuard schlecht oder gar nicht beherrscht. Das Buch über WireGuard möchte dem Leser den Einstieg erleichtern, die Unterschiede zu anderen VPN-Techniken verdeutlichen und praktisches Wissen vermitteln. Die Kapitel fokussieren auf den täglichen Einsatz und erklären nur oberflächlich die verwendete Kryptografie. Denn WireGuard ist ein zuverlässiger Begleiter, auch wenn elliptische Kurven und ChaCha20 Fremdwörter sind. Zuletzt möchte das Buch ein vollständiges Bild liefern, was WireGuard kann und in welchen Szenarien es die ideale Software ist, um ein Netz bestmöglich zu sichern.
Ressourcen
https://www.wireguard.com Die Homepage von WireGuard liefert einen guten Einstieg ins Thema und verlinkt zur Dokumentation, zum Download-Bereich und informiert über Sicherheitsaudits.https://git.zx2c4.com/WireGuard Die Entwickler hosten den Programmcode als öffentliches Git-Repository, wo jeder Einblick in den Fortschritt hat und sich an den Quellen bedienen kann. Daneben gibt es viele Implementierungen und Erweiterungen.http://www.noiseprotocol.org Das Noise Protocol Framework liefert den Programmcode für die Kryptofunktionen und eine hervorragende Dokumentation zu den elliptischen Kurven.https://github.com/wireguard-im-einsatz Auf GibtHub befindet sich zusätzliches Material zum Buch und das aktuelle Korrekturverzeichnis.
Rechtliches
Warennamen und Bezeichnungen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Es ist davon auszugehen, dass viele der Warennamen gleichzeitig eingetragene Warenzeichen sind oder als solche zu betrachten sind. Bei der Zusammenstellung von Texten, Bildern und Daten wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Der Autor lehnt daher jede juristische Verantwortung oder Haftung ab. Für Verbesserungsvorschläge und Hinweise auf Fehler ist der Verfasser (E-Mail: [email protected]) dankbar.
Kapitel 1: Einleitung
WireGuard bezeichnet sich selbst als eine schnelle, moderne und sichere VPN-Software. Im Grundprinzip ermöglicht WireGuard die verschlüsselte Kommunikation zwischen zwei Endgeräten. Damit erreicht WireGuard – genau wie jede andere VPN-Software – den gesicherten Datenaustausch über unsichere Transportnetze. WireGuard möchte vielseitig und einfach sein. Der Hersteller bietet seine Software vorkompiliert für eine Reihe von Betriebssystemen an. Die Einrichtung verläuft unkompliziert, sodass ein VPN-Tunnel bereits nach wenigen Minuten einsatzbereit ist. WireGuard setzt auf moderne Kryptoalgorithmen. Die Algorithmen wurden so gewählt, dass sie eine exzellente Mischung aus Sicherheit und Leistung ergeben, die selbst ohne Hardwarebeschleunigung fantastische Durchsatzraten beschert. Und das Beste ist: WireGuard ist kostenlos nutzbar, quelloffen und wird unter der freien Lizenz GPL veröffentlicht. Damit steht der Verbreitung von WireGuard nichts mehr im Weg.
Was ist VPN?
Wenn zwei ferne Netze miteinander kommunizieren wollen, dann läuft das klassischerweise über eine eigene Leitung oder über ein privates Netzwerk. Ob Standleitung oder Wählverbindung, diese Netzkopplung ist entweder teuer oder langsam. Die Alternative ist die Verwendung des Internets als verbindendes Element zwischen den eigenen Netzen. Das Internet, als öffentliches Netzwerk, wird als quasi-privates Netz benutzt. Die eigene Verbindung ist nur virtuell als Virtuelles Privates Netzwerk (VPN) vorhanden. WireGuard ist die Software, um ein VPN technisch aufzubauen. Sie implementiert den Schutz der transportierten Daten, die Authentifizierung der VPN-Sitzung, den regelmäßigen Schlüsselaustausch und prüft, ob die Pakete unterwegs verändert wurden.
Abgrenzung
Zum Thema VPN existieren bereits mehrere Ansätze und Implementierungen, von denen die Protokollsuite IPsec und die Software OpenVPN am stärksten verbreitet sind. Der Entwickler von WireGuard hat sich die Schwächen von IPsec und OpenVPN angeschaut und diese in seiner eigenen Software berücksichtigt. IPsec ist komplex und die Konfiguration aufwendig. OpenVPN bleibt bei den Übertragungsraten weit hinter seinen Kollegen zurück. WireGuard dagegen prahlt mit einer kinderleichten Einrichtung, sicherer Übertragung und hohen Durchsatzraten.
Vorteile
Wie erreicht WireGuard seine selbst gesteckten Ziele? Die Eigenschaft extrem einfach erreicht die Software durch unterschiedliche Ansätze. Alle Teilnehmer einer VPN-Verbindung verwenden denselben Verschlüsselungsalgorithmus. Die Konfiguration beschäftigt sich also nicht mit Algorithmen und die VPN-Verbindung ist schneller aufgebaut, weil keine Aushandlung stattfindet. Eine hohe Durchsatzrate erreicht WireGuard durch schnelle Algorithmen und die Platzierung vom Programmcode direkt im Kernel. Zugegeben: Wenn eine IPsec-Software dieselben Algorithmen wie WireGuard verwendet, sind auch die Übertragungsraten vergleichbar. Allerdings sind viele IPsec-Implementierungen beim älteren Advanced Encryption Standard (AES) stecken geblieben, da es sich international als Standard etabliert hat. Die WireGuard-Software ist für eine erstaunlich breite Palette von Betriebssystemen verfügbar. Mittlerweile ist die Implementierung sogar in kommerziellen Routern vorzufinden (vgl. Kap. 5). Die Konfiguration von WireGuard auf Smartphones ist besonders einfach: QR-Code einscannen, Namen eintippen und VPN-Tunnel aufbauen.
Nachteile
Leider bringt das Attribut extrem einfach auch Einschränkungen mit. Ein WireGuard-Router akzeptiert eingehende Pakete nur, wenn der Kryptoschlüssel passt. Die Authentifizierung per Zertifikat, Benutzername mit Kennwort oder einem einzelnen Pre-shared Key ist im Programm nicht vorgesehen. Die Wahl der Algorithmen entspricht dem heutigen Sicherheitsniveau. Aber was ist morgen oder in vier Jahren? Schwachstellen in der Implementierung oder im Algorithmus von ChaCha20 (vgl. Kap. 9) betreffen alle vorhandenen WireGuard-Tunnel. Dann ist händisches Austauschen angesagt – ein Albtraum für die Verantwortlichen von großen Installationen. Ein WireGuard-Tunnel ist verbindungslos. Es gibt keine periodischen Heartbeat-Pakete, die den Routern einen funktionierenden Tunnel bescheinigen. Wenn Tunnel oder Router defekt sind, bemerkt die Gegenstelle nichts von der veränderten Situation. Die vorhandene Keepalive-Funktion von WireGuard ermittelt nicht den Status des Tunnels, sondern sendet Pseudopakete, wenn ansonsten kein Datenverkehr ansteht. Damit bleibt die WireGuard-Verbindung in den Tabellen von zwischengeschalteten Firewalls und NAT-Routern bestehen. WireGuard sieht keine Serverauthentifizierung vor. Der Client muss seinem Server vertrauen, weil er seine Identität nicht überprüfen kann. Hier entsteht Potenzial für Man in the Middle-Angriffe. Die IP-Adressen innerhalb eines WireGuard-Tunnels sind statisch. Client und Server bekommen bei der ersten Einrichtung ihre Adressen, welche fest in der Konfigurationsdatei stehen. Eine Um-Adressierung ist aufwendig und die Anonymität innerhalb des VPN-Verbundes leidet. Die folgenden Nachteile sind Einschränkungen, die WireGuard im praktischen Einsatz unhandlich machen.
UDP. WireGuard betreibt seine Tunnel über das verbindungslose User Datagram Protocol (UDP). Die Wahl ist akzeptabel, lässt aber kein alternatives Transportprotokoll zu, denn TCP ist in manchen Szenarien die bessere Wahl.
Layer-3-Modus. Der WireGuard-Tunnel arbeitet auf Ebene 3 des OSI-Modells. Damit transportiert der Tunnel IP-Pakete und handelt aufgrund von IP-Adressen – vergleichbar mit einem Router. Ein Tunnel auf der Ethernet-Ebene ist mit WireGuard nur mit Tricks und zusätzlicher Software möglich.
Proxy. WireGuard mag keinen Webproxy. Wenn ein Proxyserver den Internetzugriff anbietet, kann WireGuard nicht mitreden und der Client wird seinen Server nicht erreichen.
