Wireguard produktiv einsetzen

[wznutzer 35]

Guten Abend,

 

mich würde interessieren ob jemand von euch Wireguard produktiv einsetzt? Der lange auf der Homepage sichtbare Hinweis, dass es noch nicht für den Produktiveinsatz geeignet ist, ist seit einiger Zeit entfernt. Alle meine Tests waren durchaus erfolgreich, Performance und Latenzen gegenüber IPSec / OpenVPN ist sehr gut. Was mir noch nicht so gefällt, ist die fehlende Authentifizierung mit einem Passwort oder einem OTP. Wer das Configfile eines Clients hat kann sich auch verbinden, weil da alles drinsteht. Wenn ich das richtig verstehe ist der Autor auch der Meinung das ist nicht das Problem von Wireguard. Wireguard ist nur für einen schnellen, sicheren und stabilen Tunnel verantwortlich. Wenn ich alle Geräte unter meiner Kontrolle habe, stimme ich dem zu. Aber wenn ein paar Dutzend Geräte mit Endanwendern unterwegs sind, kann ich mich noch nicht wirklich damit anfreunden. Die Sorge ist, dass das Configfile in falsche Hände fällt.

 

Sozusagen eine kleine Meinungsumfrage.

 

Danke und Grüße
 

[mwiederkehr 382]

Setze WireGuard noch nicht produktiv ein, hauptsächlich mangels Unterstützung in kommerziellen Firewalls. Privat mit opnSense läuft es aber gut.

 

Der Autor sieht WireGuard wie Du schreibst als Lösung für sichere Tunnel zwischen Systemen. Es ist also näher an IPSec als an OpenVPN. Man verlässt sich auf die Dateisystemrechte des Betriebssystems für den Schutz der Konfigurationsdateien. Das ist nicht ganz abwegig, schliesslich kann ein Passwort auch leicht abgegriffen werden, wenn der Angreifer auf dem System ist.

 

Unter Windows ist zu beachten, dass nicht nur die Installation, sondern auch Verbindungsauf- und abbau Adminrechte benötigen. Man kann jedoch einen Dienst für jeden Tunnel installieren. Die Konfigurationsdatei muss nur vom Dienst gelesen werden können, nicht vom Benutzer. Der Benutzer muss lediglich allenfalls das Recht haben, den Dienst zu starten. So könnte man ihm den Lesezugriff auf die Konfiguration entziehen.