Uvodnik: Stalno neke promene, da li za naše dobro?
Stvari se u kompjuterskom svetu stalno menjaju, čemu smo se nekada divili, a sada ima i drugih osećanja. Nešto što je godinama sasvim lepo radilo odjednom nestane, uz tvrdnju da je „ukinuto za naše dobro“. Ovih dana morao sam da rekonfigurišem svoju VPN infrastrukturu, što obično znači ulaganje silnog vremena kako bi stvari radile kao što su juče radile. Sa plus strane, pronašao sam sjajan alat, WireGuard, uz koji VPN nije samo sigurniji, već i bolje funkcioniše.
Kada je posle dužeg čekanja stigao novi smartfon, trebalo je proći kroz slatke muke njegovog konfigurisanja. Dvoumio sam se da li bih ga podešavao „od nule“, i najzad ipak odlučio da budem lenj – Samsung ima lepu proceduru prenošenja podešavanja sa prethodnog telefona. Malo je potrajalo, ali je zaista preneta većina parametara. Priznajem da mi nije jasno kako uz kontakte ne mogu da prenesu i ring tonove i kako ne znaju da je format vremena (12/24 sata) važan parametar, ali dobro, podesi se sve to za sat‑dva.
Najzad prebacim SIM karticu u novi telefon i dođe trenutak da isprobam VPN sa (pametnom) kućom. Samo što konfiguracija VPN‑ova nije preneta. Dobro, to ću lako (naročito ako se setim lozinki) kad… iznenađenje. Na spisku VPN‑ova nema ni PPTP (što koristimo u Redakciji) niti L2TP koji koristim za vezu sa kućom, jer je kao sigurniji. Počev od Android‑a 12 ukinuti su svi „nesigurni“ VPN klijenti i ostali su samo IKEv2/IPSec MSCHAPv2, IKEv2/IPSec PSK i IKEv2/IPSec RSA. Sva tri su noćna mora za podešavanje, a instalacija „nesigurnih“ klijenata izgleda nije moguća bez root‑ovanja telefona. Divota. Vratio sam SIM karticu u stari telefon i znao da me čeka mnogo posla.
Sigurnost VPN‑a je kompleksna tema. PPTP, kao najjednostavniji protokol, šalje korisničko ime i lozinku pri autorizaciji i to je to. Zaista ne deluje bezbedno. L2TP (barem meni) deluje mnogo sigurnije, jer je autorizacija spuštena na nivo 2 (data link layer) OSI modela, gde se na svakoj strani nalazi isti deljeni ključ, ali sam taj ključ nikada ne putuje preko komunikacionog kanala. Eksperti kažu da više ni to nije dovoljno sigurno, pa su osmislili razne IKE (Internet Key Exchange) protokole koji zvuče toliko komplikovano da ne želite ni da čitate o njima, a uz to ne utiču baš blagotvorno na performanse mreže.
Srećom, Miljan Jovanović mi je skrenuo pažnju na nešto novo – WireGuard. Jason A. Donenfeld se 2016. dosetio da vrati sve na početak i primeni klasični RSA algoritam. Ima smisla: ako toliko verujemo u sigurnost RSA algoritma da smo mu prepustili sva novčana kretanja u svetu, onda zašto tražiti nešto bolje? Svaki uređaj ima svoj tajni i javni ključ, razmene se javni ključevi i komunikacija je sigurna. Prosto i genijalno. Od januara 2020. Linus Torvalds je uključio WireGuard u kernel Linux‑a, a sada postoje implementacije za Windows, Android, iOS… Projekat je otvorenog koda, besplatan, puno su ga testirali i nisu mu našli mane. Za sada.
Stvari ipak nisu tekle glatko. WireGuard je podržan tek od verzije 7 RouterOS‑a na MikroTik ruterima koje na sve strane koristimo, pa onda neki od rutera nisu imali dovoljno jak hardver da podrže RouterOS 7, pa novije modele nije bilo lako kupiti zbog opšte nestašice komponenti… Kada je sve došlo na svoje mesto, oduševljen sam kako VPN radi. Stalno je aktivan i gde god da sam, telefon kao da je u kući. A i kao da je u Redakciji. Pristup uređajima u lokalnoj mreži je potpuno prirodan, a i performanse su bolje nego kod ranijeg L2TP VPN‑a. Tako da promene, ma koliko nas ponekad gnjavile, često zaista predstavljaju korak unapred!
