Algo VPN:安全易用的自托管个人VPN解决方案

Algo是一款基于Ansible脚本的自托管个人VPN服务器,专注于安全性与易用性。它仅支持现代协议与加密套件,无需客户端软件,适用于注重隐私的频繁旅行者与企业用户。

Meet Algo, the VPN that works

Dan Guido
December 12, 2016
privacy

我想你会同意我的观点:市场上没有一款VPN选项能在安全性和易用性上同等重视。

现在,这种情况改变了。

今天我们推出Algo,一款自托管的个人VPN服务器,专为易于部署和安全性而设计。Algo自动在云中部署按需VPN服务,不与其他用户共享,仅依赖现代协议和密码,并只包含所需的最少软件。

而且是免费的。

对于注重隐私、频繁出差或无法负担专用IT部门的任何人来说,这款产品适合你。

别费心用商业VPN了

它们很糟糕。

真的,付费服务只是商业蜜罐。如果攻击者能够入侵VPN提供商,他们可以监控大量敏感数据。

付费VPN往往不安全:它们共享密钥,其弱加密给人一种虚假的安全感,并且要求你信任其运营商。

即使你没有做错任何事,你也可能与做错事的人共享同一个端点。在这种情况下,当执法部门进行扣押时,你的网络流量将被分析。

Streisand也好不到哪去

概念不错。实现糟糕。

它安装了约40个服务,包括众多远程访问服务、一个Tor中继节点和过时的软件。它让你管理数十个密钥,并允许弱加密。

这是一个庞大的足迹,对于任何合理的人来说都太复杂,难以保护。如果你为自己设置一个单独的服务器,你永远不会知道攻击者是否或何时入侵了它。

OpenVPN:需要客户端软件

OpenVPN在任何主流桌面或移动操作系统上缺乏开箱即用的客户端支持,引入了不必要的复杂性。用户体验受到影响。

说到用户,他们还需要更新和维护这个软件。这是一个灾难的配方。

最糟糕的是,OpenVPN依赖于TLS的安全性,包括协议及其实现。介于这一点以及过去的安全事件,我们 simply trust it less。

其他VPN的S/WAN之歌

免费VPN软件的原始尝试——FreeS/WAN——在2000年代初当其开发团队分裂时消亡。三个人将其分叉为LibreSwan、strongSwan和Openswan。

要使用它们中的任何一个,你需要接近部落知识的东西。可用的文档让我们感到困惑和震惊:

  • 几乎没有区别——如果你搜索关于strongSwan配置的信息,你很容易最终到达LibreSwan的页面。术语看起来熟悉,但说明是错误的。
  • 难以理解的语言——他们使用“sun, moon, bob, carol”和一堆其他任意词,而不是使用标准术语如“client, server, remote and local”。
  • 脆弱的方法论——绝大多数文档和指南坚持使用“经过验证的”方法,如L2TP和IKEv1,即使IKEv2更简单、更强大。自从Apple在iOS 8中添加了IKEv2,就没有理由不使用它。

只有最强的S/WAN存活下来

在涉足S/WAN三胞胎的复杂泥潭后,我们选择了strongSwan。

它的文档——尽管如此——是其中最好的。它最近从头重写以支持IKEv2(在支持主要新协议版本时是一个积极的步骤)。它是唯一甚至提供可信密钥存储选项的IPSEC软件。

而且社区很有帮助。特别感谢Thermi。

但它仍然超级复杂。太多的贡献者使其非常晦涩。再次,你需要那种部落知识来让IPSEC做你想做的事。

这些是密码学软件在可用性方面声誉不佳的原因示例。一个紧密联系的开发社区只与自己交流,往往导致大量应该被弃用的选项泛滥。没有迹象表明用户界面或体验已经为经验不足的用户进行了审查。对于任何敢于考虑这些点的人来说,这里 lies the path to widespread adoption。

所以,我们构建了Algo

Algo是一组Ansible脚本,简化了个人IPSEC VPN的设置。它包含最安全的默认设置,与常见的云提供商合作,并且在大多数设备上不需要客户端软件。

“所有网络的VP”是强大、安全和整洁的。它使用完成工作所需的最少软件。

我们制作Algo时考虑了企业旅行者。为了节省带宽和增加安全性,它阻止广告并压缩剩余内容。

我们在今年的Black Hat上分享了Algo的早期版本,人们很喜欢它。

Algo的功能

  • 仅支持IKEv2
  • 仅支持单个密码套件,包括AES-GCM、SHA2 HMAC和P-256 DH
  • 生成mobileconfig配置文件以自动配置Apple设备
  • 提供帮助脚本以添加和删除用户
  • 通过本地DNS解析器和HTTP代理阻止广告
  • 基于当前版本的Ubuntu和strongSwan
  • 安装到DigitalOcean、Amazon、Google、Azure或你自己的服务器

反功能

  • 不支持旧版密码套件或协议,如L2TP、IKEv1或RSA
  • 不安装Tor、OpenVPN或其他有风险的服务器
  • 不依赖于TLS的安全性
  • 在大多数平台上不需要客户端软件
  • 不声称提供匿名性或审查规避
  • 不声称保护你免受FSB、MSS、DGSE或FSM的侵害

设计为可丢弃

我们希望Algo易于设置。这样,你可以在需要时启动它,并在任何人弄清楚你路由流量的服务之前拆除它。

设置是自动化的。只需回答几个问题,Algo就会为你构建VPN。

我们还为Apple设备自动化了设置过程。Algo只是给你一个文件,你可以通过AirDrop发送到你的设备。你按下“安装”,你就有了你的VPN。或者“VPNs”。

你不必只选择一个VPN网关。你可以在不同的服务上为自己制作20个;班加罗尔的Digital Ocean、弗吉尼亚的EC2或任何其他组合。你有选择。

最后一个原因让Algo成为如此好的解决方案:它已被抽象为一组我们发布给社区的Ansible角色。Ansible提供更清晰的文档,确保我们可以重复我们所做的事情,并允许我们监控配置漂移。

多亏了我们在Ansible中创建的角色,我们很容易独立添加和改进不同的功能。我们团队的成员将跟进功能请求。

我们会确保它是正确的。你可以直接使用它。

今天试试Algo。

需要帮助安装Algo?

我们计划在12月16日星期五东部时间下午3点举行一个虚拟加密派对,我们将指导你安装Algo。注册加入我们。

如果你喜欢这篇文章,分享它: Twitter LinkedIn GitHub Mastodon Hacker News

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次