VPN 터널에 대해 OpenVPN과 WireGuard의 두 가지 프로토콜을 지원합니다.

• OpenVPN을 TLS 1.3(제어 채널의 경우) 및 AES-256-GCM(데이터 채널의 경우)으로 제한합니다. 이 기능은 OpenSSL에서 구현됩니다.
• WireGuard의 경우, 표준 Linux 커널 구현이 가능할 때 사용합니다. 그렇지 않으면 wireguard-go를 사용합니다.

이 앱은 Rustls로 구현된 TLS 1.2 또는 1.3을 사용하여 API와의 통신을 암호화합니다. 두 가지 기능을 제공합니다.

• 이 연결은 인증서 고정 기능을 사용하여 MitM 공격을 방지합니다.*
• DNS 스푸핑을 피하기 위해 앱에서 DNS를 사용하여 API의 IP를 가져오지 않습니다.*

*iOS에서 아직 구현되지 않음

이 앱은 시스템 방화벽(Windows에서는 WFP, Linux에서는 nftables, MacOS에서는 PF)과 통합되어 유출를 방지하고 킬 스위치 기능을 활성화합니다. GitHub 페이지에서 자세히 알아보기

권한 있는 사용자로 실행되는 코드의 양을 제한하기 위해 앱은 두 부분으로 나뉩니다.

• 권한 없는 프런트엔드(CLI포함)
• 백그라운드에서 실행되며 터널 및 장치 보안을 감독하는 권한 있는 시스템 서비스.

GitHub 페이지에서 자세히 알아보기

모든 서버에서, 각 터널 프로토콜에 사용할 수 있는 가장 강력한 암호화를 제공하기 위해 암호화에 대한 기본 구성 및 우선순위를 지정했습니다.

OpenVPN 서버

OpenVPN 서버의 특징은 다음과 같습니다.

• 4096비트 RSA 인증서(SHA512 포함)는 서버 인증에 사용됩니다.
• 4096비트 Diffie-Hellman 매개 변수는 키 교환에 사용됩니다.
• 완벽한 전달 보안을 위해 DHE가 이용됩니다.
• 제어 채널에는 최소 TLS 1.2 버전이 적용되며 TLS 1.3을 사용할 수 있습니다.

• 최신 OpenVPN 클라이언트 버전의 경우 지정된 순서에 따라 사용되는 다음과 같은 암호를 제공합니다(사용자가 다른 구성을 적용하지 않는 경우).

  • 제어 채널 암호: TLS_CHAHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384
  • 데이터 채널 암호: CHACHA20-POLY1305, AES-256-GCM, AES-256-CBC.
• 키 재지정은 60분마다 수행됩니다.

WireGuard 서버

WireGuard는 보수적이며 하나의 암호화 기본 요소 집합만 제공합니다. 자세한 내용은 WireGuard 웹 사이트를 참조하세요.

브리지 서버

당사의 브리지는 액세스가 차단된 위치에서 웹 사이트, API, OpenVPN 및 WireGuard 서버에 쉽게 연결할 수 있도록 지원합니다. 당사의 구성을 통해서는 암호화되지 않은 항목에 액세스하기 어렵거나 불가능하므로 사용되는 암호화 유형은 거의 중요하지 않습니다.

우리 자신과 고객, 그리고 서비스 품질을 보호하기 위해, 당사는 IP 주소나 포트를 차단할 권리를 보유합니다. 다음 포트에 대한 아웃바운드 트래픽을 항상 차단합니다.

• 포트 25 – 스팸 방지
• 포트 137, 138, 139, 445 – Microsoft SMB/CIFS 보안 문제로부터 고객 보호
• 포트 1900 및 2869 – 악의적인 UPnP 구성으로부터 고객 보호