Lanceringen af den nye version af Nebula 1.5 som er placeret som en samling værktøjer til at bygge sikre overlejringsnetværk De kan linke fra flere til titusindvis af geografisk adskilte værter, der danner et separat isoleret netværk oven på det globale netværk.
Projektet er designet til at skabe dine egne overlay-netværk til ethvert behov, for eksempel at kombinere virksomhedscomputere på forskellige kontorer, servere i forskellige datacentre eller virtuelle miljøer fra forskellige cloud-udbydere.
Om Nebula
Noderne i Nebula-netværket kommunikerer direkte med hinanden i P2P-tilstand, siden behovet for at overføre data mellem noders opretter direkte VPN-forbindelser dynamisk. Identiteten af hver vært på netværket bekræftes af et digitalt certifikat, og forbindelse til netværket kræver godkendelse; hver bruger modtager et certifikat, der bekræfter IP-adressen i Nebula-netværket, navnet og medlemskabet af værtsgrupperne.
Certifikater underskrives af en intern certifikatmyndighed, implementeret af skaberen af hvert enkelt netværk på deres egne faciliteter, og bruges til at certificere autoriteten for værter, der har ret til at oprette forbindelse til et specifikt overlejringsnetværk, der er knyttet til certifikatmyndigheden.
For at skabe en godkendt sikker kommunikationskanal, Nebula bruger sin egen tunnelingsprotokol baseret på Diffie-Hellman nøgleudvekslingsprotokollen og AES-256-GCM-kryptering. Implementeringen af protokollen er baseret på brugsklare og testede primitiver leveret af Noise frameworket, som også er bruges i projekter som WireGuard, Lightning og I2P. Projektet siges at have bestået en uafhængig sikkerhedsrevision.
For at opdage andre noder og koordinere forbindelsen til netværket oprettes "beacon"-noder tilbud, hvis globale IP-adresser er faste og kendt af netværksdeltagere. De deltagende noder har ikke et link til en ekstern IP-adresse, de er identificeret med certifikater. Værtsejere kan ikke selv foretage ændringer i signerede certifikater, og i modsætning til traditionelle IP-netværk kan de ikke foregive at være en anden vært blot ved at ændre IP-adressen. Når en tunnel oprettes, valideres værtens identitet mod en individuel privat nøgle.
Det oprettede netværk tildeles en bestemt række intranetadresser (f.eks. 192.168.10.0/24) og interne adresser er bundet til værtscertifikater. Grupper kan dannes fra deltagere i overlejringsnetværket, for eksempel til separate servere og arbejdsstationer, hvorpå der anvendes separate trafikfiltreringsregler. Forskellige mekanismer er tilvejebragt til at krydse adresseoversættere (NAT) og firewalls. Det er muligt at organisere routing gennem overlejringsnetværket af trafik fra tredjepartsværter, der ikke er inkluderet i Nebula-netværket (usikker rute).
Derudover understøtter oprettelsen af firewalls til at adskille adgang og filtrere trafik mellem knudepunkterne i overlejringsnebula-netværket. Tag-bundne ACL'er bruges til filtrering. Hver vært på netværket kan definere sine egne filterregler for netværksværter, grupper, protokoller og porte. Samtidig filtreres værter ikke efter IP-adresser, men af digitalt signerede værtsidentifikatorer, som ikke kan forfalskes uden at kompromittere certificeringscenteret, der koordinerer netværket.
Koden er skrevet i Go og er licenseret af MIT. Projektet er grundlagt af Slack, som udvikler virksomhedens messenger af samme navn. Det understøtter Linux, FreeBSD, macOS, Windows, iOS og Android.
Vedrørende de ændringer, der blev implementeret i den nye version De er som følger:
- Føjede "-rå"-flaget til print-cert-kommandoen for at udskrive PEM-repræsentationen af certifikatet.
- Tilføjet understøttelse af den nye Linux riscv64-arkitektur.
- Tilføjet eksperimentel remote_allow_ranges indstilling for at binde tilladte værtslister til specifikke undernet.
- Tilføjet pki.disconnect_invalid mulighed for at nulstille tunneler efter tillidsafslutning eller certifikatudløb.
- Tilføjet unsafe_routes mulighed. .metrisk for at indstille vægten for en specifik ekstern sti.
Endelig, hvis du er interesseret i at kunne vide mere om det, kan du konsultere dets detaljer og/eller dokumentation i følgende link.