Der Start von die neue Version von Nebula 1.5, das als Sammlung von Tools zum Aufbau sicherer Overlay-Netzwerke positioniert ist Sie können mehrere bis Zehntausende von geografisch getrennten Hosts verbinden und so ein separates isoliertes Netzwerk über dem globalen Netzwerk bilden.
Das Projekt ist darauf ausgelegt, eigene Overlay-Netzwerke für jeden Bedarf zu erstellen, beispielsweise um Unternehmenscomputer in verschiedenen Büros, Server in verschiedenen Rechenzentren oder virtuelle Umgebungen verschiedener Cloud-Anbieter zu kombinieren.
Über Nebel
Die Knoten des Nebula-Netzwerks kommunizieren im P2P-Modus direkt miteinander, da die Notwendigkeit, Daten zwischen Knoten zu übertragens erstellt dynamisch direkte VPN-Verbindungen. Die Identität jedes Hosts im Netzwerk wird durch ein digitales Zertifikat bestätigt, und die Verbindung zum Netzwerk erfordert eine Authentifizierung; Jeder Benutzer erhält ein Zertifikat, das die IP-Adresse im Nebula-Netzwerk, den Namen und die Zugehörigkeit zu den Hostgruppen bestätigt.
Zertifikate werden von einer internen Zertifizierungsstelle signiert, vom Ersteller jedes einzelnen Netzwerks in seinen eigenen Einrichtungen implementiert und verwendet, um die Autorität von Hosts zu zertifizieren, die das Recht haben, sich mit einem bestimmten Overlay-Netzwerk zu verbinden, das mit der Zertifizierungsstelle verbunden ist.
Um einen authentifizierten sicheren Kommunikationskanal zu erstellen, Nebula verwendet ein eigenes Tunneling-Protokoll, das auf dem Diffie-Hellman-Schlüsselaustauschprotokoll und der AES-256-GCM-Verschlüsselung basiert. Die Implementierung des Protokolls basiert auf gebrauchsfertigen und getesteten Primitiven, die vom Noise-Framework bereitgestellt werden, das auch in Projekten wie WireGuard, Lightning und I2P verwendet. Das Projekt soll ein unabhängiges Sicherheitsaudit bestanden haben.
Um andere Knoten zu entdecken und die Verbindung zum Netzwerk zu koordinieren, werden "Beacon"-Knoten erstellt Specials, deren globale IP-Adressen fest und den Netzwerkteilnehmern bekannt sind. Die teilnehmenden Knoten haben keine Verbindung zu einer externen IP-Adresse, sie werden durch Zertifikate identifiziert. Hostbesitzer können keine Änderungen an selbstsignierten Zertifikaten vornehmen, und im Gegensatz zu herkömmlichen IP-Netzwerken können sie sich nicht als ein anderer Host ausgeben, indem sie einfach die IP-Adresse ändern. Beim Erstellen eines Tunnels wird die Identität des Hosts anhand eines individuellen privaten Schlüssels überprüft.
Dem erstellten Netzwerk wird ein bestimmter Bereich von Intranet-Adressen zugewiesen (z. B. 192.168.10.0/24) und interne Adressen sind mit Hostzertifikaten verbunden. Aus Teilnehmern des Overlay-Netzwerks können Gruppen gebildet werden, beispielsweise zu separaten Servern und Workstations, auf die separate Verkehrsfilterregeln angewendet werden. Zum Durchqueren von Adressübersetzern (NAT) und Firewalls werden verschiedene Mechanismen bereitgestellt. Es ist möglich, das Routing von Datenverkehr von Drittanbieter-Hosts, die nicht im Nebula-Netzwerk enthalten sind (unsichere Route), über das Overlay-Netzwerk zu organisieren.
Darüber hinaus unterstützt die Erstellung von Firewalls, um den Zugriff zu trennen und den Datenverkehr zu filtern zwischen den Knoten des Overlay-Nebelnetzwerks. Tag-gebundene ACLs werden zum Filtern verwendet. Jeder Host im Netzwerk kann seine eigenen Filterregeln für Netzwerkhosts, Gruppen, Protokolle und Ports definieren. Gleichzeitig werden Hosts nicht nach IP-Adressen gefiltert, sondern nach digital signierten Host-Identifiern, die nicht gefälscht werden können, ohne die Zertifizierungsstelle zu gefährden, die das Netzwerk koordiniert.
Der Code ist in Go geschrieben und vom MIT lizenziert. Gegründet wurde das Projekt von Slack, die den gleichnamigen Corporate Messenger entwickelt. Es unterstützt Linux, FreeBSD, macOS, Windows, iOS und Android.
In Bezug auf die Änderungen, die in der neuen Version implementiert wurden Sie sind wie folgt:
- Das Flag "-raw" wurde dem Befehl print-cert hinzugefügt, um die PEM-Darstellung des Zertifikats zu drucken.
- Unterstützung für die neue Linux-riscv64-Architektur hinzugefügt.
- Experimentelle remote_allow_ranges-Einstellung hinzugefügt, um zulässige Hostlisten an bestimmte Subnetze zu binden.
- Option pki.disconnect_invalid hinzugefügt, um Tunnel nach Beendigung der Vertrauensstellung oder nach Ablauf des Zertifikats zurückzusetzen.
- Unsafe_routes-Option hinzugefügt. .metric, um die Gewichtung für einen bestimmten externen Pfad festzulegen.
Wenn Sie daran interessiert sind, mehr darüber zu erfahren, können Sie die Details einsehen und / oder Dokumentation unter folgendem Link.