Νεφέλωμα, ένα εργαλείο δικτύου για τη δημιουργία ασφαλών δικτύων επικάλυψης

Darkcrizt

4 λεπτά

Η έναρξη του τη νέα έκδοση του Το Nebula 1.5 το οποίο τοποθετείται ως μια συλλογή εργαλείων για τη δημιουργία ασφαλών δικτύων επικάλυψης Μπορούν να συνδέσουν από πολλούς έως δεκάδες χιλιάδες γεωγραφικά διαχωρισμένους κεντρικούς υπολογιστές, σχηματίζοντας ένα ξεχωριστό απομονωμένο δίκτυο πάνω από το παγκόσμιο δίκτυο.

Το έργο έχει σχεδιαστεί για να δημιουργήσετε τα δικά σας δίκτυα επικάλυψης για οποιαδήποτε ανάγκη, για παράδειγμα, να συνδυάσετε εταιρικούς υπολογιστές σε διαφορετικά γραφεία, διακομιστές σε διαφορετικά κέντρα δεδομένων ή εικονικά περιβάλλοντα από διαφορετικούς παρόχους cloud.

Σχετικά με το Nebula

Οι κόμβοι του δικτύου Nebula επικοινωνούν απευθείας μεταξύ τους σε λειτουργία P2P, αφού η ανάγκη μεταφοράς δεδομένων μεταξύ κόμβωνΤο s δημιουργεί άμεσες συνδέσεις VPN δυναμικά. Η ταυτότητα κάθε κεντρικού υπολογιστή στο δίκτυο επιβεβαιώνεται από ένα ψηφιακό πιστοποιητικό και η σύνδεση στο δίκτυο απαιτεί έλεγχο ταυτότητας. κάθε χρήστης λαμβάνει ένα πιστοποιητικό που επιβεβαιώνει τη διεύθυνση IP στο δίκτυο Nebula, το όνομα και τη συμμετοχή των ομάδων υποδοχής.

Τα πιστοποιητικά υπογράφονται από μια εσωτερική αρχή έκδοσης πιστοποιητικών, εφαρμόζονται από τον δημιουργό κάθε μεμονωμένου δικτύου στις δικές τους εγκαταστάσεις και χρησιμοποιούνται για την πιστοποίηση της αρχής των κεντρικών υπολογιστών που έχουν το δικαίωμα να συνδεθούν σε ένα συγκεκριμένο δίκτυο επικάλυψης συνδεδεμένο με την αρχή έκδοσης πιστοποιητικών.

Για να δημιουργήσετε ένα πιστοποιημένο ασφαλές κανάλι επικοινωνίας, Το Nebula χρησιμοποιεί το δικό του πρωτόκολλο σήραγγας που βασίζεται στο πρωτόκολλο ανταλλαγής κλειδιών Diffie-Hellman και στην κρυπτογράφηση AES-256-GCM. Η υλοποίηση του πρωτοκόλλου βασίζεται σε έτοιμα προς χρήση και δοκιμασμένα πρωτόγονα που παρέχονται από το πλαίσιο Noise, το οποίο επίσης χρησιμοποιείται σε έργα όπως το WireGuard, το Lightning και το I2P. Το έργο λέγεται ότι έχει περάσει από ανεξάρτητο έλεγχο ασφάλειας.

Για να ανακαλύψετε άλλους κόμβους και να συντονίσετε τη σύνδεση με το δίκτυο, δημιουργούνται κόμβοι "beacon". ειδικές προσφορές, των οποίων οι καθολικές διευθύνσεις IP είναι σταθερές και γνωστές στους συμμετέχοντες στο δίκτυο. Οι συμμετέχοντες κόμβοι δεν έχουν σύνδεσμο προς εξωτερική διεύθυνση IP, αναγνωρίζονται από πιστοποιητικά. Οι κάτοχοι κεντρικών υπολογιστών δεν μπορούν να κάνουν αλλαγές σε πιστοποιητικά που έχουν υπογραφεί από τον εαυτό τους και σε αντίθεση με τα παραδοσιακά δίκτυα IP, δεν μπορούν να προσποιηθούν ότι είναι άλλος κεντρικός υπολογιστής αλλάζοντας απλώς τη διεύθυνση IP. Όταν δημιουργείται ένα τούνελ, η ταυτότητα του κεντρικού υπολογιστή επικυρώνεται έναντι ενός μεμονωμένου ιδιωτικού κλειδιού.

Στο δημιουργημένο δίκτυο εκχωρείται ένα συγκεκριμένο εύρος διευθύνσεων intranet (για παράδειγμα, 192.168.10.0/24) και οι εσωτερικές διευθύνσεις δεσμεύονται με πιστοποιητικά κεντρικού υπολογιστή. Μπορούν να σχηματιστούν ομάδες από συμμετέχοντες στο δίκτυο επικάλυψης, για παράδειγμα σε ξεχωριστούς διακομιστές και σταθμούς εργασίας, στους οποίους εφαρμόζονται χωριστοί κανόνες φιλτραρίσματος κυκλοφορίας. Παρέχονται διάφοροι μηχανισμοί για τη διέλευση μεταφραστών διευθύνσεων (NAT) και τείχη προστασίας. Είναι δυνατή η οργάνωση δρομολόγησης μέσω του δικτύου επικάλυψης επισκεψιμότητας από κεντρικούς υπολογιστές τρίτων που δεν περιλαμβάνονται στο δίκτυο Nebula (μη ασφαλής διαδρομή).

Επίσης υποστηρίζει τη δημιουργία τείχη προστασίας για διαχωρισμό της πρόσβασης και φιλτράρισμα της κυκλοφορίας μεταξύ των κόμβων του δικτύου νεφελωμάτων επικάλυψης. Τα ACL που συνδέονται με ετικέτες χρησιμοποιούνται για φιλτράρισμα. Κάθε κεντρικός υπολογιστής στο δίκτυο μπορεί να ορίσει τους δικούς του κανόνες φίλτρου για κεντρικούς υπολογιστές δικτύου, ομάδες, πρωτόκολλα και θύρες. Ταυτόχρονα, οι κεντρικοί υπολογιστές δεν φιλτράρονται από διευθύνσεις IP, αλλά από ψηφιακά υπογεγραμμένα αναγνωριστικά κεντρικού υπολογιστή, τα οποία δεν μπορούν να πλαστογραφηθούν χωρίς να τεθεί σε κίνδυνο το κέντρο πιστοποίησης που συντονίζει το δίκτυο.

Ο κωδικός είναι γραμμένος στο Go και έχει άδεια από το MIT. Το έργο ιδρύθηκε από τη Slack, η οποία αναπτύσσει τον εταιρικό αγγελιοφόρο με το ίδιο όνομα. Υποστηρίζει Linux, FreeBSD, macOS, Windows, iOS και Android.

Όσον αφορά τις αλλαγές που εφαρμόστηκαν στη νέα έκδοση Αυτά είναι τα εξής:

  • Προστέθηκε η σημαία "-raw" στην εντολή print-cert για να εκτυπωθεί η αναπαράσταση PEM του πιστοποιητικού.
  • Προστέθηκε υποστήριξη για τη νέα αρχιτεκτονική Linux riscv64.
  • Προστέθηκε η πειραματική ρύθμιση remote_allow_ranges για τη σύνδεση επιτρεπόμενων λιστών κεντρικών υπολογιστών σε συγκεκριμένα υποδίκτυα.
  • Προστέθηκε η επιλογή pki.disconnect_invalid για επαναφορά των σηράγγων μετά τον τερματισμό εμπιστοσύνης ή τη λήξη του πιστοποιητικού.
  • Προστέθηκε η επιλογή unsafe_routes. .metric για να ορίσετε το βάρος για μια συγκεκριμένη εξωτερική διαδρομή.

Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τα στοιχεία του ή/και τεκμηρίωση στον παρακάτω σύνδεσμο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.