سحابی، ابزار شبکه ای برای ایجاد شبکه های همپوشانی ایمن

راه اندازی نسخه جدید از سحابی 1.5 که به عنوان مجموعه ای از ابزارها برای ایجاد شبکه های پوشش ایمن قرار گرفته است آن‌ها می‌توانند از چندین تا ده‌ها هزار میزبان جدا از هم جغرافیایی را پیوند دهند و یک شبکه مجزای مجزا در بالای شبکه جهانی تشکیل دهند.

این پروژه برای ایجاد شبکه های همپوشانی خود برای هر نیازی طراحی شده است، به عنوان مثال، برای ترکیب رایانه های شرکتی در دفاتر مختلف، سرورها در مراکز داده مختلف یا محیط های مجازی از ارائه دهندگان مختلف ابری.

درباره سحابی

گره های شبکه سحابی مستقیماً در حالت P2P با یکدیگر ارتباط برقرار می کنند. از آنجایی که نیاز به انتقال داده بین گره ها استs اتصالات مستقیم VPN را به صورت پویا ایجاد می کند. هویت هر میزبان در شبکه توسط یک گواهی دیجیتال تایید می شود و اتصال به شبکه نیاز به احراز هویت دارد. هر کاربر یک گواهی دریافت می کند که آدرس IP در شبکه Nebula، نام و عضویت گروه های میزبان را تایید می کند.

گواهینامه‌ها توسط یک مرجع گواهی داخلی امضا می‌شوند، توسط خالق هر شبکه در امکانات خاص خود پیاده‌سازی می‌شوند و برای تأیید اعتبار میزبان‌هایی که حق اتصال به یک شبکه پوششی خاص مرتبط با مرجع گواهی را دارند، استفاده می‌شوند.

برای ایجاد یک کانال ارتباطی ایمن تایید شده، Nebula از پروتکل تونل زنی خود بر اساس پروتکل تبادل کلید Diffie-Hellman و رمزگذاری AES-256-GCM استفاده می کند. پیاده سازی پروتکل بر اساس اولیه های آماده برای استفاده و آزمایش شده ارائه شده توسط Noise Framework است که همچنین در پروژه هایی مانند WireGuard، Lightning و I2P استفاده می شود. گفته می شود این پروژه یک ممیزی ایمنی مستقل را پشت سر گذاشته است.

برای کشف سایر گره ها و هماهنگ کردن اتصال به شبکه، گره های "beacon" ایجاد می شوند ویژه ، که آدرس های IP جهانی آن ثابت و برای شرکت کنندگان شبکه شناخته شده است. گره های شرکت کننده پیوندی به یک آدرس IP خارجی ندارند، آنها توسط گواهی ها شناسایی می شوند. صاحبان هاست نمی توانند خودشان تغییراتی در گواهی های امضا شده ایجاد کنند و برخلاف شبکه های IP سنتی، نمی توانند به سادگی با تغییر آدرس IP وانمود کنند که میزبان دیگری هستند. هنگامی که یک تونل ایجاد می شود، هویت میزبان در برابر یک کلید خصوصی منفرد تأیید می شود.

به شبکه ایجاد شده محدوده مشخصی از آدرس های اینترانت اختصاص داده شده است (به عنوان مثال، 192.168.10.0/24) و آدرس های داخلی با گواهی های میزبان محدود شده اند. گروه‌ها را می‌توان از شرکت‌کنندگان در شبکه همپوشانی تشکیل داد، به‌عنوان مثال برای سرورها و ایستگاه‌های کاری مجزا، که قوانین فیلترینگ ترافیک جداگانه برای آنها اعمال می‌شود. مکانیسم های مختلفی برای عبور از مترجم آدرس (NAT) و فایروال ها ارائه شده است. امکان سازماندهی مسیریابی از طریق شبکه همپوشانی ترافیک از میزبان های شخص ثالثی که در شبکه سحابی گنجانده نشده اند (مسیر ناامن) وجود دارد.

همچنین از ایجاد فایروال برای جداسازی دسترسی و فیلتر کردن ترافیک پشتیبانی می کند بین گره های شبکه سحابی همپوشانی. ACL های باند برچسب برای فیلتر کردن استفاده می شوند. هر میزبان در شبکه می تواند قوانین فیلتر خود را برای میزبان ها، گروه ها، پروتکل ها و پورت های شبکه تعریف کند. در عین حال، میزبان ها توسط آدرس های IP فیلتر نمی شوند، بلکه توسط شناسه های میزبان امضا شده دیجیتالی فیلتر می شوند، که بدون به خطر انداختن مرکز صدور گواهی که شبکه را هماهنگ می کند، نمی توان آنها را جعل کرد.

کد در Go نوشته شده و دارای مجوز MIT است. این پروژه توسط Slack، که پیام رسان شرکتی به همین نام را توسعه می دهد، تأسیس شد. از Linux، FreeBSD، macOS، Windows، iOS و Android پشتیبانی می کند.

راجع به تغییراتی که در نسخه جدید اعمال شد آنها عبارتند از:

  • برای چاپ نمایش PEM گواهی، پرچم "-raw" را به دستور print-cert اضافه کرد.
  • پشتیبانی از معماری جدید لینوکس riscv64 اضافه شده است.
  • تنظیم آزمایشی remote_allow_ranges برای اتصال لیست های میزبان مجاز به زیرشبکه های خاص اضافه شد.
  • گزینه pki.disconnect_invalid برای بازنشانی تونل ها پس از پایان اعتماد یا انقضای گواهی اضافه شد.
  • گزینه unsafe_routes اضافه شد. .metric برای تنظیم وزن برای یک مسیر خارجی خاص.

در نهایت، اگر علاقه مند به کسب اطلاعات بیشتر در مورد آن هستید، می توانید با جزئیات و/یا مشورت کنید مستندات در لینک زیر.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.