XNUMX käynnistäminen uuden version Nebula 1.5, joka on sijoitettu kokoelmaksi työkaluja suojattujen peittoverkkojen rakentamiseen Ne voivat linkittää useista kymmeniin tuhansiin maantieteellisesti erillään olevista isännistä muodostaen erillisen verkon maailmanlaajuisen verkon päälle.
Projekti on suunniteltu luomaan omia overlay-verkkoja mihin tahansa tarpeeseen, esimerkiksi yhdistämään yritysten tietokoneita eri toimistoissa, palvelimia eri palvelinkeskuksissa tai virtuaaliympäristöjä eri pilvipalveluntarjoajilta.
Tietoja Nebulasta
Nebula-verkon solmut kommunikoivat suoraan keskenään P2P-tilassa, koska tarve siirtää tietoja solmujen välilläs luo suoria VPN-yhteyksiä dynaamisesti. Jokaisen verkon isännän identiteetti vahvistetaan digitaalisella sertifikaatilla, ja verkkoon liittyminen vaatii todennusta; jokainen käyttäjä saa varmenteen, joka vahvistaa IP-osoitteen Nebula-verkossa, nimen ja isäntäryhmien jäsenyyden.
Sertifikaatit allekirjoittaa sisäinen varmenneviranomainen, jonka kunkin yksittäisen verkon luoja toteuttaa omissa tiloissaan, ja niitä käytetään sertifioimaan sellaisten isäntien valtuudet, joilla on oikeus muodostaa yhteys tiettyyn varmenneviranomaiseen yhdistettyyn peittoverkkoon.
Luodaksesi todennettu suojattu viestintäkanava, Nebula käyttää omaa tunnelointiprotokollaaan, joka perustuu Diffie-Hellman-avaimenvaihtoprotokollaan ja AES-256-GCM-salaukseen. Protokollan toteutus perustuu Noise-kehyksen tarjoamiin käyttövalmiisiin ja testattuihin primitiiviin, joka on myös käytetään projekteissa, kuten WireGuard, Lightning ja I2P. Hankkeen kerrotaan läpäisevän riippumattoman turvallisuustarkastuksen.
Muiden solmujen löytämiseksi ja verkkoyhteyden koordinoimiseksi luodaan "majakkasolmuja". erikoiset, joiden globaalit IP-osoitteet ovat kiinteät ja verkon osallistujien tiedossa. Osallistuvilla solmuilla ei ole linkkiä ulkoiseen IP-osoitteeseen, ne tunnistetaan varmenteilla. Isännän omistajat eivät voi tehdä muutoksia allekirjoitettuihin varmenteisiin itse, ja toisin kuin perinteiset IP-verkot, he eivät voi teeskennellä olevansa toinen isäntä yksinkertaisesti vaihtamalla IP-osoitetta. Kun tunneli luodaan, isännän identiteetti vahvistetaan yksittäistä yksityistä avainta vastaan.
Luodulle verkolle määritetään tietty alue intranet-osoitteita (esimerkiksi 192.168.10.0/24) ja sisäiset osoitteet on sidottu isäntävarmenteilla. Overlay-verkon osallistujista voidaan muodostaa ryhmiä esimerkiksi erillisiin palvelimiin ja työasemiin, joihin sovelletaan erillisiä liikenteen suodatussääntöjä. Osoitteenkääntäjien (NAT) ja palomuurien läpikulkua varten on tarjolla erilaisia mekanismeja. On mahdollista järjestää reititys peittoverkon kautta sellaisista kolmansien osapuolien isännistä tulevan liikenteen kautta, jotka eivät sisälly Nebula-verkkoon (turvaton reitti).
Myös, tukee palomuurien luomista pääsyn ja liikenteen erottamiseen overlay Nebula -verkoston solmujen välillä. Tunnisteisiin sidottuja ACL-luetteloita käytetään suodattamiseen. Jokainen verkon isäntä voi määrittää omat suodatussäännönsä verkkoisännille, ryhmille, protokollille ja porteille. Samaan aikaan isäntiä ei suodateta IP-osoitteilla, vaan digitaalisesti allekirjoitetuilla isäntätunnisteilla, joita ei voida väärentää verkkoa koordinoivaa sertifiointikeskusta vaarantamatta.
Koodi on kirjoitettu Go-kielellä ja MIT:n lisensoima. Projektin perusti Slack, joka kehittää samannimistä yritysviestintää. Se tukee Linuxia, FreeBSD:tä, macOS:ää, Windowsia, iOS:ää ja Androidia.
Suhteen uudessa versiossa tehdyt muutokset Ne ovat seuraavat:
- Lisätty "-raw"-lippu print-cert-komentoon tulostaaksesi varmenteen PEM-esityksen.
- Lisätty tuki uudelle Linux-riscv64-arkkitehtuurille.
- Lisätty kokeellinen remote_allow_ranges -asetus, joka sitoo sallitut isäntäluettelot tiettyihin aliverkkoihin.
- Lisätty vaihtoehto pki.disconnect_invalid tunneleiden nollaamiseksi luottamuksen päättymisen tai varmenteen vanhenemisen jälkeen.
- Lisätty unsafe_routes -vaihtoehto. .metric asettaa painon tietylle ulkoiselle polulle.
Lopuksi, jos olet kiinnostunut saamaan lisätietoja siitä, voit tutustua sen yksityiskohtiin ja/tai dokumentaatio seuraavassa linkissä.