Nebula、安全なオーバーレイネットワークを構築するためのネットワークツール

Darkcrizt

4分

の発売 の新しいバージョン 安全なオーバーレイネットワークを構築するためのツールのコレクションとして位置付けられているNebula1.5 それらは、地理的に離れた数千から数万のホストからリンクでき、グローバルネットワークの上に別個の分離されたネットワークを形成します。

このプロジェクトは、さまざまなオフィスの企業コンピューター、さまざまなデータセンターのサーバー、さまざまなクラウドプロバイダーの仮想環境など、あらゆるニーズに対応する独自のオーバーレイネットワークを作成するように設計されています。

星雲について

星雲ネットワークのノードは、P2Pモードで相互に直接通信します。 ノード間でデータを転送する必要があるため■直接VPN接続を動的に作成します。 ネットワーク上の各ホストのIDはデジタル証明書によって確認され、ネットワークへの接続には認証が必要です。 各ユーザーは、NebulaネットワークのIPアドレス、ホストグループの名前とメンバーシップを確認する証明書を受け取ります。

証明書は、内部認証局によって署名され、個々のネットワークの作成者がそれぞれの施設で実装し、認証局にリンクされた特定のオーバーレイネットワークに接続する権利を持つホストの認証に使用されます。

認証された安全な通信チャネルを作成するには、 Nebulaは、Diffie-Hellman鍵交換プロトコルとAES-256-GCM暗号化に基づく独自のトンネリングプロトコルを使用します。 プロトコルの実装は、Noiseフレームワークによって提供されるすぐに使用できるテスト済みのプリミティブに基づいています。 WireGuard、Lightning、I2Pなどのプロジェクトで使用されます。 プロジェクトは、独立した安全監査に合格したと言われています。

他のノードを検出してネットワークへの接続を調整するために、「ビーコン」ノードが作成されます 特別、 そのグローバルIPアドレスは固定されており、ネットワーク参加者に知られています。 参加ノードには外部IPアドレスへのリンクがなく、証明書によって識別されます。 ホストの所有者は、署名された証明書を自分で変更することはできません。また、従来のIPネットワークとは異なり、IPアドレスを変更するだけで別のホストのふりをすることはできません。 トンネルが作成されると、ホストのIDが個々の秘密鍵に対して検証されます。

作成されたネットワークには、特定の範囲のイントラネットアドレスが割り当てられます (たとえば、192.168.10.0 / 24)および内部アドレスはホスト証明書にバインドされています。 グループは、オーバーレイネットワークの参加者から、たとえば、個別のトラフィックフィルタリングルールが適用される個別のサーバーとワークステーションに形成できます。 アドレストランスレータ(NAT)とファイアウォールをトラバースするためのさまざまなメカニズムが提供されています。 Nebulaネットワークに含まれていないサードパーティホストからのトラフィックのオーバーレイネットワークを介したルーティングを整理することができます(安全でないルート)。

その上、 アクセスを分離してトラフィックをフィルタリングするファイアウォールの作成をサポートします オーバーレイ星雲ネットワークのノード間。 タグバインドACLはフィルタリングに使用されます。 ネットワーク上の各ホストは、ネットワークホスト、グループ、プロトコル、およびポートに対して独自のフィルタールールを定義できます。 同時に、ホストはIPアドレスではなく、デジタル署名されたホストIDによってフィルタリングされます。これは、ネットワークを調整する認証センターを危険にさらすことなく偽造することはできません。

コードはGoで記述されており、MITによってライセンス供与されています。 このプロジェクトは、同名の企業メッセンジャーを開発するSlackによって設立されました。 Linux、FreeBSD、macOS、Windows、iOS、Androidをサポートしています。

に対する 新しいバージョンで実装された変更 これらは次のとおりです。

  • 証明書のPEM表現を印刷するために、print-certコマンドに「-raw」フラグを追加しました。
  • 新しいLinuxriscv64アーキテクチャのサポートが追加されました。
  • 許可されたホストリストを特定のサブネットにバインドするための実験的なremote_allow_ranges設定を追加しました。
  • 信頼の終了または証明書の有効期限が切れた後にトンネルをリセットするためのpki.disconnect_invalidオプションが追加されました。
  • unsafe_routesオプションが追加されました。 .metricは、特定の外部パスの重みを設定します。

最後に、あなたがそれについてもっと知ることができることに興味があるなら、あなたはその詳細を調べることができますそして/または 次のリンクのドキュメント.


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。