보안 오버레이 네트워크 구축을 위한 네트워크 도구인 Nebula

Darkcrizt

4 분

출시 새로운 버전 보안 오버레이 네트워크를 구축하기 위한 도구 모음으로 포지셔닝된 Nebula 1.5 지리적으로 분리된 호스트 수에서 수만 개까지 연결하여 글로벌 네트워크 위에 별도의 분리된 네트워크를 형성할 수 있습니다.

이 프로젝트는 예를 들어 다른 사무실에 있는 회사 컴퓨터, 다른 데이터 센터에 있는 서버 또는 다른 클라우드 제공업체의 가상 환경을 결합하는 것과 같이 모든 요구에 따라 고유한 오버레이 네트워크를 생성하도록 설계되었습니다.

성운 소개

Nebula 네트워크의 노드는 P2P 모드에서 서로 직접 통신하며, 노드 간에 데이터를 전송해야 하기 때문에s는 직접 VPN 연결을 동적으로 생성합니다. 네트워크에 있는 각 호스트의 ID는 디지털 인증서로 확인되며 네트워크에 연결하려면 인증이 필요합니다. 각 사용자는 Nebula 네트워크의 IP 주소, 이름 및 호스트 그룹의 구성원임을 확인하는 인증서를 받습니다.

인증서는 내부 인증 기관에서 서명하고 각 개별 네트워크의 작성자가 자체 시설에서 구현하며 인증 기관에 연결된 특정 오버레이 네트워크에 연결할 권한이 있는 호스트의 기관을 인증하는 데 사용됩니다.

인증된 보안 통신 채널을 생성하려면, Nebula는 Diffie-Hellman 키 교환 프로토콜과 AES-256-GCM 암호화를 기반으로 하는 자체 터널링 프로토콜을 사용합니다. 프로토콜의 구현은 Noise 프레임워크에서 제공하는 즉시 사용 가능하고 테스트된 기본 요소를 기반으로 합니다. WireGuard, Lightning 및 I2P와 같은 프로젝트에서 사용됩니다. 이 프로젝트는 독립적인 안전 감사를 통과했다고 합니다.

다른 노드를 발견하고 네트워크 연결을 조정하기 위해 "비컨" 노드가 생성됩니다. 스페셜, 글로벌 IP 주소가 고정되어 있고 네트워크 참가자에게 알려져 있습니다. 참여 노드에는 외부 IP 주소에 대한 링크가 없으며 인증서로 식별됩니다. 호스트 소유자는 서명된 인증서를 스스로 변경할 수 없으며 기존 IP 네트워크와 달리 단순히 IP 주소를 변경하여 다른 호스트로 가장할 수 없습니다. 터널이 생성되면 호스트의 ID가 개별 개인 키에 대해 검증됩니다.

생성된 네트워크에는 특정 범위의 인트라넷 주소가 할당됩니다. (예: 192.168.10.0/24) 및 내부 주소는 호스트 인증서로 바인딩됩니다. 예를 들어 별도의 트래픽 필터링 규칙이 적용되는 별도의 서버 및 워크스테이션과 같이 오버레이 네트워크의 참가자로부터 그룹을 구성할 수 있습니다. NAT(주소 변환기) 및 방화벽을 통과하기 위한 다양한 메커니즘이 제공됩니다. Nebula 네트워크에 포함되지 않은 타사 호스트의 트래픽 오버레이 네트워크를 통해 라우팅을 구성할 수 있습니다(안전하지 않은 경로).

게다가, 액세스를 분리하고 트래픽을 필터링하기 위한 방화벽 생성 지원 오버레이 성운 네트워크의 노드 사이. 태그 바인딩된 ACL은 필터링에 사용됩니다. 네트워크의 각 호스트는 네트워크 호스트, 그룹, 프로토콜 및 포트에 대한 자체 필터 규칙을 정의할 수 있습니다. 동시에 호스트는 IP 주소로 필터링되지 않고 디지털 서명된 호스트 식별자에 의해 필터링되며, 네트워크를 조정하는 인증 센터를 손상시키지 않고는 위조할 수 없습니다.

코드는 Go로 작성되었으며 MIT의 라이선스를 받았습니다. 이 프로젝트는 같은 이름의 기업 메신저를 개발하는 Slack에 의해 설립되었습니다. Linux, FreeBSD, macOS, Windows, iOS 및 Android를 지원합니다.

에 관한 새 버전에서 구현된 변경 사항 다음과 같이 그들은 :

  • 인증서의 PEM 표현을 인쇄하기 위해 "-raw" 플래그를 print-cert 명령에 추가했습니다.
  • 새로운 Linux riscv64 아키텍처에 대한 지원이 추가되었습니다.
  • 허용된 호스트 목록을 특정 서브넷에 바인딩하는 실험적인 remote_allow_ranges 설정을 추가했습니다.
  • 신뢰 종료 또는 인증서 만료 후 터널을 재설정하는 pki.disconnect_invalid 옵션이 추가되었습니다.
  • unsafe_routes 옵션을 추가했습니다. .metric 특정 외부 경로에 대한 가중치를 설정합니다.

마지막으로, 그것에 대해 더 알고 싶다면 세부 정보를 참조하거나 다음 링크의 문서.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.